Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
-
Upload
owasp -
Category
Technology
-
view
191 -
download
2
Transcript of Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
Login:
OWASP Poland Chapter Leader
Kierowanie zespołem testującym bezpieczeństwo aplikacjiDoradztwo dotyczące bezpieczeństwa aplikacji i systemów
Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.”„wstawił odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku”
Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.”„wstawił odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku”
Przyczyna:„Dziurawy” komponent aplikacji
Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/
Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/
Przyczyna:Do uwierzytelnienia się do obu aplikacji wystarczyły tylko login i hasło
eBay
Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-attacks
Przyczyna:Serwis umożliwia używanie JavaScript inline
Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/
Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/
Przyczyna:Przeglądarka nie wykryła braku HTTPS lub sfałszowanego certyfikatu
Czy w tych wypadkach developerzy nie myśleli o bezpieczeństwie?
Przecież te instytucje nie zatrudniają jednych z najlepszych specjalistów!
Czy nie było testów bezpieczeństwa?
Bezpieczeństwo aplikacji ?„Aplikacja ma opierać się atakom i przetwarzać dane w sposób bezpieczny, zgodnie zasadami dobrej praktyki.Scenariusze testów bezpieczeństwa mają odpowiadać współczesnym zagrożeniom i metodom ataków”
Czy dobrze określiliśmy co to znaczy „bezpieczeństwo”?
Co to w praktyce znaczy?
Czy da się rozliczyć taką usługę?
OWASP ASVS
• Lista wymagań lub testów dotyczących bezpieczeństwa aplikacji
• Może być używana przez architektów, programistów, testerów, specjalistów bezpieczeństwa, użytkowników końcowych w celu zdefiniowania czym jest bezpieczna aplikacja
Historia
• 2009: V 1.0 przetłumaczona na polski
• 2014: V 2.0 przetłumaczona (tylko lista)
• 2015: V 3.0
ASVS LevelLevel 1: Minimum
Wszystkie aplikacje Podatności które są łatwe do wykrycia, z listy OWASP Top 10 lub podobnych.
Level 2: Standard
Aplikacje przetwarzające dane wrażliwe
Większość ryzyk związanych z aplikacjami
Level 3:Enchanced
Naruszenie może powodować b.duże straty
j.w. + zasady bezpiecznego projektowania
Str 14 „Applying ASVS in Practice”• Finance and Insurance• Manufacturing, professional,
transportation, technology, utilities, infrastructure, and defense
• Healthcare• Retail, food, hospitality
• Podstawa do stworzenia listy zasad bezpieczeństwa uwzględniającej specyfikę aplikacji, organizacji i platformy.
• Przed zastosowaniem wskazana jest analiza bezpieczeństwa aplikacji / procesu
• Deklaracja stosowania + rozszerzenia
img src: http://www.rmgnetworks.com/blog/bid/365859/Internal-communications-is-not-one-size-fits-all
Najważniejsze zmiany
• Uporządkowanie i deduplikacja• Usunięcie wymagań/testów które miały znikomy
wpływ na bezpieczeństwo• Dostosowanie do nowych technologii (REST, HTML5,
itp.)• Nowe sekcje: WebServices, Configuration• Promuje użycie zabezpieczeń, które są dostępne od
dłuższego czasu (2FA, CSP, HSTS)• Mapowanie na PCI-DSS i CVE*
* TBD
• Wszystkie zmiany Appendix A• Mapowanie na PCI-DSS Appendix D• Projekty OWASP, które używają ASVS str 22
Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-bankowe-klientow-sieci-play/
Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-graph/analyzing-forged-ssl-certificates-in-the-wild/1451429791763834/
Podsumowanie
• ASVS 3.0:• Wywołanie zmian– Stosowanie mechanizmów od dawna istniejących
w przeglądarkach– Dobre praktyki dotyczące architektury i
konfiguracji• Uporządkowanie wielu kwestii
• Kiedy będzie polska wersja?Zapraszamy wolontariuszy do współpracy
• Gdzie mogę zgłaszać zmiany, błędy, itp?Jak mogę się włączyć w tworzenie ASVS?https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project– Email list– Github: https://github.com/OWASP/ASVS -> Issues
50
[email protected] WWW: https://www.owasp.org/index.php/Poland Mailing list: https://lists.owasp.org/mailman/listinfo/owasp-poland
http://www.meetup.com/owasp-poland/
https://www.linkedin.com/groups/OWASP-Poland-8179731
@owasppoland
https://www.facebook.com/pages/OWASP-Poland-Local-Chapter