Open Web Application Security Project Dr. Ingo Hanke
Werbung
OWASP Open Web Application Security Project Dr. Ingo Hanke IDEAS Information & Design Applications Dr. Ingo Hanke Open Web Application Security Project Dr. Ingo Hanke Open Web Application Security Project OWASP Dr. Ingo Hanke Open Web Application Security Project OWASP Dr. Ingo Hanke Open Web Application Security Project WAS … ist Web Application Security? Dr. Ingo Hanke Open Web Application Security Project Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 1 – Werte identifizieren • Personenbezogene Daten • Sachdaten Kundendaten online-Shop, Veranstaltungs-Registrierung, … Artikeldaten, Preise, Geschäftsberichte, … • Prozesse WWS, ERP-Subsysteme, Kollaborations-Anwendungen, … • Algorithmen Finanzwesen, HR-Management, … Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 2 – Schadenspotenziale bewerten Schadenshöhe bei Verletzung der … Wert Vertraulichkeit Verfügbarkeit Integrität Kundendaten hoch gering gering ERP-Prozess hoch mittel hoch … … … … Vorarbeit für Risiko-Bewertung (vgl. OWASP Risk Rating Modell) Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen • Die Website selbst HTML, CSS, JS • URL / Webadresse Manipulation der GET-Parameter Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Dr. Ingo Hanke URL Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Dr. Ingo Hanke URL Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen • Die Website selbst HTML, CSS, JS • URL / Webadresse Manipulation der GET-Parameter • Formulare Manipulation der POST-Parameter Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Formulare Quellcode: (…) $sql="SELECT * FROM TabelleMitBetreffTexten WHERE id='".$_POST['betreff']."'"; (…) Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Formulare […] Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen • URL / Webadresse • Formulare • Cookies, File-Uploads • Fehlende PatchManagement für Standard-Applikationen Dr. Ingo Hanke Manipulation der GET-Parameter Manipulation der POST-Parameter Session-Hijacking, Backdoors CMS, Shopsysteme, etc. Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen • HTTP + Google Dr. Ingo Hanke „Security by Obscurity“ Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: HTTP + Google Suchanfrage via Google: „internen Gebrauch“ filetype:doc Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen • HTTP + Google (No) „Security by Obscurity“ • „Web-Trojaner“ Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner = Web-Trojaner „Die Herausforderungen der Vernetzung - ein Blick in die Zukunft“ Third-Party Applications, die in Webanwendungen / Websites integriert werden, - und die Hackern „verborgene Hintertüren“ zum Quell-System eröffnen! Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner „Die Herausforderungen der Vernetzung ein Blick in die Zukunft“ Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner • CDN Content Delivery Networks Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security CDN Content Delivery Networks Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner • Sollen Web-Applikationen schneller machen • Vergrößern die Angriffsfläche • Vereinfachen Angriffe („schwächstes Glied“) • Manipulation von CSS (à XSS) • Manipulation JS (à Schadcode, Drive-by) • Manipulation Flash-Applikationen Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner • CDN Content Delivery Networks • Web-Services Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner Web-Services • • • • • Validierung von Adressdaten Reseller-Systeme Payment-Gateways Wetter, Börsenkurse, … etc. … • Probleme: • Manipulierte Daten • Injektion von Schadcode Dr. Ingo Hanke Open Web Application Security Project Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner • CDN Content Delivery Networks • Web-Services • Tracker z.B. Google Analytics Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 3 – Angriffsflächen bestimmen: Web-Trojaner Die Probleme: • Sicherheits-Status nicht bestimmbar • Kein Einfluss auf Sicherheits-Anforderungen • Vergrößerung der Angriffsfläche = Sicherheitsvorfall auch ohne Angriff! Dr. Ingo Hanke Open Web Application Security Project Part I: Web Application Security Aufgabe 4 – Angriffsrisiken bestimmen Dr. Ingo Hanke Open Web Application Security Project OWASP Dr. Ingo Hanke Open Web Application Security Project The OWASP Foundation http://www.owasp.org OWASP unterstützt Sie bei der Erstellung und dem Betrieb sicherer Web-­‐Anwendungen The OWASP Foundation http://www.owasp.org OWASP unterstützt Sie mit • • • • Publika(onen So.ware Konferenzen Netzwerke The OWASP Foundation http://www.owasp.org OWASP richtet sich an • • • • Geschä.sführung (IT-­‐) Management So.ware-­‐Entwickler Mitarbeiter The OWASP Foundation http://www.owasp.org OWASP :: Publika?onen OWASP Applica(on Security Verifica(on Standard (ASVS) OWASP Developers Guide OWASP Code Review Guide OWASP Tes(ng Guide Secure SDLC Cheat Sheet …. und viele mehr The OWASP Foundation http://www.owasp.org OWASP :: Publika?onen • TOP10 der Sicherheitsrisiken • 24 Seiten, deutsch (und viele andere Sprachen) • Für Manager und Techniker • Vielfach als Referenzwerk im Einsatz (PCI-­‐DSS, IBM, …) The OWASP Foundation http://www.owasp.org OWASP :: SoAware OWASP WebGoat OWASP Zed A\ack Proxy OWASP O-­‐Sa. …. The OWASP Foundation http://www.owasp.org OWASP :: Konferenzen OWASP AppSec USA AppSec EU 2013 in Hamburg 27.6.-­‐1.7.2015 Rom German OWASP Day 1.12.2015, Frankfurt The OWASP Foundation http://www.owasp.org The OWASP Foundation http://www.owasp.org The OWASP Foundation http://www.owasp.org The OWASP Foundation http://www.owasp.org OWASP :: Netzwerk Mailinglisten Regelmäßige Stamm(sche Berlin, Dresden, Frankfurt, Hamburg, Karlsruhe, Köln, München, Nürnberg, Stu>gart, … Konferenzen Vermi\lung von Experten The OWASP Foundation http://www.owasp.org Wer ist OWASP? • Interna(onales Netzwerk von Sicherheits-­‐Experten • Ehrenamtlich, unabhängig • Finanzierung über Mitgliedsbeiträge, Konferenzbeiträge und Sponsoring • Projektbezogene Zusammenarbeit • Ca. 2000 Mitglieder weltweit • German-­‐Chapter typ. 15-­‐30 Mitglieder Kernteam The OWASP Foundation http://www.owasp.org OWASP Zuhören – Mitreden – Mitmachen owasp-­‐[email protected] Oder sprechen Sie mich persönlich an: [email protected] Vielen Dank für Ihre Aufmerksamkeit! Dr. Ingo Hanke Open Web Application Security Project OWASP Open Web Application Security Project Dr. Ingo Hanke IDEAS Information & Design Applications [email protected] [email protected] Dr. Ingo Hanke Open Web Application Security Project
