Embed Size (px)
Citation preview
OWASP Top 10
Jonas LejonTriop
Geek Meet VST Feb 2017
$ whoami
• FRA, Försvarsmakten• Triop AB - Eget företag sedan 2013• Styrelseledamot IIS, ISOC-SE• Advisory board Holm Security• Bloggar på kryptera.se– Och penetrationstest.se
MEN FÖRST..
GDPR
• Dataskyddsreformen• General Data Protection Regulation• Ersätter PUL (personuppgiftslagen)• Gäller från 25 maj 2018
GDPR
• Användare ska ges enkel tillgång till sina egna uppgifter
• Tydligare hur personuppgifter samlas in och vad som anses vara ett samtycke
• Användare kan få sina uppgifter flyttade från en organisation till en annan
• Användare kan få sina uppgifter borttagna• Organisationer som drabbats av en
incident måste anmäla detta inom 72 timmar från det att dataintrånget upptäcks
GDPR
• Böter på upp till €20 miljoner eller 4 % av globala omsättningen
• Rekommendationer:– Var finns personlig data– Kontroll av läsning– Övervaka nätverk– Testa säkerheten med ett
penetrationstest
WEBBSÄKERHET
Erfarenheter och trender• System har sårbarheter– God separation mellan system– Loggning + detektion– Höj ribban– Använd låga behörigheter
• Se till att säkerhet inte blir en teknisk skuld
• Utför oberoende granskningar
Erfarenheter och trender• Utför code reviews • Automatiska tester– Qualys– Detectify– Nessus – Holm Security
• Hur lagras hemligheter såsom API-nycklar• Best practices för SSH-nycklar
OWASPThe Open Web Application Security Project
Om organisationen• Ideell förening som grundades 2001– 42k medlemmar
• Transparens, öppenhet, integritet och innovation
• Events i form av AppSec• Finns i Sverige på flertalet ställen:
– Stockholm– North Sweden (Umeå)– East Sweden (Linköping)– Göteborg
• Kommunikation i Sverige via E-postlista
Globala projekt• OWASP Top 10• OWASP Zed Attack Proxy Project (ZAP)• OWASP Testing Guide v4
OWASP Top Ten Project• Topp 10 kategorier av webbsårbarheter– Senaste versionen utkom 2013– Ny version 2017– Licensierad under CC Attribution-
ShareAlike 3.0• Refereras till– PCI DSS– Upphandlingar, krav
OWASP Top Ten ProjectA1 InjectionA2 Broken Authentication and Session ManagementA3 Cross-Site Scripting (XSS)A4 Insecure Direct Object ReferencesA5 Security MisconfigurationA6 Sensitive Data ExposureA7 Missing Function Level Access ControlA8 Cross-Site Request Forgery (CSRF)A9 Using Components with Known VulnerabilitiesA10 Unvalidated Redirects and Forwards
ZAP• Verktyg för att automatisera attacker• Utvecklat i java• Modulärt• Proxy för din webbläsare• Alternativ: Burp Suite
ZAP
ZAP
OWASP Testing Guide v4https://owasp.org/index.php/Category:OWASP_Top_Ten_Project
Lär dig mer om webbsäkerhet• Bugcrowd• HackerOne• DVWA - Damn Vulnerable Web Application
