Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013.

Veröffentlicht von:Gerlinde Schlossman Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013."—  Präsentation transkript:

1 The OWASP Foundation http://www.owasp.org Mirko Richter Mirko.Richter@owasp.org OWASP German Chapter 1. Stammtisch Dresden 20.06.2013

2 Mirko Richter OWASP German Chapter Was ist OWASP? Prinzipien Frei und Offen Getrieben durch Konsens und funktionierenden Code Ausgerichtet an Werten Non-profit Nicht von kommerziellen Interessen getrieben Risiko basierte Ansätze

3 Mirko Richter OWASP German Chapter Was ist OWASP? Organisationsstruktur Board Chapter Mitglieder

4 Mirko Richter OWASP German Chapter Für wen ist OWASP? Das Open Web Application Security Project hilft: Entwicklern Entscheidern QA-Spezialisten Penetrationstestern

5 Mirko Richter OWASP German Chapter Bekannteste Projekte OWASP Top 10 (2004, 2007, 2010, 2013) OWASP Development Guide OWASP Code Review Guide OWASP Testing Guide OWASP Zed Attack Proxy (ZAP) OWASP WebGoat OWASP ModSecurity Core Rule Set Project

6 Mirko Richter OWASP German Chapter Noch mehr Projekte Viele, viele, viele Projekte (Stand 05/13) Flagship (4 Code, 3 Tools, 8 Doku) Labs (26 Tools, 8 Doku) Incubator (19 Code, 39 Tools, 41 Doku)

7 Mirko Richter OWASP German Chapter Das deutsche Chapter Derzeit ein Chapter in Deutschland Aktuell 6 Personen im Board Regelmäßige lokale Stammtische in München Frankfurt Stuttgart Köln Hamburg Karlsruhe Nürnberg (Neustart?) Berlin (Neustart?) Dresden (im Aufbau)

8 Mirko Richter OWASP German Chapter Die Zukunft Basis der Stammtische verbreitern Mehr Projekte und Projekteilnehmer Höhere Reichweite, insbesondere Neulinge und Studenten (Zeit ) Weitere Aspekte von Anwendungssicherheit (Mobility) Mehr Mitglieder Firmen Personen

9 Mirko Richter OWASP German Chapter OWASP Top 10 2013* A1 – Injection A2 – Broken Authentication and Session Management A3 – Cross-Site Scripting (XSS) A4 – Insecure Direct Object References A5 – Security Misconfiguration A6 – Sensitive Data Exposure A7 – Missing Function Level Access Control A8 – Cross-Site Request Forgery (CSRF) A9 – Using Known Vulnerable Components A10 – Unvalidated Redirects and Forwards 9 * Neu: 12.06.2013

10 Mirko Richter OWASP German Chapter A1 - Injection 10 Angriffe: SQL – Injection Command Injection XPath – Injection Heilung: Trennung zwischen Daten- und Ausführungskontext (sichere API) Optional: Input Validation Ausnutzung ungenügender Datenvalidierung

11 Mirko Richter OWASP German Chapter A2 – Broken Authentication and Session Management 11 Angriffe: Session Fixation Enumeration (Login, Password etc.) Session-Hijacking Heilung: Cookie nach Login erneuern httpOnly/secure-Flag setzen Logische Fehler bei der Authentisierung und Autorisierung

12 Mirko Richter OWASP German Chapter A3 – Cross-Site Scripting (XSS) Angriffe: Session Hijacking Website Spoofing Fernsteuerung des Browsers Heilung: Kontextabhängige Datenenkodierung Optional: Input Validation 12 Missbrauch des Vertrauensverhältnisses vom Browser zum Serverinhalt (zusätzlicher ungewollter Inhalt)

13 Mirko Richter OWASP German Chapter A4 – Insecure Direct Object References 13 Angriffe: Privilege Escalation Heilung: Zugriffskontrolle (Access Controls) Indirekt Objekt-Referenzen (per Session/User(Application) Zugriff auf Daten, die nicht für den aktuellen Nutzer gedacht sind

14 Mirko Richter OWASP German Chapter A5 – Security Misconfiguration 14 Angriffe: Versteckte Funktionen Bekannte Schwachstellen Ausnutzen von unnötigen Informationen (z.B. Exception) Heilung: Regelmäßige Patches / Updates Information Hiding Nicht ausreichend gehärteter Applikationsstack

15 Mirko Richter OWASP German Chapter A6 – Sensitive Data Exposure 15 Angriffe: Datendiebstahl (Passwörter, Kreditkarten etc.) Man-in-the-Middle Zurückrechnen von Passwörtern Heilung: Modellierung der Bedrohungen Starke Algorithmen Transportverschlüsselung Datenabfluss wegen fehlendem/defektem Schutz

16 Mirko Richter OWASP German Chapter A7 – Missing Function Level Access Control 16 Angriffe: Datendiebstahl Missbrauch der AW-Funktionalität Heilung: Ausreichende Prüfungen (Bereich, Funktion etc.) Antipattern: Hartkodierung Unautorisierte Zugriffspfade zu Funktionen, Daten etc.

