Abstract image of a woman sitting on books and studying on a laptop

Progetti Open Source Per La Sicurezza Delle Web Applications

Download as PPT, PDF
Marco Morana, profile picture
Marco Morana

Il documento discute l'importanza della sicurezza delle web applications e il ruolo di OWASP, un'organizzazione no-profit dedicata a promuovere lo sviluppo di software sicuro. Vengono analizzati vari problemi di sicurezza, come la gestione delle vulnerabilità e l'alto costo di riparazione, e presentati diversi strumenti OWASP per aiutare nello sviluppo di applicazioni sicure. Infine, viene descritto come partecipare a OWASP e contribuire alla comunità attraverso progetti e attività locali.

Technology
1 of 44
Downloaded 64 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna
Agenda I problemi della sicurezza delle web applications Cosa e’ OWASP e cosa puo offrire Sicurezza Dell Web Applications, Dove E Come Iniziare? Utilizzo Di Progetti E Strumenti OWASP Per lo Sviluppo Di Applicazioni Sicure Come Participare? Domande?
I problemi della sicurezza delle web applications
Problema #1: Le applicazioni web sono a rischio Secondo un recente report (Verizon/2008), le intrusioni via web applications sono fra le piu frequenti
Problema #2: Le applicazioni sono la principale causa delle vulnerabilta’ 92 % delle vulnerabilita’ si trova al livello delle applicazioni non della rete (NIST)
Problema #3: La gestione delle vulnerabilita’ delle web applications e’ costosa “ Costa 100 volte di meno rimediare una vulnerabilita’ quando il software e’ in fase di progetto piuttosto che quando e’ in produzione (IBM Systems Sciences Institute)
Problema #4: Non rimediare le vulnerabilita’ dei siti per servizi on-line web espone l’aziende a rischi tangibili e a danni quantificabili
Cosa sono I progetti OWASP e quale soluzione possono offrire?
http://www.owasp.org
Che Cosa e’ OWASP Open Web Application Security Project Organizzazione internazionale a non scopo di lucro dedicata a promuovere lo sviluppo di software sicuro La missione e’ rendere la sicurezza visible attraverso… Documentazione Top Ten, Dev. Guide, Design Guide, Testing Guide, … Software WebGoat, WebScarab, Site Generator, Report Generator, ESAPI, CSRF Guard, CSRF Tester, Stinger, Pantera, … Gruppi Di Lavoro Browser Security, Industry Sectors, Access Control, Education, Mobile Phone Security, Preventive Security, OWASP SDL.. Coinvolgimento con comunita’/educazione Local Chapters, Conferences, Tutorials, Mailing Lists
Come OWASP Crea Knowledge? 3,913 articoli 427 presentazioni 200 documenti in aggironamento 179 liste emails 180 blogs monitorati 31 progetti di documentazione 12 borse/grants per sviluppo
OWASP Centro Di Conoscenze (Knowledge Base) Core Application Security Knowledge Base Acquiring and Building Secure Applications Verifying Application Security Managing Application Security Application Security Tools AppSec Education and CBT Research to Secure New Technologies Principles Threat Agents, Attacks, Vulnerabilities, Impacts, and Countermeasures OWASP Foundation 501c3 OWASP Community Platform (wiki, forums, mailing lists) Projects Chapters AppSec Conferences Guide to Building Secure Web Applications and Web Services Guide to Application Security Testing Guide to Application Security Code Review Tools for Scanning, Testing, Simulating, and Reporting Web Application Security Issues Web Based Learning Environment and Guide for Learning Application Security Guidance and Tools for Measuring and Managing Application Security Research Projects to Figure Out How to Secure the Use of New Technologies
Sicurezza Dell Web Applications, Dove E Come Iniziare?
Il Rischio Dei Progetti Open Source…..
Come Approcciare la sicurezza del software? Software o Applicazioni Sicurezza via applicazione di patches Identificazione delle cause delle vulnerabilita’ Rimediazione dei sintomi Approccio reattivo risposta agli incidenti Approccio pro-attivo Analisi e Gestione dei rischi Sicurezza del software e dei processi
Approccio Tattico: Trovare le Vulnerabilita’ Scanning Della Applicazione Via Penetration Testing Tools Scanning Del Codice Via Static Code Analysis Tools Test Di Penetrazione Manuale Revisione Del Codice Manuale
Approccio Strategico: Iniettare Security nella SDLC
Pre-requsiti per la software security Processi: SDLC sicura (e..g. CLASP) Attivita’ di modello delle minaccie e verifica vulnerabilita (codice e applicazioni) Standards/Tecnologie Standards per il codice sicuro Patterns per architecture sicura Strumenti per l’analisi vulnerabilita’ Formazione/Training Come scrivere e produrre secure software Analisi e gestione delle vulnerabilita’-minaccie-rischi
Uso di progetti e strumenti OWASP nella SDLC
OWASP Nel Ciclo Di Sviluppo Del Software Requisiti e use cases Design Test plans Codice Verifica E Risultati Dei Test Feedback Operativo Documentazione Dei Requisiti Security Testing Guide OWASP T10 Guida Per I Test Strumenti per l’analisi statica del codice Guida Per Security Test e Strumenti Pen Test Modelli Delle Minaccie E Dei Rischi Approccio Evolutivo Guida Per La Revisione Del Codice Guide Per Progettare Applicazioni Sicure
