owasp: introdução - · pdf fileowasp 2 o que é o owasp? open web...
TRANSCRIPT
Copyright © 2004 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP: Introdução
Carlos Serrão OWASP Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 [email protected] [email protected]
OWASP 2
O que é o OWASP?
Open Web Application Security Project Promove o desenvolvimento seguro de software Orientado para o desenvolvimento de serviços
baseados na web Focado principalmente em aspectos de
desenvolvimento do que em web-design Um fórum aberto para discussão Um recurso gratuito e livre para qualquer equipa
de desenvolvimento
OWASP 3
O Que é OWASP?
Open Web Application Security Project an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted Promover o desenvolvimento seguro Auxiliar a tomada de decisão quanto ao risco Oferecer recursos gratuitos Promover a contribuição e partilha de informação
OWASP 4
O que é o OWASP?
Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço
voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists
Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de
projectos Patrocínios pessoais por parte dos membros
OWASP
Organização do OWASP
OWASP
OWASP Conferences
OWASP Wiki
OWASP Tools
OWASP Lists
OWASP Books
OWASP Community
OWASP Governance
OWASP Chapter Leaders
OWASP Project Leaders
OWASP Foundation (501c3)
Board of Directors
(Williams, Wichers, Brennan, Cruz, and
Deleersnyder)
Board of Advisors
Operations Director (McNamee)
Technical Director
(Casey)
OWASP 6
O que é o OWASP?
O que oferece? Publicações
OWASP Top 10 OWASP Guide to Building Secure Web Applications
Software WebGoat WebScarab oLabs Projects .NET Projects
Chapters Locais Orientação das comunidades locais
OWASP
OWASP Ferramentas e Tecnologias
7
• Vulnerability Scanners
• Static Analysis Tools
• Fuzzing
Automated Security Verification
• Penetration Testing Tools
• Code Review Tools
Manual Security Verification
• ESAPI
Security Architecture
• AppSec Libraries • ESAPI Reference
Implementation • Guards and
Filters
Secure Coding
• Reporting Tools
AppSec Management
• Flawed Apps • Learning
Environments • Live CD • SiteGenerator
AppSec Education
OWASP 8
Publicações OWASP
Características Comuns Todas as publicações OWASP estão disponíveis para
download gratuíto em http://www.owasp.org Todas as publicações são licenciadas em GNU “Lesser”
GNU Public License (LGPL), ou em GNU Free Documentation License (GFDL)
Documentação “viva” Actualizada sempre que necessário Projectos evolutivos
As publicações do OWASP são o resultado de trabalho cooperativo entre os membros
OWASP 9
Publicações OWASP – OWASP Top 10
Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Actualizado numa base annual Crescente aceitação pela indústria
Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program)
Está a ser adoptado como um standard de segurança para aplicações web
OWASP 10
Publicações OWASP - OWASP Top 10
Top 10 (versão 2004) A1. Unvalidated Input A2. Broken Access Controls A3. Broken Authentication and Session Management A4. Cross Site Scripting Flaws A5. Buffer Overflows A6. Injection Flaws A7. Improper Error Handling A8. Insecure Storage A9. Denial of Service A10. Insecure Configuration Management
OWASP 11
Publicações OWASP - OWASP Top 10
Top 10 (versão 2007) A1. Cross Site Scripting (XSS) A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access
OWASP 12
Publicações OWASP - OWASP Guide
Guia para o Desenvolvimento Seguro de Web Apps Oferece um conjunto de linhas gerais para o
desenvolvimento de software seguro Introdução à segurança em geral Introdução à segurança aplicacional Discute áreas-chave de implementação
– Arquitectura – Autenticação – Gestão de Sessões – Controlo de Acesso e Autorização – Registo de Eventos – Validação de Dados
Em contínuo desenvolvimento
OWASP 13
Publicações OWASP – Projectos em Curso
Projectos em Curso Projecto de Métricas & Medidas
Tenta desenvolver um conjunto de métricas de segurança que podem ser usadas para suportar decisões críticas de negócio
Projecto de Testes Tenta produzir uma framework de “boas práticas” Tenta produzir uma framework de testes de “baixo nível” que
permite identificar certos aspectos
AppSec Faq FAQ para programadores que se foca em segurança aplicacional Oferece respostas a questões sobre segurança aplicacional
OWASP 14
Software OWASP
Características Comuns Todo o software OWASP é oferecido e pode ser obtido em
http://www.owasp.org O software está licenciado com uma licença GNU “Lesser”
GNU Public License (LGPL) Projectos Activos
Actualizados sempre que necessário Projectos em curso Multiplos programadores a contribuirem e a menterem
O software OWASP pode ser descarregado livremente e pode ser usado por indivíduos e empresas
OWASP 15
Software OWASP - WebGoat
WebGoat Essencialmente é uma aplicação de treino Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é? Uma aplicação web J2EE disposta em diversas “Lições de
Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ension
– Fácil de usar – Ilustra cenários credíveis – Ensina ataques realistas e soluções viáveis
OWASP 16
Software OWASP - WebGoat
WebGoat – O que se pode aprender? Um número crescente de ataques e de soluções
Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados
Obter a ferramenta http://www.owasp.org/software/webgoat.html Descarregar, descomprimir, e executar
OWASP 17
Software OWASP - WebScarab
WebScarab Uma framework para analizar tráfego HTTP/HTTPS Escrito em Java Múltiplas utilizações
Programador: fazer o debug das trocas entre o cliente e servidor Analista de Segurança: analiza o tráfego e identifica
vulnerabilidades Ferramenta técnica
Focada em programadores de software Arquitectura extensível de plug-ins Open source; de fácil expansão Poderosa
Obter a ferramenta http://www.owasp.org/software/webscarab.html
OWASP
OWASP Summer of Code – SoC 2009
Projectos inovadores Alcançar qualidade para publicação
6 ferramentas/ 7 documentação
Investimentos: Autumm of Code 2006
9 projetos / US$20K
Spring of Code 2007 21 projetos / US$117K
Summer of Code 2008 33 projetos / US$126K
18
OWASP 19
Chapters locais da OWASP
Desenvolvimento de comunidades Os Chapters locais proporcionam oportunidades para os
membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação
Aberto a *TODOS* Oferecer um fórum para discussão de assuntos em
contextos locais/regionais Oferecer o local para convidados poderem apresentar
novas ideias e projectos
OWASP 20
Chapters locais da OWASP
OWASP
OWASP em Números
420.000 page views por mês 230 GB de download por mês 4.618 utilizadores do wiki 200 actualizações por dia 124 capítulos (chapters) 16.000 membros nas mailings lists 48 projectos de ferramentas e documentos 100 membros individuais 48 membros corporativos/educacionais 2 empregados
21
OWASP 22
Chapters Locais da OWASP
O que oferecem? Reuniões regulares Mailing Lists Apresentações e Grupos Ambientes independentes do vendedor Fóruns de discussão aberta
OWASP 23
Chapters Locais da OWASP
O que oferecem? Como contribuir?
Através das ML, reuniões e dos grupos de discussão Os membros são encorajados a levantarem questões Os membros são encorajados a participar em projectos OWASP
– Contribuir para projectos existentes – Propor novos projectos – Lançar novas iniciativas
O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros
OWASP
OWASP
Patrocínios
24