Open Web Application Security Project(OWASP)

Petr ZávodskýCZ.NICpetr.zavodsky@owasp.org+420 602 684 316

• Vznik: 9. září 2001

• Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru.

• Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení.

• Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma.

• OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce.

Jen lidé

Aktivity

• Vzdělávání• Návody• Konference• ...

Lidé

• Webgoat• WebScarab• ESAPI• ...

Nástroje

• Requirements list• CLASP• SAMM• ...Procesy

OWASP Top 10A1 – Injection Napadení aplikace vsunutím kódu přes neošetřený vstup. Např.

SQL, LDAP, OS injection.

A2 – Cross Site Scripting (XSS)

Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče.

A3 – Broken Authentication and Session Management

Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.

A4 – Insecure Direct Object References

Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).

A5 – Cross Site Request Forgery (CSRF)

Útok podvržením požadavku webové aplikace.

A6 – Security Misconfiguration

Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová ní aj.)

A7 – Insecure Cryptographic Storage

Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.).

A8 – Failure to Restrict URL Access

Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL.

A9 – Insufficient Transport Layer Protection

Útoky odposlechem sítí.

A10 – Unvalidated Redirects and Forwards

Útoky přesměrováním na jiné stránky

• Federal Trade Comission důrazně doporučuje všem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů)

• Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy

• Vznikají konkrétní požadavky EU na zabezpečení systémů, např.:

• Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě

• Množství komerčních subjektů

OWASP Top 10

• https://www.owasp.org/index.php/Category:OWASP_Testing_Project

• Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie)

• Aktuálně v3, chystá se v4

• Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů

• Ideální pro začlenění do vývojového procesu

• Nutné testery naučit

OWASP Testing Guide

• Přístupnost bezpečnosti webových aplikací

• Dobrý kód – www.dobrykod.cz

České OWASP aktivity

Předpoklady použití:• Uživatel je zaregistrován ve službě Dobrý

kód• Uživatel používá službu Dobrý kód• Provozovatel/vývojář využívá službu

Dobrý kód

Open Web Application Security Project(OWASP)

Děkuji za pozornost.Petr Závodský

CZ.NICpetr.zavodsky@owasp.org+420 602 684 316