Open(Source) Web Application Security Project 2014-05-14 Wojciech Dworakowski, SecuRing Poland Chapter Leader Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org
Login: Wojciech Dworakowski CEO (od 2003) Testowanie i doradztwo w zakresie bezpieczeństwa aplikacji i systemów IT Poland Chapter Leader (od 2011)
Agenda - Organizacja open source? Jak może Ci pomóc? edukacja dla programistów dla administratorów dla testerów dla zarządzających Jak Ty możesz pomóc? Najbliższe wydarzenia
Problem Źródło: Verizon Data Breach Investigations Report 2014
Open Web Application Security Project Misja: Poprawa stanu bezpieczeństwa aplikacji Make application security visible so that people and organizations can make informed decisions about true application security risk 5
O = Open Organizacja oparta na zasadach open source Fundacja non-profit Materiały i narzędzia za darmo licencje GPL / CC tworzone na zasadach otwartej współpracy każdy może zaproponować nową inicjatywę 6
O = Open Organizacja oparta na zasadach open source Uczestnictwo w spotkaniach nieodpłatne Demokratyczne wybory Zarządu Transparentne ustalenia, budżet, wydatki, Dobrowolne składki członkowskie Dobrowolne dotacje Nie wspieramy firm komercyjnych ale one wspierają nas 7
Czy model OPEN działa? 150+ projektów, kiladziesiąt tys. pobrań / mies. 200+ oddziałów w ponad 100 krajach 2000+ osób i 50+ firm wspierających finansowo 42000+ aktywnych uczestników społeczności 5000+ uczestników konferencji
Projekty
JAK MOŻE CI POMÓC?
Grafika: Flickr / Pedro Vezini Projekty edukacyjne
Top 10 https://www.owasp.org/index.php/top_10_2013 Injection Broken Authentication and Session Management Cross-Site Scripting (XSS) Insecure Direct Object References Security Misconfiguration Sensitive Data Exposure Missing Function Level Access Control Cross-Site Request Forgery (CSRF) Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards
App Sec Tutorial Videos http://www.youtube.com/user/appsectutorialseries Podcast Platformy treningowe: Hackademic, WebGoat, igoat, DVIA Materiały edukacyjne
Konferencje i Spotkania
Grafika: Flickr / georgivar Programiści / Builders
Podręczniki i ściągawki Development Guide Secure Coding Practices Quick Reference Guide Developers Cheat Sheets Authentication Forgot Password Choosing and Using Security Questions Password Storage Session Management Input Validation XSS (Cross Site Scripting) Prevention Clickjacking Defense CSRF Prevention SQL Injection Prevention HTML5 Security.Net Security Ruby on Rails REST Security User Privacy Protection Web Service Security Attack Survace Analysys IOS Developer Mobile Jailbreaking Virtual Patching
ESAPI Enterprise Security API Uwierzytelnianie Kontrola dostępu Walidacja wejścia Kodowanie na wyjściu Kryptografia Obsługa błędów Komunikacja HTTP Konfiguracja
Administratorzy / Defenders Grafika: Flickr / Daniel Dionne
ModSecurity Core Rule Set ModSecurity - web application firewall engine Zestaw reguł filtrowania ruchu chroniących przed typowymi atakami Np.: DoS Wykrywanie automatów Wykrywanie trojanów Sprawdzanie reputacji adresu IP Powszechne ataki na aplikacje webowe
AppSensor https://www.owasp.org/index.php/_appsensor_project Application Based Intrusion Detection Wykrywa i odpowiada na ataki WAF ale wszyty w kod aplikacji 50+ detection points / 15 sposobów reakcji Wymaga wszycia przez programistów
Grafika: Flickr / quimby Testujący bezpieczeństwo / Breakers
Narzędzia do testowania bezpieczeństwa ZAP WebScarab OWTF DirBuster Podręczniki Testing Guide Standardy ASVS Application Security Verification Standard
Zarządzający Grafika: Flickr / georgivar
Application Security Verification Standard (ASVS) Wytyczne dla zespołu tworzącego aplikacje Specyfikacja w kontraktach Wzorzec przy testach bezpieczeństwa
Poland Chapter Od 2007 Kilka spotkań co roku Kraków, Warszawa, Poznań Wspierają nas:
Najbliższe wydarzenia Kraków, 26 maja 2014 Bezpieczeństwo vs continous delivery Automatyzacja testów bezpieczeństwa https://www.owasp.org/index.php/poland AppSec Research 2014 Cambridge (UK), 23-26 czerwca 2014 https://2014.appsec.eu/
Jak nam pomóc? Umiejętności Propozycje wystąpień na spotkaniach Udział w projektach Fundusze Dobrowolna opłata członkowska Local Chapter Supporter Czas Pomoc w organizacji spotkań i konferencji
Poland https://www.owasp.org/index.php/poland Lista mailingowa Facebook: Poland Local Chapter Twitter: @owasppoland