Il Progetto OWASP Top 10 Top 10 Vulnerabilita’ delle Web Applications Lista delle prime 10 vulnerabilita’ piu ad alto rischio Aggiornata ogni anno Lo scopo sono le vulnerabilita’ delle applicazioni exploitable dall’esterno Presa come riferimento dal organizzazioni USA e business: Federal Trade Commission (US Gov) US Defense Information Systems Agency (DISA) VISA (Cardholder Information Security Program) Un buon punto di partenza per le iniziative di application security La lista di organizzazioni che adottano OWASP si trova qui: https:// www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Esempio di lista per le vulnerabilita’: OWASP Top 10 Le 10 vulnerabilita’ piu diffuse (2007) A1. Cross Site Scripting A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access https://www.owasp.org/index.php/Top_10_2007
OWASP vs3: Derivazione della specifica: security requirements via use and misuse cases Source: OWASP Testing Guide Vs 3 Introduction
Guida per la progettazione: OWASP Guide 2.0 Guida Per Sviluppare Sicure Web Applications e Web Services Concetti e linee guida fondamentali per sviluppare software sicuro Principi per security architecture e design Sicurezza nella SDLC (Secure Coding, Threat Modeling, Pen Test) Information security (policy, standards) Si focalizza su aspetti fondamentali di design e implementazione: Architettura Autenticazione Autorizzazione Gestione delle web sessions Logging e auditing degli Eventi Validazione dei dati in input Configurazione sicura
Analisi dei rischi dovuti alla architettura S/W: OWASP Threat Modeling
Progetto OWASP Application Threat Modeling Cattura dello scopo della applicazione Requisti, Use Cases Modello di architettura del Sistema Modello fisico e logico, Data Flows, Trust Boundaries, Entry/Exit Points Identificazione delle minaccie (Threats) STRIDE, ASF Mapping delle minaccie- vulnerabilita-contromisure Threat tree e checklists Determiniazione dei rischi associati alle minaccie Modelli di Rischio
OWASP Application Threat Modeling (parte del progetto Secure Coding Guide vs.3) OWASP Application Threat Modeling https://www.owasp.org/index.php/Application_Threat_Modeling
Modelli per la valutazione del rischio Rischio = Minaccia x Vulnerabilita’ X Impatto
Progetto OWASP Secure Coding Guideline Formalizza le “best practices” per scrivere software in modo sicuro Puo’ servire come documento base per creare secure coding standards specifici per la tua organizzazione/azienda E’ scritta per essere utilizzata da software engineers Puo’ essere usata per produrre una metrica e valutare la qualita’ del codice sorgente
Progetto per l’analisi del codice sorgente di progetti OWASP http://owasp.fortify.com /.
Progetto OWASP Testing Guide (vs 3 , 2007) Il maggiore contributo italiano a OWASP… Perdita Informazioni Test Logica Di Sistema Test Authentication Test Session Management Test Validazione Data Testing Denial of Service Web Services Testing Ajax Testing Principi Dei Test Processi Per Il Testing Testing Per Web Applications Black Box Testing Grey Box Testing Analisi Rischi e Reporting Appendix: Testing Tools Appendix: Fuzz Vectors http:// www.lulu.com/items/volume_63/4037000/4037522/1/print/OWASP_Testing_Guide_v2_for_print.doc.pdf
Mitigazione dei rischi delle SQL injection: documentazione minaccie e contromisure Minaccie: Accesso non autorizzato a dati, bypass della authentication, denial of service Contromisure: Evita la concatenazione delle stringhe nei SQL statement (e.g. SELECT * FROM users WHERE username) Usa SQL parameterized queries JAVA EE usa strongly typed “PreparedStatement” in .NET usa “SqlCommand” e “SqlParameters” Rimuovi caratteri “in-sicuri” dall’input : ' &quot; ` ; * % _ =&\|*?~<>^()[]{}$\n\r Usa messaggi di errore generici: No ai messaggi SQL exception all utente
Esempio di procedure per il test delle vulnerabilita’ XSS Documenta il Test Case Test Web Page Per Login Procedura Manuale Vettori Di Attacco: <script>alert()</script>; javascript:alert() +ADw-SCRIPT+AD4-alert();+ Passa il test se: Un messaggio di errore e’ presentato all’ utente Non passa: se javascript e’ eseguito dal browser: alert dialog
Strumenti OWASP Per l’ Analisi Della Security http://www.owasp.org/index.php/Phoenix/Tools OWASP Tools + Conosciuti WebGoat: applicazione web con vulnerabilita’ per training e tests WebScarab: web proxy e fuzzer Ricorda che: Secondo MITRE le vulnerabilita’ identificate dai tool trovano al massimo il 45% del totale vulnerabilita’ presenti Non c’e’ tool che possa sostituire un consulente esperto Tools non hanno idea della architettura e del contesti Il fatto che un tool non trovi vulnerabilita’ non vuol dire che il codice/applicazione e’ sicuro
Come Partecipare A OWASP ?
Fondi OWASP e sponsorizzazioni per progetti 100% delle quote dei soci OWASP sono usate per sponsorizzare i progetti. Attualmented 3 “season of code” sono stati sponsorizzati da OWASP. OWASP Autumn Of Code 2006 $20,000 budget OWASP Spring Of Code 2007 $117,500 budget OWASP Summer of Code 2008 $126,000 budget
OWASP Summer of Code 2008 Finanziamento per 31 progetti di application security
Progetti Finanziati Nel 2008 (cont)
Sciegli Un Progetto OWASP
Iscriviti ad una owasp mailing list
Oppure.. inizia un tuo progetto
Partecipa alle attivita’ della sezione locale
Contribure ad OWASP In differenti ruoli Project Leader, Participante e Reviewer Organizzatore conferenze OWASP Pubblicando articoli – wiki Analizzando nuove technologie Come OWASP member Azienda Socio Membro Dando il meglio delle tue conoscienze dedicando parte del tuo tempo libero
Email: [email_address] D R DOMANDE E RISPOSTE

