presentation
Werbung
The OWASP Foundation http://www.owasp.org OWASP German Chapter 1. Stammtisch Dresden 20.06.2013 Mirko Richter [email protected] Was ist OWASP? Prinzipien • Frei und Offen • Getrieben durch Konsens und funktionierenden Code • Ausgerichtet an Werten • Non-profit • Nicht von kommerziellen Interessen getrieben • Risiko basierte Ansätze Mirko Richter OWASP German Chapter Was ist OWASP? Organisationsstruktur • Board • Chapter • Mitglieder Mirko Richter OWASP German Chapter Für wen ist OWASP? Das Open Web Application Security Project hilft: • • • • Entwicklern Entscheidern QA-Spezialisten Penetrationstestern Mirko Richter OWASP German Chapter Bekannteste Projekte • OWASP Top 10 (2004, 2007, 2010, • • • • • • 2013) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP WebGoat OWASP ModSecurity Core Rule Set Project Mirko Richter OWASP German Chapter Noch mehr Projekte • Viele, viele, viele Projekte (Stand 05/13) • Flagship (4 Code, 3 Tools, 8 Doku) • Labs (26 Tools, 8 Doku) • Incubator (19 Code, 39 Tools, 41 Doku) Mirko Richter OWASP German Chapter Das deutsche Chapter • Derzeit ein Chapter in Deutschland • Aktuell 6 Personen im Board • Regelmäßige lokale Stammtische in • • • • • • • • • München Frankfurt Stuttgart Köln Hamburg Karlsruhe Nürnberg (Neustart?) Berlin (Neustart?) Dresden (im Aufbau) Mirko Richter OWASP German Chapter Die Zukunft • Basis der Stammtische verbreitern • Mehr Projekte und Projekteilnehmer • Höhere Reichweite, insbesondere „Neulinge“ und Studenten (Zeit ) • Weitere Aspekte von Anwendungssicherheit (Mobility) • Mehr Mitglieder • Firmen • Personen Mirko Richter OWASP German Chapter OWASP Top 10 2013* * Neu: 12.06.2013 A1 – Injection A2 – Broken Authentication and Session Management A3 – Cross-Site Scripting (XSS) A4 – Insecure Direct Object References A5 – Security Misconfiguration A6 – Sensitive Data Exposure A7 – Missing Function Level Access Control A8 – Cross-Site Request Forgery (CSRF) A9 – Using Known Vulnerable Components A10 – Unvalidated Redirects and Forwards Mirko Richter OWASP German Chapter 9 A1 - Injection „Ausnutzung ungenügender Datenvalidierung“ Angriffe: • SQL – Injection • Command Injection • XPath – Injection Heilung: • Trennung zwischen Daten- und Ausführungskontext („sichere API“) • Optional: Input Validation Mirko Richter OWASP German Chapter 10 A2 – Broken Authentication and Session Management „Logische Fehler bei der Authentisierung und Autorisierung “ Angriffe: • Session Fixation • Enumeration (Login, Password etc.) • Session-Hijacking Heilung: • Cookie nach Login erneuern • httpOnly/secure-Flag setzen Mirko Richter OWASP German Chapter 11 A3 – Cross-Site Scripting (XSS) „Missbrauch des Vertrauensverhältnisses vom Browser zum Serverinhalt (zusätzlicher ungewollter Inhalt)“ Angriffe: • Session Hijacking • Website Spoofing • Fernsteuerung des Browsers Heilung: • Kontextabhängige Datenenkodierung • Optional: Input Validation Mirko Richter OWASP German Chapter 12 A4 – Insecure Direct Object References „Zugriff auf Daten, die nicht für den aktuellen Nutzer gedacht sind“ Angriffe: • Privilege Escalation Heilung: • Zugriffskontrolle (Access Controls) • Indirekt Objekt-Referenzen (per Session/User(Application) Mirko Richter OWASP German Chapter 13 A5 – Security Misconfiguration „Nicht ausreichend gehärteter Applikationsstack“ Angriffe: • Versteckte Funktionen • Bekannte Schwachstellen • Ausnutzen von unnötigen Informationen (z.B. Exception) Heilung: • Regelmäßige Patches / Updates • Information Hiding Mirko Richter OWASP German Chapter 14 A6 – Sensitive Data Exposure „Datenabfluss wegen fehlendem/defektem Schutz“ Angriffe: • Datendiebstahl (Passwörter, Kreditkarten etc.) • Man-in-the-Middle • „Zurückrechnen“ von Passwörtern Heilung: • Modellierung der Bedrohungen • Starke Algorithmen • Transportverschlüsselung Mirko Richter OWASP German Chapter 15 A7 – Missing Function Level Access Control „Unautorisierte Zugriffspfade zu Funktionen, Daten etc.“ Angriffe: • Datendiebstahl • Missbrauch der AW-Funktionalität Heilung: • Ausreichende Prüfungen (Bereich, Funktion etc.) • Antipattern: „Hartkodierung“ Mirko Richter OWASP German Chapter 16 A8 – Cross-Site Request Forgery (CSRF) Angriffe: „Missbrauch des Vertrauensverhältnisses vom Server zur Bowseranfrage (Ausnutzung fremder Rechte) “ • CSRF Heilung: • Geheimer Token für zustandsändernde Operationen • => CSRF Guard Mirko Richter OWASP German Chapter 17 A9 – Using Known Vulnerable Components „Einsatz bekanntermaßen unsicherer Technologie“ Angriffe: • Ausnutzung bekannter Schwachstellen • „Skript-Kiddies“ Heilung: • „Überblick über Versionen behalten“ • Patch-Management Mirko Richter OWASP German Chapter 18 A10 – Unvalidated Redirects and Forwards „Missbrauch vom Nutzervertrauen“ Angriffe: • Spoofing • Malware-Verteilung Heilung: • Wenn es geht, Redirect/Forward vermeiden • Keine Parameter für Berechnung von R/F verwenden • Hinweis für Nutzer („Sie verlassen jetzt …“) Mirko Richter OWASP German Chapter 19 Kontakt und Informationen http://www.owasp.de/ https://www.owasp.org/ https://lists.owasp.org/mailman/listinfo/ owasp-germany (eintragen!) Mirko Richter [email protected] ([email protected]) Mirko Richter OWASP German Chapter
