Open Web Application Security Project (OWASP) Petr Závodský CZ.NIC petr.zavodsky@owasp.org +420 602 684 316
06 April 2017 Jen lidé Vznik: 9. září 2001 Celosvětová „free & open“ komunita zaměřená na zlepšení bezpečnosti aplikačního softwaru. Chceme SW bezpečnost zviditelnit tak, aby jednotlivci a organizace mohli přijímat informovaná rozhodnutí o rizicích a zabezpečení. Všichni mají možnost se podílet na OWASP a všechny materiály jsou k dispozici zdarma. OWASP Foundation je nezisková charitativní organizace, která průběžně zajišťuje podporu naší práce. type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
Lidé Nástroje Procesy Aktivity Vzdělávání Návody Konference ... 06 April 2017 Aktivity Vzdělávání Návody Konference ... Lidé Webgoat WebScarab ESAPI Nástroje Requirements list CLASP SAMM Procesy type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
06 April 2017 OWASP Top 10 A1 – Injection Napadení aplikace vsunutím kódu přes neošetřený vstup. Např. SQL, LDAP, OS injection. A2 – Cross Site Scripting (XSS) Narušení webových aplikací vkládáním skriptů či jejich částí do webového prohlížeče. A3 – Broken Authentication and Session Management Napadení funkcí aplikací, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele. A4 – Insecure Direct Object References Přístupy k neoprávněným datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči). A5 – Cross Site Request Forgery (CSRF) Útok podvržením požadavku webové aplikace. A6 – Security Misconfiguration Útoky využívající nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. (např. ponecháním výchozích hodnot, neaktualizování aj.) A7 – Insecure Cryptographic Storage Rizika vyplývající z nedostatečně chráněných citlivých dat (čísla kreditních karet, rodná čísla atd.). A8 – Failure to Restrict URL Access Nedostatečně zabezpečené řízení přístupu ke zdrojům informací (dokument, služba) přes URL. A9 – Insufficient Transport Layer Protection Útoky odposlechem sítí. A10 – Unvalidated Redirects and Forwards Útoky přesměrováním na jiné stránky type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
06 April 2017 OWASP Top 10 Federal Trade Comission důrazně doporučuje všem společnostem používali OWASP Top 10 (a totéž požadovat od svých partnerů) Defense Information Systems Agency (DISA) OWASP Top 10 řadí mezi klíčové osvědčené postupy Vznikají konkrétní požadavky EU na zabezpečení systémů, např.: Prováděcí nařízení Komise (EU) č. 1179/2011 ze dne 17. listopadu 2011, kterým se stanoví technické specifikace pro online systémy sběru podle nařízení Evropského parlamentu a Rady (EU) č. 211/2011 o občanské iniciativě Množství komerčních subjektů type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
06 April 2017 OWASP Testing Guide https://www.owasp.org/index.php/Category:OWASP_Testing_Project Detailní a srozumitelné návody, jak bezpečnostně otestovat webovou aplikaci (návody, popisy, nástroje, typologie) Aktuálně v3, chystá se v4 Obsahuje cca 70 testovacích případů (test case / test suit) – ty se však podle rozsahu aplikace mohou rozšířit i na několik tisíc testovacích případů Ideální pro začlenění do vývojového procesu Nutné testery naučit type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
České OWASP aktivity Přístupnost bezpečnosti webových aplikací 06 April 2017 České OWASP aktivity Přístupnost bezpečnosti webových aplikací Dobrý kód – www.dobrykod.cz Předpoklady použití: Uživatel je zaregistrován ve službě Dobrý kód Uživatel používá službu Dobrý kód Provozovatel/vývojář využívá službu Dobrý kód type here level of Sensitivity "Unrestricted", Internal Use Only" or "Confidential"
Open Web Application Security Project (OWASP) Děkuji za pozornost. Petr Závodský CZ.NIC petr.zavodsky@owasp.org +420 602 684 316