More Related Content

PPT
Owasp parte1-rel1.1
claudiodigiovanni
 
PPT
Owasp parte3
claudiodigiovanni
 
PPT
Owasp parte2
claudiodigiovanni
 
PDF
Infosecurity 2008
Antonio Parata
 
PDF
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
PPTX
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
PDF
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
PDF
Demystify web application vulnerability assessment
Antonio Parata
 
Owasp parte1-rel1.1
claudiodigiovanni
 
Owasp parte3
claudiodigiovanni
 
Owasp parte2
claudiodigiovanni
 
Infosecurity 2008
Antonio Parata
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
Demystify web application vulnerability assessment
Antonio Parata
 

Viewers also liked (13)

PDF
Open Source, a business model based on collaboration
SpagoWorld
 
PPTX
Fast data platforms - Hadoop User Group (Italy)
Andrea Gioia
 
PDF
Ricerche performanti con ElasticSearch
seeweb
 
PDF
[SLIDE] Tecniche basate su machine learning per la determinazione del profilo...
kylanee
 
PDF
Big Data Infrastructures - Hadoop ecosystem, M. E. Piras
CRS4 Research Center in Sardinia
 
PDF
How to collect Big Data into Hadoop
Sadayuki Furuhashi
 
PDF
Big Data Analytics, Giovanni Delussu e Marco Enrico Piras
CRS4 Research Center in Sardinia
 
PDF
Introduzione ai Big Data e alla scienza dei dati - Exploratory Data Analysis
Vincenzo Manzoni
 
PDF
Hadoop - Introduzione all’architettura ed approcci applicativi
lostrettodigitale
 
PDF
Introduzione ai Big Data e alla scienza dei dati - Machine Learning
Vincenzo Manzoni
 
PDF
Introduzione ai Big Data e alla scienza dei dati - Big Data
Vincenzo Manzoni
 
PDF
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Stefano Dindo
 
PPTX
Attack monitoring using ElasticSearch Logstash and Kibana
Prajal Kulkarni
 
Open Source, a business model based on collaboration
SpagoWorld
 
Fast data platforms - Hadoop User Group (Italy)
Andrea Gioia
 
Ricerche performanti con ElasticSearch
seeweb
 
[SLIDE] Tecniche basate su machine learning per la determinazione del profilo...
kylanee
 
