Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Podobne dokumenty
Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

Open(Source) Web Application Security Project

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

17-18 listopada, Warszawa

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Szczegółowy opis przedmiotu zamówienia:

Check Point Endpoint Security

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Kompleksowe Przygotowanie do Egzaminu CISMP

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

Bezpieczeństwo systemów internetowych

Jak bezpieczne są Twoje dane w Internecie?

Wybierz właściwą edycję desktopową Windows 10. Wybierz sposób wdrażania nowych funkcjonalności. Wybierz najlepszą ofertę licencjonowania grupowego

BAKER TILLY POLAND CONSULTING

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Wojciech Dworakowski. Autoryzacja transakcji V S. Malware i hackerzy SECURE

Elektroniczny Case Report Form

Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP The OWASP Foundation

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

AUREA BPM HP Software. TECNA Sp. z o.o. Strona 1 z 7

ISO w Banku Spółdzielczym - od decyzji do realizacji

Przypadki bez przypadków. Jak dobierać scenariusze testowe.

Tematy dyplomów inżynierskich 2009 Katedra Inżynierii Oprogramowania

Lista analizowanych stanowisk

OGŁOSZENIE DODATKOWYCH INFORMACJI, INFORMACJE O NIEKOMPLETNEJ PROCEDURZE LUB SPROSTOWANIE

Emulacja karty elektronicznej EMV. Michał Głuchowski Praca dyplomowa inżynierska pod opieką prof. Zbigniewa Kotulskiego

Przegląd certyfikatów branŝowych

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Agile Project Management

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Program szkolenia: REST i Microservices w PHP

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Symantec Enterprise Security. Andrzej Kontkiewicz

Lista stanowisk Raport płacowy Sedlak & Sedlak dla branży IT

Rubik s Manager - Plan testów

Usługa: Audyt kodu źródłowego

Uwagi do projektów rozporządzeń związanych z platformą epuap

Rozwiązania HP Pull Print

ISO bezpieczeństwo informacji w organizacji

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department Linux Polska Sp. z o.o.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014

Bezpieczeostwo aplikacyjne

Błędy procesu tworzenia oprogramowania (Badania firmy Rational Software Corporation)

Instrukcja aktywacji aplikacji Mobile Biznes

SZCZEGÓŁOWY HARMONOGRAM KURSU

Elektroniczny Dowód Osobisty w Hiszpanii Doświadczenia Software AG w realizacji projektu analiza przypadku

Agenda. Co to jest RWD? Dlaczego warto myśleć o RWD w kontekście aplikacji biznesowych? Przykłady. ericpol.com

PLAN STUDIÓW STACJONARNYCH I NIESTACJONARNYCH WIECZOROWYCH II STOPNIA (od roku akademickiego 2015/2016)

SkyCash Poland S.A. Innowacyjna usługa płatnicza

Monitorowanie systemów IT

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Architektura mikroserwisów na platformie Spring IO

Korporacyjna Magistrala Usług na przykładzie Mule ESB

Elżbieta Andrukiewicz Ryszard Kossowski PLAN BEZPIECZEŃSTWA INFORMACJI

epolska XX lat później Daniel Grabski Paweł Walczak

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Ochrona o poziom wyżej. OCHRONA DIGITAL

Przesłanki powstania książki... xvi Dla kogo przeznaczona jest ta książka?... xvi Co znajdziemy wewnątrz książki?... xvii

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Informatyczne fundamenty

Elektroniczna Legitymacja Studencka jako narzędzie wielofunkcyjne Oberthur Technologies

Szczegółowy plan szkolenia

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

Przygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)

Kierunek: Informatyka rev rev jrn Stacjonarny EN 1 / 6

Dwuwymiarowy sposób na podróbki > 34

Zabezpieczanie systemu Windows Server 2016

Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)

Bezpieczeństwo informacji w systemach komputerowych

Etapy życia oprogramowania

! Retina. Wyłączny dystrybutor w Polsce

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Innowacja Technologii ICT vs Człowiek

Konfigurowanie Windows 8

Projekty wdrożenia ITS CASE STUDIES

Wprowadzenie do metodologii modelowania systemów informacyjnych. Strategia (1) Strategia (2) Etapy Ŝycia systemu informacyjnego

Agenda. Quo vadis, security? Artur Maj, Prevenity

Etapy życia oprogramowania. Modele cyklu życia projektu. Etapy życia oprogramowania. Etapy życia oprogramowania

Walidacja systemu ewms / cwms. Sopot

Szkolenie: Testowanie wydajności (Performance Testing)

Bezpieczeństwo systemów SCADA oraz AMI

Aplikacja Getin Mobile

Transkrypt:

Application Security Verification Standard Wojciech Dworakowski, SecuRing

login: Wojciech Dworakowski OWASP Poland Chapter Leader OWASP = Open Web Application Security Project Cel: Podnoszenie świadomości w zakresie bezpieczeństwa aplikacji Testowanie i doradztwo dotyczące bezpieczeństwa aplikacji i systemów IT

