Troubleshooting (Enterprise) Web Applikationen mit OpenSource Tools

Christoph Stoettner (stoeps)

Playlists: 'froscon2022' videos starting here / audio

Koennen uns Werkzeuge aus dem Ethical Hacking oder Bug Bounty Hunter Bereich bei unserer taeglichen Arbeit mit Webapplikationen unterstuetzen?

Koennen uns Werkzeuge aus dem Ethical Hacking oder Bug Bounty Hunter Bereich bei unserer taeglichen Arbeit mit Webapplikationen unterstuetzen?

Im Umgang mit gekauften Closed Source Web Applikationen die auf Basis von WebSphere Application Server und Kubernetes laufen, geht es in vielen Support Fällen um die Reproduzierbarkeit und Javascript Analysen im Browser. Im Gegensatz zu 2010 tauchen viele Fehler nicht mehr im Serverlog auf, sondern muessen auf den Clients im Browser untersucht werden.

Welche Tools verwende ich taeglich um automatisiert zu pruefen ob Updates keine Fehler verursachen (Load Testing), Browser sessions aufzuzeichnen oder zu untersuchen (Intercept Proxies), Kommandozeilentools um Browserantworten weiterzuverarbeiten (JSON). Die Automatisierung von Installationen und Updates hilft gerade bei der Reproduzierbarkeit enorm (Ansible, Terraform).

Gerade bei gekauften Produkten bekommt man oft nur verzoegert Updates und muss sich um Containerupdates auch mal selbst kuemmern. Wie sieht man ohne Dockerfile welche Aenderungen in einem Container bei der Erstellung gemacht wurden? Trivy und Dive helfen beim Finden von Vulnerabilities und Dive bei der Analyse der Container.

Download

Embed

Share:

Tags