SlideShare a Scribd company logo

очир абушинов

Alexei Lupan
Alexei Lupan
1 of 62
Download to read offline
Очир Абушинов Особенности тестирования безопасности ПО
Содержание Что такое тестирование безопасности и зачем оно нужно Особенности Стандарты Типичные уязвимости Методы Сложности
Что такое тестирование безопасности?
Конфиденциальность Целостность Аутентификация Авторизация Доступность Неотказуемость
Почему важно?
Информация и контроль доступа
Информация и контроль доступа Стабильность системы
Информация и контроль доступа Стабильность системы Целостность системы
Информация и контроль доступа Стабильность системы Целостность системы Экономическая эффективность
Где может быть нужно тестирование безопасности?
Веб-приложения
Приложения с важной коммерческой или персональной информацией
Платежные системы
Приложения, требующие целостности информации
Социальные приложения
Приложения с коммерческим лицензированием
Особенности тестирования безопасности ПО
Важность «негативного» тестирования
Думать как хакер
Качество тестирования безопасности ПО сложно измерить
Важность нефункциональных требований
Тестирование на основе рисков (Risk-based)
Уязвимости это такие же баги
Необходимость тестирования методом «белого» ящика
Стандарты для тестирования безопасности ПО
OSSTMM (http://www.isecom.org/osstmm/)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org) ISSAF (http://www.oissg.org/issaf)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org) ISSAF (http://www.oissg.org/issaf) NIST Guideline (http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org) ISSAF (http://www.oissg.org/issaf) NIST Guideline (http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf) OWASP Guide (http://www.owasp.org)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org) ISSAF (http://www.oissg.org/issaf) NIST Guideline (http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf) OWASP Guide (http://www.owasp.org) CHECK (http://cesg.gov.uk/find_a/check/index.cfm)
OSSTMM (http://www.isecom.org/osstmm/) ISACA (http://www.isaca.org) ISSAF (http://www.oissg.org/issaf) NIST Guideline (http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf) OWASP Guide (http://www.owasp.org) CHECK (http://cesg.gov.uk/find_a/check/index.cfm) PROTOS (https://www.ee.oulu.fi/research/ouspg/Protos)
Типичные уязвимости
Неверная валидация входных данных
Неверная валидация входных данных Внедрение параметров (XSS, CSRF)
Неверная валидация входных данных Внедрение параметров (XSS, CSRF) Переполнение буфера
Неверная валидация входных данных Внедрение параметров (XSS, CSRF) Переполнение буфера Инъекции
Неверная валидация входных данных Внедрение параметров (XSS, CSRF) Переполнение буфера Инъекции Неверное завершение сессий
Неверная валидация входных данных Внедрение параметров (XSS, CSRF) Переполнение буфера Инъекции Неверное завершение сессий Аутентификация или авторизация
Методы тестирования безопасности ПО
Анализ архитектуры и построение модели угроз и рисков
Угроза Вероятность (от 1 до 10) Ущерб (от 1 до 10) Подверженность (от 1 до 10) Приоритет Отказ в обслуживании (DDOS) 4 8 1 2 Вредоносный код 1 6 1 4 Инсайдеры 2 9 2 3 Физическое повреждение аппаратуры 1 9 1 5 Отказ БД 2 10 1 1 Потери при передаче данных 3 2 3 7 Сетевой взлом 1 9 1 6
Поиск уязвимостей в исходном коде Ревью кода разработчиками Анализ кода при помощи утилит статического и динамического анализа
Fuzz тестирование Тестовые скрипты, генерирующие случайные данные Open-source утилиты для фаззинга
Тестирование на проникновение Веб-сканнеры(skipfish, wapiti, etc.) Анализ сети, используя OpenVAS, nmap и другие утилиты Ручное тестирование на проникновение
Тестирование, основанное на рисках (Risk-based) Основано на матрице угроз и рисков Тестирование «негативных» сценариев Концентрация на том, что нельзя сделать Думать, как злоумышленник
Нефункциональное тестирование Нагрузочное тестирование Стресс тестирование Объемное тестирование Тестирование масштабируемости Юзабилити тестирование
Инструменты тестирования Сканирование исходного кода (RATS, cppcheck, FindBugs) Тестирование на проникновение (OpenVAS, Nmap, w3af) Сканирование веб-сайтов (Nikto, Pixy, Acutenix) Снифферы (NetCat, Wireshark) Модифицированные нагрузочные тесты
Сложности в тестировании безопасности
Кроссплатформенное ПО Приложение может вести себя по разному Много конфигураций Разное «железо» Разные драйверы
Эмуляция аппатуры для защиты ПО
Уязвимости в используемом ПО
Требования к безопасности ПО Приложение не должно взламываться Приложение не должно «падать» Доступ по сети должен быть безопасным Как это протестировать?
Этапы тестирования безопасности Анализ угроз Анализ уявимостей Матрица угроз и рисков Определение критериев защищенности Простые тесты Анализ исходного кода Сбор информации Нагрузочные тесты Тесты на проникнов ние Внешняя экспертиза Решение проблем Fuzz тестирование Нефункциональное тестирование Тестирование, основанное на рисках Подготовка Тестирование Планирование Проектирование Разработка Внедрение
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт”
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности Не стоит думать, что функционального тестирования достаточно
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности Не стоит думать, что функционального тестирования достаточно Можно и необходимо постоянно изучать новые технологии
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности Не стоит думать, что функционального тестирования достаточно Можно и необходимо постоянно изучать новые технологии Тестирование безопасности похоже на исследовательское
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности Не стоит думать, что функционального тестирования достаточно Можно и необходимо постоянно изучать новые технологии Тестирование безопасности похоже на исследовательское Необходимо проводить экспертизу
Выводы Тестирование безопасности - это необходимый этап для компаний, которым важен безопасный “софт” Невозможно измерить качество тестирования безопасности Не стоит думать, что функционального тестирования достаточно Можно и необходимо постоянно изучать новые технологии Тестирование безопасности похоже на исследовательское Необходимо проводить экспертизу Особое внимание архитектуре и компонентам
Спасибо за внимание Вопросы? Очир Абушинов o.abushinov@wwpass.com