Agenda Bezpieczeństwo aplikacji Wyzwania Definiowanie wymagań Zakres testów bezpieczeństwa Przedstawienie ASVS Case study Podsumowanie

BEZPIECZEŃSTWO APLIKACJI - WYZWANIA

Wishful thinking Sponsor projektu To jasne że ma być bezpiecznie! Mamy dobry zespół Wykonawcą jest doświadczoną firmą, z pewnością wiedzą co robią Project Manager Zatrudniamy doświadczonych programistów Nie otrzymaliśmy żadnych szczegółowych wytycznych Pewnie ryzyko będzie ograniczone innymi metodami Programista Bezpieczeństwo zapewnia framework Ja nie zajmuje się bezpieczeństwem tylko programowaniem

Hipotetyczny przykład Aplikacja płatności mobilnych Transmisja jest zabezpieczona SSL-em ale certyfikat serwera nie jest weryfikowany Czy może to wykorzystać intruz, który ma dostęp do tej samej sieci WiFi? Jaki będzie koszt poprawienia tego błędu?

Przykład 2 Historia transakcji przechowywana offline, w postaci szyfrowanej Zarówno do odblokowania offline jak i do uwierzytelnienia online służy 4-cyfrowy PIN Aplikacja mobilna blokuje się po 3 próbach Czy może to wykorzystać intruz który pożyczył telefon? Jaki będzie koszt poprawienia tego błędu?

Software Security Development Lifecycle Wymagania Definiowanie Projektowanie Wykonanie Wdrażanie Identyfikacja ryzyka Do kluczowych ryzyk są dobierane zabezpieczenia Zdefiniowanie wymagań Wymagania są weryfikowane w projekcie Testy jednostkowe zabezpieczeń i poprawności kodu (według przyjętych wymagań) Testy odbiorcze w zakresie odpowiadającym przyjętym wymaganiom

Jak definiować wymagania? Najlepiej na podstawie analizy ryzyka Modelowanie zagrożeń Czy istnieje droga na skróty? Można oprzeć się na ogólnych wytycznych ( zasadach dobrej praktyki ) Trzeba pamiętać że są one dobre w ogólnym przypadku a każda aplikacja ma swoją specyfikę

Zakres testów bezpieczeństwa Testy ad hoc Znaleziono N podatności ale Czy znaleziono wszystkie istotne podatności? Czy testy objęły wszystkie istotne zagrożenia? Czy szukano tam gdzie trzeba? Czy test symuluje realne zagrożenie (atak)?

Definiowanie zakresu testów bezpieczeństwa Najlepiej w oparciu o wymagania lub ryzyko Więcej: http://www.slideshare.net/wojdwo/testowaniebezpieczestwa-jak-dostosowa-zakres-do-realnych-zagroe-i-budetu Droga na skróty Checklista ogólnych zasad dobrej praktyki Dostosowana do specyfiki aplikacji

APPLICATION SECURITY VERIFICATION STANDARD

ASVS Projekt fundacji OWASP Wersja 1: w 2007 (tłumaczenie na polski) Wersja 2: 2013 https://www.owasp.org/index.php/category:owasp_a pplication_security_verification_standard_project#tab= Downloads Lista kontrolna typowych zabezpieczeń Pogrupowana na zakresy (uwierzytelnienie, autoryzacja, walidacja, ) Kilka poziomów

Poziomy ASVS 2007: W zależności od metody badania 2013: W zależności od profilu ryzyka Dobór metody badania: tak żeby osiągnąć cel

Poziomy ASVS Level 0 (Cursory) aplikacja przeszła jakiś (nieuporządkowany) rodzaj weryfikacji. Level 1 (Opportunistic) odpowiednio chroni się przed podatnościami które są łatwe do wykrycia. Level 2 (Standard) j.w. + odpowiednio chroni się przed powszechnymi podatnościami, których istnienie powoduje średnie lub wysokie ryzyko. Level 3 (Advanced) j.w. + odpowiednio chroni się przed wszystkimi zaawansowanymi podatnościami oraz wykazuje zasady dobrego projektowania.

Grupy wymagań (rozdziały) V1. Authentication V2. Session Management V3. Access Control V4. Input Validation V5. Cryptography (at Rest) V6. Error Handling and Logging V7. Data Protection V8. Communication Security V9. HTTP Security V10. Malicious Controls V11. Business Logic V12. Files and Resources V13. Mobile

Który poziom? Zależy od ekspozycji aplikacji na ryzyko Ściąga w dodatku A

ASVS trzeba dostosować do specyfiki aplikacji Nie wszystkie wymagania zawsze mają sens Nie jest to lista kompletna dla każdej aplikacji, tylko zbiór uniwersalnych zasad dobrej praktyki

Podsumowanie ASVS pomaga uporządkować bezpieczeństwo aplikacji Definiowanie wymagań (w tym niefunkcjonalnych) Określenie zakresu testów bezpieczeństwa Baza, punkt wyjściowy Listę wymagań / sprawdzeń trzeba dostosowywać do specyfiki aplikacji

PYTANIA

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres