38
1 Web service security with OWASP ZAP LongTV

Web service security

  • Upload
    long-ta

  • View
    110

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Web service security

1

WebservicesecuritywithOWASPZAP

LongTV

Page 2: Web service security

About me

• Tạ Vũ Long• Dev at GMO-Z.com

Vietnam Lab Center

2

Page 3: Web service security

3

Page 4: Web service security

Agenda

I– Yêu cầu phichức năng:securityII– Giới thiệu OWASPZAPIII– DemoIV– Kết luận

4

Page 5: Web service security

Agenda

I– Yêu cầu phichức năng:securityII– Giới thiệu OWASPZAPIII– DemoIV– Kết luận

5

Page 6: Web service security

Non-FunctionalrequirementsVs

Functionalrequirements

6

Page 7: Web service security

Ví dụ về Non-Functionalrequirements• Performance– forexampleResponseTime,Throughput, Utilization,Static

Volumetric• Scalability• Capacity• Availability• Reliability• Recoverability• Maintainability• Serviceability• Security• Regulatory• Manageability• Environmental• DataIntegrity• Usability• Interoperability• …

7

Page 8: Web service security

8

Page 9: Web service security

Vulnerabilities1) SQLInjection2) OSCommandInjection3) UncheckedPathParameter/DirectoryTraversal4) ImproperSessionManagement5) Cross-SiteScripting6) CSRF(Cross-SiteRequestForgery)7) HTTPHeaderInjection8) MailHeaderInjection9) LackofAuthenticationandAuthorization

9

https://www.ipa.go.jp/security/vuln/websecurity.html

Page 10: Web service security

10

Page 11: Web service security

SQLInjection

11

https://www.ipa.go.jp/security/vuln/websecurity.html

Page 12: Web service security

Cross-SiteScripting

12

https://www.ipa.go.jp/security/vuln/websecurity.html

Page 13: Web service security

13

Page 14: Web service security

Phòng chống SQLInjection

• PreparedStatements(withParameterizedQueries)***

• WhiteListInputValidation• Escapingtất cả những jusernhập• StoredProcedures:tạo các proceduresđểthực thi các khối query

14

Page 15: Web service security

Phòng chống XSS

• Mặc định không cho nhập những dữ liệu kotintưởng,chỉ cho phép những nơi cần thiết.

• Escapemọi webpageelementsmà showcontentra trên trình duyệt web:(htmlspecialchars)– VD:<(&lt; ),>(&gt;),&(&amp;)

• Đối với cookiesquan trọng tasử dụng cờHTTPOnly để tránh bị trộm cookiesquajs.

• Thêm header“X-XSS-Protection”vào response

15

Page 16: Web service security

Nguy cơ tiềm tàng

• 96%các ứng dụng tồn tại các lỗ hổng bảo mật

16

https://www.info-point-security.com/sites/default/files/cenz ic-vulnerability-report-2014.pdf

Page 17: Web service security

Khắc phục sự cố

17

WEB APPLICATIONS SECURITY STATISTICS REPORT 2016

Page 18: Web service security

Vấn đề

• Không đưa security requirement vào• Giải quyết ko triệt để

– Team member thiếu kiến thức về bảo mật– Không đủ time, cost,…

18

Page 19: Web service security

19

Page 20: Web service security

Agenda

I– Yêu cầu phichức năng:securityII– Giới thiệu OWASPZAPIII– DemoIV– Kết luận

20

Page 21: Web service security

21

Page 22: Web service security

OWASP

• OWASP:OpenWebApplicationSecurityProject

• 2001/09/09byMarkCurphey (đanglà FounderandCEOof SRC:CLR(SourceClean)

22

Page 23: Web service security

OWASPProjects

• Hàng trăm projects:– https://www.owasp.org/index.php/Category:OWASP_Project

• Phổ biến:– OWASPtopten:công bố 10loại tấn công phổ biếnnhất (3năm 1?)

– OWASPZAP:securityscanner– Listattacktypes:https://www.owasp.org/index.php/Category:Attack

23

Page 24: Web service security

OWASPProjects

24

Page 25: Web service security

OWASPZAP• ZAP:ZedAttackProxy• Projecttích cực nhất của OWASP• Cross-Platform• Open-Source:https://github.com/zaproxy/zaproxy/

• Awards– 2015Bossie awardforThebestopensourcenetworkingandsecuritysoftware

– TopSecurityToolsof2014asvotedbyToolsWatch.org:2nd

– TopSecurityToolof2013asvotedbyToolsWatch.org:1st

25

Page 26: Web service security

Benchmarks

• TheWIVETScoreofWebApplicationScanners(18/09/2016)– Vị trí thứ 5(Unified)– Vị trí thứ 4(Free/OpenSource)

26

http://sectoolmarket.com/wivet-score-unified-list.html

Page 27: Web service security

Tools

• The Spiders: crawler ( sử dụng AJAX Spiders để scan các AJAX request )

• Proxy: Recorder , để giúp tạo những data hợp lệ khi attack.

• Active và Passive Scanning: quét lỗhổng chủ động và bị động

27

Page 28: Web service security

Tools

• Fuzzer:gửi những datakhông hợp lệ,khôngmong muốn.

• ChangingrequestsandResponses : allowsyoutospecifyascomplexacriteriaasyouneed

28

Page 29: Web service security

Tools

• ZAPRESTAPI:tương tác vsZAPthông quaAPI• ContinuousIntegration:tích hợp securityscannervào vòng phát triển liên tục.

29

Page 30: Web service security

30

Page 31: Web service security

Đủ chưa??

31

Page 32: Web service security

Other

• OSlevel:vulnerabilityscanner– Lynis:http://www.tecmint.com/linux-security-auditing-and-scanning-with-lynis-tool/

• Sourcescanner:– http://techbeacon.com/13-tools-checking-security-risk-open-source-dependencies-0

32

Page 33: Web service security

Đủ chưa??

33

Page 34: Web service security

34

Page 35: Web service security

35

Page 36: Web service security

Agenda

I– Yêu cầu phichức năng:securityII– Giới thiệu OWASPZAPIII– DemoIV– Kết luận

36

Page 37: Web service security

Kết luận

• Đưa securityrequirementvào process.• Đào tạo kiến thức về securitycho tất cả teammember.

• Có policyvề securitytrong quá trình pháttriển,vận hành,maintain.

• Sử dụng các toolvà nên tích hợp vào CI.

37

Page 38: Web service security

38