17 Mirko Richter OWASP German Chapter A8 – Cross-Site Request Forgery (CSRF) 17 Angriffe: CSRF Heilung: Geheimer Token für zustandsändernde Operationen => CSRF Guard Missbrauch des Vertrauensverhältnisses vom Server zur Bowseranfrage (Ausnutzung fremder Rechte)

18 Mirko Richter OWASP German Chapter A9 – Using Known Vulnerable Components 18 Angriffe: Ausnutzung bekannter Schwachstellen Skript-Kiddies Heilung: Überblick über Versionen behalten Patch-Management Einsatz bekanntermaßen unsicherer Technologie

19 Mirko Richter OWASP German Chapter A10 – Unvalidated Redirects and Forwards 19 Angriffe: Spoofing Malware-Verteilung Heilung: Wenn es geht, Redirect/Forward vermeiden Keine Parameter für Berechnung von R/F verwenden Hinweis für Nutzer (Sie verlassen jetzt …) Missbrauch vom Nutzervertrauen

20 Mirko Richter OWASP German Chapter Kontakt und Informationen http://www.owasp.de/ https://www.owasp.org/ https://lists.owasp.org/mailman/listinfo/ owasp-germany (eintragen!) Mirko Richter mirko.richter@owasp.org (dresden@securenet.de)

Herunterladen ppt "The OWASP Foundation Mirko Richter OWASP German Chapter 1. Stammtisch Dresden 20.06.2013."

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Vernetzung von Repositorien : DRIVER Guidelines Dr Dale Peters, SUB Goettingen 4. Helmholtz Open Access Workshop Potsdam, 17 Juni 2008.

Vernetzung von Repositorien : DRIVER Guidelines Dr Dale Peters, SUB Goettingen 4. Helmholtz Open Access Workshop Potsdam, 17 Juni 2008.
© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 Open eCard Team Neuigkeiten aus dem Open eCard Projekt 16.05. 2013.

© Copyright 2010 ecsec GmbH, All Rights Reserved. © 2013 Open eCard Team Neuigkeiten aus dem Open eCard Projekt
Präsentation des Abschlussprojektes Rudolf Berger

Präsentation des Abschlussprojektes Rudolf Berger
Transaction Synchronization for XML Data in Client Server Web Applications Stefan Böttcher & Adelhard Türling Universität Paderborn.

Transaction Synchronization for XML Data in Client Server Web Applications Stefan Böttcher & Adelhard Türling Universität Paderborn.
INFSO-RI-508833 Enabling Grids for E-sciencE www.eu-egee.org CrossGrid Migrating-Desktop Marcus Hardt Forschungszentrum Karlsruhe GmbH An Induction to.

INFSO-RI Enabling Grids for E-sciencE CrossGrid Migrating-Desktop Marcus Hardt Forschungszentrum Karlsruhe GmbH An Induction to.
Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.

Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.
Entwicklung und Einsatz von Smart Client-Anwendungen Jens Häupel Developer Evangelist Microsoft Deutschland GmbH Dirk Primbs.

Entwicklung und Einsatz von Smart Client-Anwendungen Jens Häupel Developer Evangelist Microsoft Deutschland GmbH Dirk Primbs.
Windows Vista für Entwickler

Windows Vista für Entwickler
Neue Mobilität Frank Prengel Developer Evangelist Developer Platform & Strategy Group Microsoft Deutschland GmbH

Neue Mobilität Frank Prengel Developer Evangelist Developer Platform & Strategy Group Microsoft Deutschland GmbH
Was sind die Länder 1-7 auf Deutsch? Ö ©MFL Sunderland 2007 ELA

Was sind die Länder 1-7 auf Deutsch? Ö ©MFL Sunderland 2007 ELA
Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)

Die SkIDentity-Referenzarchitektur für die starke Authentisierung in der Cloud Dr. Detlef Hühnlein (ecsec GmbH)
HCI.

HCI.
30.10.2000 DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.

DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.
Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel

Camil Bartkowiak Serhat Cinar Leonardo Di Lella Jan Finsel
Seminar Web-Engineering Nina Aschenbrenner / Ruben Jubeh 1 FG Software Engineering Software Engineering Seminar Web Engineering Seminar des Fachgebiet.

Seminar Web-Engineering Nina Aschenbrenner / Ruben Jubeh 1 FG Software Engineering Software Engineering Seminar Web Engineering Seminar des Fachgebiet.
Proxy Pattern Vorlesung Design Patterns Sieglinde Heinrich

Proxy Pattern Vorlesung Design Patterns Sieglinde Heinrich
.NET – Quo Vadis? Dariusz Parys Developer Group Microsoft GmbH.

.NET – Quo Vadis? Dariusz Parys Developer Group Microsoft GmbH.
Visual Extend Features für Entwickler deutschsprachige FoxPro User Group Uwe Habermann VFX 05 D.

Visual Extend Features für Entwickler deutschsprachige FoxPro User Group Uwe Habermann VFX 05 D.
WebCast: Managed Smart Tags mit VSTO Jens Häupel.NET Technologieberater Microsoft Deutschland GmbH

WebCast: Managed Smart Tags mit VSTO Jens Häupel.NET Technologieberater Microsoft Deutschland GmbH

Ähnliche Präsentationen

Google-Anzeigen