Recommended

Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 

Recommended

Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
Sqadays 8-barancev
Sqadays 8-barancevSqadays 8-barancev
Sqadays 8-barancevAlexei Lupan
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместеDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
Penetration testing
Penetration testingPenetration testing
Penetration testingTraining center "Echelon"
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazovAlexei Lupan
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Alexander Barabanov
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 
CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APISergey Belov
 
Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийSQALab
 
Автоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UIАвтоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UIautomated-testing.info
 
Тестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекцияТестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекцияSQALab
 

More Related Content

What's hot

сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmAlexei Lupan
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012beched
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектовSQALab
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Alexander Barabanov
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийbeched
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerKonstantin Sverdlov
 

What's hot (18)

сергей андреев
сергей андреевсергей андреев
сергей андреев
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazov
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlev
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проекта
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
Sqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstmSqa days2010 polazhenko_osstm
Sqa days2010 polazhenko_osstm
 
Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012Алгоритмы пентестов. BaltCTF 2012
Алгоритмы пентестов. BaltCTF 2012
 
Профилактика дефектов
Профилактика дефектовПрофилактика дефектов
Профилактика дефектов
 
Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)Developer Evidences (Infosecurity Russia 2013)
Developer Evidences (Infosecurity Russia 2013)
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
 
Выбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт RamblerВыбор и тестирование Ngfw. Опыт Rambler
Выбор и тестирование Ngfw. Опыт Rambler
 

Viewers also liked

CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APISergey Belov
 
Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийSQALab
 
Автоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UIАвтоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UIautomated-testing.info
 
Тестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекцияТестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекцияSQALab
 
Практика тестирования web сервисов
Практика тестирования web сервисовПрактика тестирования web сервисов
Практика тестирования web сервисовSQALab
 
New девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомNew девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомAlexei Lupan
 
Sqadays2010 nalyutin
Sqadays2010 nalyutinSqadays2010 nalyutin
Sqadays2010 nalyutinAlexei Lupan
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нтAlexei Lupan
 
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)sqadays8
 
Sq adays 2010_balashenko
Sq adays 2010_balashenkoSq adays 2010_balashenko
Sq adays 2010_balashenkoAlexei Lupan
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testingAlexei Lupan
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахSergey Belov
 
Oleynikov sqa days 8_deck
Oleynikov sqa days 8_deckOleynikov sqa days 8_deck
Oleynikov sqa days 8_deckAlexei Lupan
 
Webium: Page Objects in Python
Webium: Page Objects in PythonWebium: Page Objects in Python
Webium: Page Objects in PythonIgor Khrol
 
Тестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийТестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийSQALab
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QAFest
 
ACC - конструируем тест-план методом Google
ACC - конструируем тест-план методом GoogleACC - конструируем тест-план методом Google
ACC - конструируем тест-план методом GoogleSQALab
 
Window Desktop Application Testing
Window Desktop Application TestingWindow Desktop Application Testing
Window Desktop Application TestingTrupti Jethva
 

Viewers also liked (18)

CodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server APICodeFest 2014 - Pentesting client/server API
CodeFest 2014 - Pentesting client/server API
 
Тестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложенийТестирование уязвимостей веб приложений
Тестирование уязвимостей веб приложений
 
Автоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UIАвтоматизация тестирования веб-сервисов посредством SOAP UI
Автоматизация тестирования веб-сервисов посредством SOAP UI
 
Тестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекцияТестирование безопасности: PHP инъекция
Тестирование безопасности: PHP инъекция
 
Практика тестирования web сервисов
Практика тестирования web сервисовПрактика тестирования web сервисов
Практика тестирования web сервисов
 
New девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставникомNew девять правил семпая, или как стать успешным наставником
New девять правил семпая, или как стать успешным наставником
 
Sqadays2010 nalyutin
Sqadays2010 nalyutinSqadays2010 nalyutin
Sqadays2010 nalyutin
 
ковалев нестандатное нт
ковалев нестандатное нтковалев нестандатное нт
ковалев нестандатное нт
 
