Open Web Application Security Project (OWASP)

Slides:



Advertisements
Podobné prezentace
Přístupnost informací na webech Prezentace na seminář Parádní web Michal Rada, MVČR.
Advertisements

Martin Šimeček.  seznámit s APEXem – poskytnout základní manuál  vytvořit webovou aplikaci pro sběr informací o databázových systémech  naplnit databázi.
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
Počítačové praktikum Úvod do předmětu
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Přednáška č. 5 Proces návrhu databáze
Informační systémy a technologie
Virtuální učebna aneb „webinář“.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
HELPDESK Pomoc uživatelům s jejich IT problémy a zefektivnění práce servisních techniků.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Informační technologie pro IZS a krizové řízení
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Moderní formy tvorby webových stránek Martin Šebela, 9.A vedoucí práce: Mgr. Jan Kříž.
O OWASP Předmluva OWASP Autorská práva a licence
Úvod. školní: příprava na předmět Databázové systémy praktický: webové aplikace databázové systémy základy vývoje webových aplikací od návrhu databáze.
PHP – Základy programování
IVIG 2005 Informační vzdělávání a informační gramotnost v teorii a praxi vzdělávacích institucí Projekt online systému podpory informačního vzděláván v.
Absolventská práce 2002 Aplikace XML rozhraní v prostředí krajského úřadu Autor : Marek Cop Vedoucí : Ing. Petr Pavlinec 2002.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.
Ing. Jan Mittner Autentizace 2. Pluginy 3. Autorizace 4. Útoky 2.
Cross-Site Request Forgery Prezentace k přednášce o CSRF útocích Připraveno pro SOOM session #
Internet.  Celosvětový systém propojených počítačů  Funkce  Sdílení dat  Elektronická pošta.
Aleš Chudý IW BG Lead Microsoft Corporation. Lidé jsou klíčové aktivum firem Nové trendy práce Software jako platforma Strategická iniciativa (horizont.
Úvod do JavaScriptu JavaScript je p JavaScript je programovací jazyk, který se používá na webových stránkách. JavaScript je typu KLIENT - KLIENT To znamená,
Microsoft Office Project 2007 Představení aplikace.
Elektronický registr oznámení Zpracoval(a): Mgr. František Rudecký
Aplikační programy, programovací jazyky, formáty datových souborů
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
PHP PHP - úvod - 02 Mgr. Josef Nožička IKT PHP
2005 Adobe Systems Incorporated. All Rights Reserved. 1 Inteligentní PDF formuláře Vladimír Střálka Territory Account Manager Adobe Řešení pro.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
Základní rozdělení činností v podnikové informatice
Ochrana síťového prostoru malé firmy Plošné útoky, rizika & řešení Jaroslav Šeps, ŠETRnet s.r.o.
Mgr. Milan Šimek. Počítačová síť je skupina počítačů spojených dohromady umožňující více uživatelům přistupovat k jedněm zdrojům, sdílet a využívat tatáž.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Miroslav Skokan IT Security Consultant
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
Autor : Ing. Zdeněk Sauer, Senior Security Consultant SODATSW spol. s r. o.; Horní 32; Brno; Czech Republic
2 Karla Halenková Setkání uživatelů 2001 Báze znalostí produkt pro naplnění uživatelem.
Profesní čipové karty Mgr. Lada Hrůzová Vedoucí projektu Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
CZ.NIC a jeho aktivity na poli počítačové bezpečnosti Konference Internet&komunikace 2015 Martin Peterka
Univerzita Karlova v Praze Lékařská fakulta v Plzni Oddělení OVAVT Jestliže chcete oživit systém Vaší výuky, „online learning systém“ Vám nabízí? Jednoduché.
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
Akreditovaný e-learningový kurz Rovné příležitosti žen a mužů Ing. Petr Špindler, RENTEL a.s. Konference „Rovné příležitosti“ MV ČR, Praha,
Zabezpečení – CSRF, XSS Tomáš Hulák, Miroslav Kořínek.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Název školy: Základní škola Městec Králové Autor: Mgr. Petr Novák Název: VY_32_INOVACE_07_Inf5 Číslo projektu: CZ.1.07/1.4.00/ Téma: Server Anotace:
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Univerzitní informační systém II., Lednice 2003 Jednotná autentizace na univerzitě (LDAP) Petr Dadák
SW pro správu PC, aplikační SW, licence
Inf Bezpečný počítač.
Zabezpečení cloud prostředí
Elektronický obchod z pohledu České republiky
Účinné zabezpečení IT a stálý dohled
BEZPEČNOSTNÍ RIZIKA INTERNETU
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Nástroje podpory uživatelů
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Bezpečnost webových aplikací
Číslo projektu OP VK Název projektu Moderní škola Název školy
Web Application Scanning
Transkript prezentace:

Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC petr.zavodsky@owasp.org +420 602 684 316

06 April 2017 Jen lidé Vznik: 9. září 2001 Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru. Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení. Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma. OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce. type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

Lidé Nástroje Procesy Aktivity Vzdělávání Návody Konference ... 06 April 2017 Aktivity Vzdělávání Návody Konference ... Lidé Webgoat WebScarab ESAPI Nástroje Requirements list CLASP SAMM Procesy type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

06 April 2017 OWASP Top 10 A1 – Injection Napadení aplikace vsunutím kódu přes neošetřený vstup. Např. SQL, LDAP, OS injection. A2 – Cross Site Scripting (XSS) Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče. A3 – Broken Authentication and Session Management Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele. A4 – Insecure Direct Object References Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči). A5 – Cross Site Request Forgery (CSRF) Útok podvržením požadavku webové aplikace. A6 – Security Misconfiguration Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizová­ní aj.) A7 – Insecure Cryptographic Storage Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.). A8 – Failure to Restrict URL Access Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL. A9 – Insufficient Transport Layer Protection Útoky odposlechem sítí. A10 – Unvalidated Redirects and Forwards Útoky přesměrováním na jiné stránky type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

06 April 2017 OWASP Top 10 Federal Trade Comission důrazně doporučuje všem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů) Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy Vznikají konkrétní požadavky EU na zabezpečení systémů, např.: Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě Množství komerčních subjektů type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

06 April 2017 OWASP Testing Guide https://www.owasp.org/index.php/Category:OWASP_Testing_Project Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie) Aktuálně v3, chystá se v4 Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů Ideální pro začlenění do vývojového procesu Nutné testery naučit type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

České OWASP aktivity Přístupnost bezpečnosti webových aplikací 06 April 2017 České OWASP aktivity Přístupnost bezpečnosti webových aplikací Dobrý kód – www.dobrykod.cz Předpoklady použití: Uživatel je zaregistrován ve službě Dobrý kód Uživatel používá službu Dobrý kód Provozovatel/vývojář využívá službu Dobrý kód type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"

Open Web Application Security Project (OWASP) Děkuji za pozornost. Petr Závodský CZ.NIC petr.zavodsky@owasp.org +420 602 684 316