Open(Source) Web Application Security Project

Transkrypt

1 Open(Source) Web Application Security Project Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 Login: Wojciech Dworakowski CEO (od 2003) Testowanie i doradztwo w zakresie bezpieczeństwa aplikacji i systemów IT Poland Chapter Leader (od 2011)

3 Agenda - Organizacja open source? Jak może Ci pomóc? edukacja dla programistów dla administratorów dla testerów dla zarządzających Jak Ty możesz pomóc? Najbliższe wydarzenia

4 Problem Źródło: Verizon Data Breach Investigations Report 2014

5 Open Web Application Security Project Misja: Poprawa stanu bezpieczeństwa aplikacji Make application security visible so that people and organizations can make informed decisions about true application security risk 5

6 O = Open Organizacja oparta na zasadach open source Fundacja non-profit Materiały i narzędzia za darmo licencje GPL / CC tworzone na zasadach otwartej współpracy każdy może zaproponować nową inicjatywę 6

7 O = Open Organizacja oparta na zasadach open source Uczestnictwo w spotkaniach nieodpłatne Demokratyczne wybory Zarządu Transparentne ustalenia, budżet, wydatki, Dobrowolne składki członkowskie Dobrowolne dotacje Nie wspieramy firm komercyjnych ale one wspierają nas 7

8 Czy model OPEN działa? 150+ projektów, kiladziesiąt tys. pobrań / mies oddziałów w ponad 100 krajach osób i 50+ firm wspierających finansowo aktywnych uczestników społeczności uczestników konferencji

9

10 Projekty

11

12 JAK MOŻE CI POMÓC?

13 Grafika: Flickr / Pedro Vezini Projekty edukacyjne

14 Top 10 Injection Broken Authentication and Session Management Cross-Site Scripting (XSS) Insecure Direct Object References Security Misconfiguration Sensitive Data Exposure Missing Function Level Access Control Cross-Site Request Forgery (CSRF) Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards

15 App Sec Tutorial Videos Podcast Platformy treningowe: Hackademic, WebGoat, igoat, DVIA Materiały edukacyjne

16 Konferencje i Spotkania

17 Grafika: Flickr / georgivar Programiści / Builders

18 Podręczniki i ściągawki Development Guide Secure Coding Practices Quick Reference Guide Developers Cheat Sheets Authentication Forgot Password Choosing and Using Security Questions Password Storage Session Management Input Validation XSS (Cross Site Scripting) Prevention Clickjacking Defense CSRF Prevention SQL Injection Prevention HTML5 Security.Net Security Ruby on Rails REST Security User Privacy Protection Web Service Security Attack Survace Analysys IOS Developer Mobile Jailbreaking Virtual Patching

19 ESAPI Enterprise Security API Uwierzytelnianie Kontrola dostępu Walidacja wejścia Kodowanie na wyjściu Kryptografia Obsługa błędów Komunikacja HTTP Konfiguracja

20 Administratorzy / Defenders Grafika: Flickr / Daniel Dionne

21 ModSecurity Core Rule Set ModSecurity - web application firewall engine Zestaw reguł filtrowania ruchu chroniących przed typowymi atakami Np.: DoS Wykrywanie automatów Wykrywanie trojanów Sprawdzanie reputacji adresu IP Powszechne ataki na aplikacje webowe

22 AppSensor Application Based Intrusion Detection Wykrywa i odpowiada na ataki WAF ale wszyty w kod aplikacji 50+ detection points / 15 sposobów reakcji Wymaga wszycia przez programistów

23 Grafika: Flickr / quimby Testujący bezpieczeństwo / Breakers

24 Narzędzia do testowania bezpieczeństwa ZAP WebScarab OWTF DirBuster Podręczniki Testing Guide Standardy ASVS Application Security Verification Standard

25 Zarządzający Grafika: Flickr / georgivar

26

27 Application Security Verification Standard (ASVS) Wytyczne dla zespołu tworzącego aplikacje Specyfikacja w kontraktach Wzorzec przy testach bezpieczeństwa

28 Poland Chapter Od 2007 Kilka spotkań co roku Kraków, Warszawa, Poznań Wspierają nas:

29 Najbliższe wydarzenia Kraków, 26 maja 2014 Bezpieczeństwo vs continous delivery Automatyzacja testów bezpieczeństwa AppSec Research 2014 Cambridge (UK), czerwca

30 Jak nam pomóc? Umiejętności Propozycje wystąpień na spotkaniach Udział w projektach Fundusze Dobrowolna opłata członkowska Local Chapter Supporter Czas Pomoc w organizacji spotkań i konferencji

31 Poland Lista mailingowa Facebook: Poland Local Chapter