Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013.

Ähnliche Präsentationen


Präsentation zum Thema: "The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013."—  Präsentation transkript:

1 The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden

2 Mirko Richter OWASP German Chapter Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze

3 Mirko Richter OWASP German Chapter Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder

4 Mirko Richter OWASP German Chapter Für wen ist OWASP? Das Open Web Application Security Project hilft: Entwicklern Entscheidern QA-Spezialisten Penetrationstestern

5 Mirko Richter OWASP German Chapter Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010, 2013) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP WebGoat OWASP ModSecurity Core Rule Set Project

6 Mirko Richter OWASP German Chapter Noch mehr Projekte Viele, viele, viele Projekte (Stand 05/13) Flagship (4 Code, 3 Tools, 8 Doku) Labs (26 Tools, 8 Doku) Incubator (19 Code, 39 Tools, 41 Doku)

7 Mirko Richter OWASP German Chapter Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in München Frankfurt Stuttgart Köln Hamburg Karlsruhe Nürnberg (Neustart?) Berlin (Neustart?) Dresden (im Aufbau)

8 Mirko Richter OWASP German Chapter Die Zukunft Basis der Stammtische verbreitern Mehr Projekte und Projekteilnehmer Höhere Reichweite, insbesondere Neulinge und Studenten (Zeit ) Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen

9 Mirko Richter OWASP German Chapter OWASP Top * A1 – Injection A2 – Broken Authentication and Session Management A3 – Cross-Site Scripting (XSS) A4 – Insecure Direct Object References A5 – Security Misconfiguration A6 – Sensitive Data Exposure A7 – Missing Function Level Access Control A8 – Cross-Site Request Forgery (CSRF) A9 – Using Known Vulnerable Components A10 – Unvalidated Redirects and Forwards 9 * Neu:

10 Mirko Richter OWASP German Chapter A1 - Injection 10 Angriffe: SQL – Injection Command Injection XPath – Injection Heilung: Trennung zwischen Daten- und Ausführungskontext (sichere API) Optional: Input Validation Ausnutzung ungenügender Datenvalidierung

11 Mirko Richter OWASP German Chapter A2 – Broken Authentication and Session Management 11 Angriffe: Session Fixation Enumeration (Login, Password etc.) Session-Hijacking Heilung: Cookie nach Login erneuern httpOnly/secure-Flag setzen Logische Fehler bei der Authentisierung und Autorisierung

12 Mirko Richter OWASP German Chapter A3 – Cross-Site Scripting (XSS) Angriffe: Session Hijacking Website Spoofing Fernsteuerung des Browsers Heilung: Kontextabhängige Datenenkodierung Optional: Input Validation 12 Missbrauch des Vertrauensverhältnisses vom Browser zum Serverinhalt (zusätzlicher ungewollter Inhalt)

13 Mirko Richter OWASP German Chapter A4 – Insecure Direct Object References 13 Angriffe: Privilege Escalation Heilung: Zugriffskontrolle (Access Controls) Indirekt Objekt-Referenzen (per Session/User(Application) Zugriff auf Daten, die nicht für den aktuellen Nutzer gedacht sind

14 Mirko Richter OWASP German Chapter A5 – Security Misconfiguration 14 Angriffe: Versteckte Funktionen Bekannte Schwachstellen Ausnutzen von unnötigen Informationen (z.B. Exception) Heilung: Regelmäßige Patches / Updates Information Hiding Nicht ausreichend gehärteter Applikationsstack

15 Mirko Richter OWASP German Chapter A6 – Sensitive Data Exposure 15 Angriffe: Datendiebstahl (Passwörter, Kreditkarten etc.) Man-in-the-Middle Zurückrechnen von Passwörtern Heilung: Modellierung der Bedrohungen Starke Algorithmen Transportverschlüsselung Datenabfluss wegen fehlendem/defektem Schutz

16 Mirko Richter OWASP German Chapter A7 – Missing Function Level Access Control 16 Angriffe: Datendiebstahl Missbrauch der AW-Funktionalität Heilung: Ausreichende Prüfungen (Bereich, Funktion etc.) Antipattern: Hartkodierung Unautorisierte Zugriffspfade zu Funktionen, Daten etc.

17 Mirko Richter OWASP German Chapter A8 – Cross-Site Request Forgery (CSRF) 17 Angriffe: CSRF Heilung: Geheimer Token für zustandsändernde Operationen => CSRF Guard Missbrauch des Vertrauensverhältnisses vom Server zur Bowseranfrage (Ausnutzung fremder Rechte)

18 Mirko Richter OWASP German Chapter A9 – Using Known Vulnerable Components 18 Angriffe: Ausnutzung bekannter Schwachstellen Skript-Kiddies Heilung: Überblick über Versionen behalten Patch-Management Einsatz bekanntermaßen unsicherer Technologie

19 Mirko Richter OWASP German Chapter A10 – Unvalidated Redirects and Forwards 19 Angriffe: Spoofing Malware-Verteilung Heilung: Wenn es geht, Redirect/Forward vermeiden Keine Parameter für Berechnung von R/F verwenden Hinweis für Nutzer (Sie verlassen jetzt …) Missbrauch vom Nutzervertrauen

20 Mirko Richter OWASP German Chapter Kontakt und Informationen https://www.owasp.org/ https://lists.owasp.org/mailman/listinfo/ owasp-germany (eintragen!) Mirko Richter


Herunterladen ppt "The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013."

Ähnliche Präsentationen


Google-Anzeigen