Upload
melvina-hartnett
View
40
Download
2
Embed Size (px)
DESCRIPTION
Open Web Application Security Project (OWASP). Petr Závodský CZ.NIC [email protected] +420 602 684 316. Jen lidé. Vznik: 9. září 2001 Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru . - PowerPoint PPT Presentation
Citation preview
Open Web Application Security Project(OWASP)
Petr Závodský[email protected]+420 602 684 316
• Vznik: 9. září 2001
• Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru.
• Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení.
• Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma.
• OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce.
Jen lidé
Aktivity
• Vzdělávání• Návody• Konference• ...
Lidé
• Webgoat• WebScarab• ESAPI• ...
Nástroje
• Requirements list• CLASP• SAMM• ...Procesy
OWASP Top 10A1 – Injection Napadení aplikace vsunutím kódu přes neošetřený vstup. Např.
SQL, LDAP, OS injection.
A2 – Cross Site Scripting (XSS)
Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče.
A3 – Broken Authentication and Session Management
Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.
A4 – Insecure Direct Object References
Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).
A5 – Cross Site Request Forgery (CSRF)
Útok podvržením požadavku webové aplikace.
A6 – Security Misconfiguration
Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová ní aj.)
A7 – Insecure Cryptographic Storage
Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.).
A8 – Failure to Restrict URL Access
Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL.
A9 – Insufficient Transport Layer Protection
Útoky odposlechem sítí.
A10 – Unvalidated Redirects and Forwards
Útoky přesměrováním na jiné stránky
• Federal Trade Comission důrazně doporučuje všem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů)
• Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy
• Vznikají konkrétní požadavky EU na zabezpečení systémů, např.:
• Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě
• Množství komerčních subjektů
OWASP Top 10
• https://www.owasp.org/index.php/Category:OWASP_Testing_Project
• Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie)
• Aktuálně v3, chystá se v4
• Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů
• Ideální pro začlenění do vývojového procesu
• Nutné testery naučit
OWASP Testing Guide
• Přístupnost bezpečnosti webových aplikací
• Dobrý kód – www.dobrykod.cz
České OWASP aktivity
Předpoklady použití:• Uživatel je zaregistrován ve službě Dobrý
kód• Uživatel používá službu Dobrý kód• Provozovatel/vývojář využívá službu
Dobrý kód
Open Web Application Security Project(OWASP)
Děkuji za pozornost.Petr Závodský
[email protected]+420 602 684 316