Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC +420 602 684 316.

Podobné prezentace


Prezentace na téma: "Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC +420 602 684 316."— Transkript prezentace:

1 Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC

2 Vznik: 9. září 2001 Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru. Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení. Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma. OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce. Jen lidé

3 Aktivity Vzdělávání Návody Konference... Lidé Webgoat WebScarab ESAPI... Nástroje Requirements list CLASP SAMM... Procesy

4 OWASP Top 10 A1 – InjectionNapadení aplikace vsunutím kódu přes neošetřený vstup. Např. SQL, LDAP, OS injection. A2 – Cross Site Scripting (XSS) Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče. A3 – Broken Authentication and Session Management Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele. A4 – Insecure Direct Object References Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči). A5 – Cross Site Request Forgery (CSRF) Útok podvržením požadavku webové aplikace. A6 – Security Misconfiguration Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová­ní aj.) A7 – Insecure Cryptographic Storage Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.). A8 – Failure to Restrict URL Access Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL. A9 – Insufficient Transport Layer Protection Útoky odposlechem sítí. A10 – Unvalidated Redirects and Forwards Útoky přesměrováním na jiné stránky

5 Federal Trade Comission důrazně doporučuje všem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů) Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy Vznikají konkrétní požadavky EU na zabezpečení systémů, např.: Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě Množství komerčních subjektů OWASP Top 10

6 https://www.owasp.org/index.php/Category:OWASP_Testing_Project Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie) Aktuálně v3, chystá se v4 Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů Ideální pro začlenění do vývojového procesu Nutné testery naučit OWASP Testing Guide

7 Přístupnost bezpečnosti webových aplikací Dobrý kód – České OWASP aktivity Předpoklady použití: Uživatel je zaregistrován ve službě Dobrý kód Uživatel používá službu Dobrý kód Provozovatel/vývojář využívá službu Dobrý kód

8 Open Web Application Security Project (OWASP) Děkuji za pozornost. Petr Závodský CZ.NIC


Stáhnout ppt "Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC +420 602 684 316."

Podobné prezentace


Reklamy Google