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)Александр Александров -- Надёжный тест-дизайн (мастер-класс)
Александр Александров -- Надёжный тест-дизайн (мастер-класс)
 
Sq adays 2010_balashenko
Sq adays 2010_balashenkoSq adays 2010_balashenko
Sq adays 2010_balashenko
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testing
 
CodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидахCodeFest 2012 - Пентест на стероидах
CodeFest 2012 - Пентест на стероидах
 
Oleynikov sqa days 8_deck
Oleynikov sqa days 8_deckOleynikov sqa days 8_deck
Oleynikov sqa days 8_deck
 
Webium: Page Objects in Python
Webium: Page Objects in PythonWebium: Page Objects in Python
Webium: Page Objects in Python
 
Тестирование защищенности веб-приложений
Тестирование защищенности веб-приложенийТестирование защищенности веб-приложений
Тестирование защищенности веб-приложений
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
 
ACC - конструируем тест-план методом Google
ACC - конструируем тест-план методом GoogleACC - конструируем тест-план методом Google
ACC - конструируем тест-план методом Google
 
Window Desktop Application Testing
Window Desktop Application TestingWindow Desktop Application Testing
Window Desktop Application Testing
 

Similar to очир абушинов

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrixqqlan
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2rit2010
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 

Similar to очир абушинов (20)

Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасности
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Audit intro
Audit introAudit intro
Audit intro
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrix
 
Security Metrix
Security MetrixSecurity Metrix
Security Metrix
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2Dmitry Evteev Pt Devteev Ritconf V2
Dmitry Evteev Pt Devteev Ritconf V2
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 

More from Alexei Lupan

Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Alexei Lupan
 
Мелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиМелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиAlexei Lupan
 
Алексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьАлексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьAlexei Lupan
 
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочинеAlexei Lupan
 
Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testingAlexei Lupan
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Alexei Lupan
 
Ui testing how intel does this
Ui testing how intel does thisUi testing how intel does this
Ui testing how intel does thisAlexei Lupan
 
сергей андреев
сергей андреевсергей андреев
сергей андреевAlexei Lupan
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковAlexei Lupan
 
ирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Finирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-FinAlexei Lupan
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковAlexei Lupan
 
евгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеевгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеAlexei Lupan
 
андрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаандрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаAlexei Lupan
 
Наталья Руколь - Sqamaps
Наталья Руколь - SqamapsНаталья Руколь - Sqamaps
Наталья Руколь - SqamapsAlexei Lupan
 
размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010Alexei Lupan
 
Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городеAlexei Lupan
 
Evelina Tananaeva
Evelina Tananaeva Evelina Tananaeva
Evelina TananaevaAlexei Lupan
 
Наталья Руколь - Sqa career
Наталья Руколь - Sqa careerНаталья Руколь - Sqa career
Наталья Руколь - Sqa careerAlexei Lupan
 
Orlov qa leadership
Orlov qa leadershipOrlov qa leadership
Orlov qa leadershipAlexei Lupan
 
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionSqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionAlexei Lupan
 

More from Alexei Lupan (20)

Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)Когда требования никакие (Dump 2015)
Когда требования никакие (Dump 2015)
 
Мелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательностиМелочь пузатая или Объем тест кейса против его содержательности
Мелочь пузатая или Объем тест кейса против его содержательности
 
Алексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизироватьАлексей Лупан - Да перестаньте уже автоматизировать
Алексей Лупан - Да перестаньте уже автоматизировать
 
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
(Seleniumcamp) Selenium IDE как артефакт пикника на обочине
 
Serious+performance+testing
Serious+performance+testingSerious+performance+testing
Serious+performance+testing
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
Ui testing how intel does this
Ui testing how intel does thisUi testing how intel does this
Ui testing how intel does this
 
сергей андреев
сергей андреевсергей андреев
сергей андреев
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиков
 
ирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Finирина карачунская что ждет тестировщика итог-Fin
ирина карачунская что ждет тестировщика итог-Fin
 
павел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиковпавел мильков знания и умения тестировщиков
павел мильков знания и умения тестировщиков
 
евгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестированиеевгения фирсова нерелизное тестирование
евгения фирсова нерелизное тестирование
 
андрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчикаандрей дмитриев взгляд со стороны разработчика
андрей дмитриев взгляд со стороны разработчика
 
Наталья Руколь - Sqamaps
Наталья Руколь - SqamapsНаталья Руколь - Sqamaps
Наталья Руколь - Sqamaps
 
размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010размышления об аутсорсинге Sqa days 2010
размышления об аутсорсинге Sqa days 2010
 
Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе Андрей Кузьмичев - яндекс в городе
Андрей Кузьмичев - яндекс в городе
 
Evelina Tananaeva
Evelina Tananaeva Evelina Tananaeva
Evelina Tananaeva
 
Наталья Руколь - Sqa career
Наталья Руколь - Sqa careerНаталья Руколь - Sqa career
Наталья Руколь - Sqa career
 
Orlov qa leadership
Orlov qa leadershipOrlov qa leadership
Orlov qa leadership
 
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interactionSqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
Sqa.days.2010.beskov.system.analyst.and.test.engineers.interaction
 

очир абушинов