Hva skjer i OWASP? OWASP. The OWASP Foundation. Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no

Transkript

1 OWASP Norway Chapter Hva skjer i OWASP? Kåre Presttun Chapter Lead mnemonic as kaare@mnemonic.no Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation

2 OWASP - hva er det? OWASP Open Web Application Security Project 2000 OWASP startet 2004 OWASP Foundation registrert i USA som en not-for-profit-entity Begrepet OWASP favner alle aktivitetene som i OWASP Foundation Formål gjøre det mulig å utvikle, kjøpe og vedlikeholde webapplikasjoner som en kan stole på OWASP 2

3 OWASP - aktiviteter OWASP er et åpent fellesskap som har som formål å gjøre det mulig å utvikle, kjøpe og vedlikeholde webapplikasjoner som en kan stole på. Alle OWASP verktøy, dokumenter og forum er gratis og åpent og alle interesserte kan delta. Arbeidet foregår i prosjekter (97 vi skal ikke se på alle). Medlemsavgift går til å finansiere prosjekter. Informasjon spres på konferanser Informasjon spres på møter i Local Chapter som det finnes 113 stykker av (Sverige, Danmark, Finnland) Det var stiftelsesmøte for Norway Chapter onsdag 2. april og generalforsamling mandag 28. april OWASP 3

4 OWASP Main Site Traffic Worldwide Users Most New Visitors OWASP /wk 4

5 5 OWASP 97 på listen i Norge OWASP Worldwide Community

6 Prosjekter 1 97 stk Prosjekttyper Verktøy Kode til app, verktøy test, verktøy opplæring Dokumentasjon Guides, legal, opplæring, on the move, standarder Kvalitetsnivåer Release Quality Beta Status Alpha Status OWASP 6

7 Prosjekter 2 Release Quality Verktøy 2 Dokumentasjon 6 Season of Code Projects Verktøy 16 Dokumentasjon 16 Beta Status Verktøy 16 Dokumentasjon 4 Alpha Status Verktøy 13 Dokumentasjon 24 OWASP 7

8 Medlemsavgift Medlemsavgift Personlig (100 USD) Veldedige og utdanning (250 USD) Bedrift ( USD) Donasjon Overskudd fra konferanser Medlemsavgifter + donasjoner + overskudd = prosjekter + Foundation (6 ansatte, deltid) OWASP 8

9 OWASP Top Ten Project A1 - Cross Site Scripting (XSS) A2 - Injection Flaws, particularly SQL injection A3 - Malicious File Execution A4 - Insecure Direct Object A5 - Cross Site Request Forgery (CSRF) (XSRF) A6 - Information Leakage and Improper Error Handling A7 - Broken Authentication and Session Management A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access Top Ten inneholder detaljert informasjon om hvordan de forskjellige problemene kan fikses og mye referanser OWASP 9

10 OWASP AppSec FAQ Project FAQ en vinklet mot utviklere. Utviklere vil finne korte svar på de vanligste spørsmål. For utfyllende forklaringer anbefales OWASP Guide OWASP 10

11 OWASP Guide Project Et dokument på over 300 sider som er en veiledning i hvordan man utvikler sikre webapplikasjoner og web-services Et løpende prosjekt oppdateres hele tiden Dekker rike applikasjoner som Ajax Dekker hele utviklingsprosessen som policy, sikker koding, trussel og risikomodellering til konfigurasjon, utrulling og vedlikehold Dekker i detalj mange tema som autentisering, autorisering, sesjonshåndtering, datavalidering etc. OWASP 11

12 Web applications - oversikt OWASP 12

13 OWASP Testing Guide Guiden går inn på hvorfor testing er viktig gjennom hele prosessen fra utvilklingen starter til en er i produksjon og vedlikehold. Det finnes detaljert veiledning, på er mengde problemområder så som XSS, om hvordan det kan testes Lag testene i parallell med koden Veiledning i test av SSL/TLS (normalt feil satt opp) Det er også veiledning i testing av web-services og Ajax God oversikt over testverktøy, både gratis og kommersielle. OWASP 13

14 OWASP Code Review Guide historie Metodikk Rask gjennomgang av koden Code Reviews og PCI DSS Eksempler basert på tekniske tiltak Eksempler basert på sårbarheter Beste praksis for forskjellige språk (Java) Eksempel-rapporter Atomatisering av kodegjennomgang The Owasp Code Review Top 10 flaw categories OWASP 14

15 OWASP ASDR Project Application Security Desk Reference Tilgjengelig i alpha, 598 sider Skal danne basis for OWASP Guide Project OWASP Testing Guide OWASP Code Review Disse skal revideres i 2009 slik at bare de spesifikke delene blir beskrevet der Alt referanse materiale skal i ASDR slik at det vedlikeholdes ett sted OWASP 15

16 OWASP Legal Project Kontraktsinnspill for å avtale hvordan datasikkerhet skal håndteres mellom kjøpere og leverandører av programvare Bare et innspill, kontakt egen advokat for tilpasning Er gjort offentlig for å lette kontraktsarbeid OWASP 16

17 OWASP Legal Project Vedleggsinnhold Innhold: 1. INTRODUCTION 2. PHILOSOPHY 3. LIFECYCLE ACTIVITIES 4. SECURITY REQUIREMENT AREAS 5. PERSONNEL AND ORGANIZATION 6. DEVELOPMENT ENVIRONMENT 7. LIBRARIES, FRAMEWORKS, AND PRODUCTS 8. SECURITY REVIEWS 9. SECURITY ISSUE MANAGEMENT 10.ASSURANCE 11.SECURITY ACCEPTANCE AND MAINTENANCE OWASP 17

18 OWASP WebGoat Project Dette er en usikker web-applikasjon som er skrevet for å lære om web-applikasjonssikkerhet. Skrevet i Java Interaktiv opplæringsmiljø Inneholder over 30 øvelser hvor en lærer hvordan de forskjellige typer feil oppfører seg og som en selv kan teste Inneholder: Cross Site Scripting, Access Control, Thread Safety, Hidden Form Field Manipulation, Parameter Manipulation, Weak Session Cookies, Blind SQL Injection, Numeric SQL Injection, String SQL Injection, Web Services, Fail Open Authentication, Dangers of HTML Comments, +++ OWASP 18

19 OWASP WebScarab Project Et rammeverk for analyse og testing av applikasjoner som bruker http og https. Skrevet i Java Den vanligst bruken er som lokal proxy på testeren sin maskin Paros og Burp suite er lignende verktøy som også er gratis. Alle har litt forskjellige egenskaper. OWASP 19

20 OWASP Stinger Project En slags applikasjonslagsbrannmur eller inputfilter som legges foran applikasjonen. Enkelt å integrere med eksisterende applikasjoner Skrevet i Java Konfigureres med en XML-fil som beskriver filterreglene V 3: Forenkling av regelgenerering med learning mode OWASP 20

21 OWASP CSRFGuard Project User (Browser) Add Token Add to HTML token in 1. Add token browser with HTML with with regex Javascript parser OWASP CSRFGuard Verify Token OWASP CSRF Tester Business Processing Token må være kryptografisk sikkert adderer token til: href attributt src attributt hidden field i alle forms Aksjoner Logge Gjøre ugyldig redirigere OWASP 21

22 OWASP AntiSamy Project Å la brukerne legge inn html-kode i en applikasjon er potensielt farlig. Mange husker gjestebøker fra rundt når 2000 som tillot det. Det poppet opp skript som sendte folk rundt til alt mulig, stort sett porno. MySpace tillater innlegging av ganske mye men sperrer en del. Det var noen feil i implementeringen. Samy ville ha mange venner på MySpace. Han klarte å lage et skript som kom seg gjennom filteret og etter mindre enn 20 t hadde han over venner. En time etterpå ble MySpace tatt ned for opprydning. Les den sprø historien fra Samy selv: OWASP 22

23 OWASP AntiSamy Project Hendelsen førte til at en begynte å undersøke muligheten for å lage en generisk filterkomponent som kan beskytte mot dette. AntiSamy var født. Finnes i Java og.net. PHP kommer i løpet av Konfigureres med en XML-fil Fire XML-filer følger med (med forskjellig nivå av paranoia): antisamy-slashdot.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-anythinggoes.xml Kan ta utgangspunkt i en av de og redigere til ønsket policy MySpace bruker black listing, AntiSamy bruker white listing OWASP 23

24 Enterprise Security API (ESAPI) Project En åpen samling av alle sikkerhetsmetodene en utvikler har behov for Eksisterende rammeverk og plattformer (Java EE, Struts, Spring, etc...) har noe støtte for sikkerhet men ikke nok En åpen referanseimplementasjon Antisamy er nå integrert i ESAPI Skrevet i Java og.net PHP er under arbeid OWASP 24

25 Enterprise Security API (ESAPI) Project Hvorfor ESAPI Det er vanskelig å lage alle sikkerhetsfunksjonene riktig (krever inngående forståelse av angrepene) Det er ofte ikke nok tid i prosjektene til å gjøre det riktig Utviklerne skal ikke bruke tiden på å lage alle sikkerhetsfunksjonene (stor forskjell på å lage og å bruke) Utviklerne skal bare bruke sikkerhetsfunksjonene Lage en gang, bruke igjen og igjen (de fleste trenger det samme) OWASP 25

26 Enterprise Security API (ESAPI) Project OWASP 26

27 Enterprise Security API (ESAPI) Project OWASP Top Ten Cross Site Scripting Injection Flaws Malicious File Execution Insecure Direct Object Cross Site Request Forgery Information Leakage, Error Handling Authentication, Session Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access OWASP ESAPI Validator, encoder Encoder HTTPUtilities (upload) AccessReferenceMap User (csrftoken) EnterpriseSecExeption HTTPUtils Autheticator, User, HTTPUtils Encryptor HTTPUtils (sec. cookie, channel) AccessController OWASP 27

28 OWASP AppSec konferanser Nettopp ferdig, Europa OWASP AppSec Europe Ghent, Belgium May 19th - 22nd - Conference & Training Nettopp ferdig, US OWASP AppSec U.S New York City September 22nd - 25th - Conference & Training Kommer May 11-14: OWASP AppSec Europe 2009 Krakow October OWASP AppSec US Washington, D.C. May/June OWASP AppSec Europe Stockholm, Sweden OWASP 28

29 Nyttige prosjekter OWASP CLASP Project Comprehensive, Lightweight Application Security Process OWASP LAPSE Project Lightweight Analysis for Program Security in Eclipse. LAPSE is designed to help with the task of auditing Java J2EE applications OWASP Orizon Project Kodeanalyse OWASP 29

30 Oppsummering OWASP har en mengde verktøy og veiledninger som kan hjelpe deg til å utvikle sikre webapplikasjoner Det er bedre å integrere inn en komponent fra OWASP enn å finne opp hjulet på nytt Og hvorfor ikke bidra til å forbedre en av de eksisterende modulene så den passer bedre i ditt prosjekt? Takk for oppmerksomheten OWASP 30