Big Data Infrastructures - Hadoop ecosystem, M. E. Piras
CRS4 Research Center in Sardinia
 
How to collect Big Data into Hadoop
Sadayuki Furuhashi
 
Big Data Analytics, Giovanni Delussu e Marco Enrico Piras
CRS4 Research Center in Sardinia
 
Introduzione ai Big Data e alla scienza dei dati - Exploratory Data Analysis
Vincenzo Manzoni
 
Hadoop - Introduzione all’architettura ed approcci applicativi
lostrettodigitale
 
Introduzione ai Big Data e alla scienza dei dati - Machine Learning
Vincenzo Manzoni
 
Introduzione ai Big Data e alla scienza dei dati - Big Data
Vincenzo Manzoni
 
Logstash: Progetto open per l'analisi dei log in tempo reale di architetture ...
Stefano Dindo
 
Attack monitoring using ElasticSearch Logstash and Kibana
Prajal Kulkarni
 
Ad

Similar to Progetti Open Source Per La Sicurezza Delle Web Applications (20)

PPS
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 
PPTX
EVENTO PARADIGMA
SWASCAN
 
PDF
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
PPS
Sicurezza nelle web apps
Michele Garziera
 
PDF
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
PDF
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
acaporro
 
PDF
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
ODP
Intrusion Detection Systems
jekil
 
KEY
Sicurezza Applicatica Dalla Teoria Alla Pratica
Paolo Perego
 
PDF
Owasp Day 3
Antonio Parata
 
PDF
Smau Milano 2014 - Andrea Zwirner
SMAU
 
PDF
EUERY Mongoose Web Security Scanner (ITA)
Euery
 
PDF
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
PDF
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
Simone Onofri
 
PDF
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU
 
PPT
Nessus
Francesco Taurino
 
PDF
Marco Bozzetti AIPSI - SMAU Milano 2017
SMAU
 
PPTX
Pentesting Android with BackBox 4
raffaele_forte
 
PPTX
Smau Bari 2013 Massimo Chirivì
SMAU
 
PPTX
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 
EVENTO PARADIGMA
SWASCAN
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Sicurezza nelle web apps
Michele Garziera
 
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
acaporro
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Intrusion Detection Systems
jekil
 
Sicurezza Applicatica Dalla Teoria Alla Pratica
Paolo Perego
 
Owasp Day 3
Antonio Parata
 
Smau Milano 2014 - Andrea Zwirner
SMAU
 
EUERY Mongoose Web Security Scanner (ITA)
Euery
 
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
Simone Onofri
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU
 
Nessus
Francesco Taurino
 
Marco Bozzetti AIPSI - SMAU Milano 2017
SMAU
 
Pentesting Android with BackBox 4
raffaele_forte
 
Smau Bari 2013 Massimo Chirivì
SMAU
 
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
Ad

More from Marco Morana (20)

PDF
Is talent shortage ws marco morana
Marco Morana
 
PPTX
Isaca conference threat_modeling_marco_morana_short.pdf
Marco Morana
 
PPTX
Owasp atlanta-ciso-guidevs1
Marco Morana
 
PPTX
Owasp e crime-london-2012-final
Marco Morana
 
PDF
Security And Privacy Cagliari 2012
Marco Morana
 
PPT
Presentation sso design_security
Marco Morana
 
PPTX
Owasp security summit_2012_milanovs_final
Marco Morana
 
PPTX
Security Summit Rome 2011
Marco Morana
 
PPTX
Risk Analysis Of Banking Malware Attacks
Marco Morana
 
PDF
Web 2.0 threats, vulnerability analysis,secure web 2.0 application developmen...
Marco Morana
 
PPT
Security Exploit of Business Logic Flaws, Business Logic Attacks
Marco Morana
 
PPT
Software Security Initiatives
Marco Morana
 
PPT
Business cases for software security
Marco Morana
 
PPT
Security Compliance Web Application Risk Management
Marco Morana
 
PPT
Web Application Security Testing
Marco Morana
 
PPT
Owasp Forum Web Services Security
Marco Morana
 
PPT
Owasp Top 10 And Security Flaw Root Causes
Marco Morana
 
PPT
Software Security Frameworks
Marco Morana
 
PPT
OWASP Top 10 And Insecure Software Root Causes
Marco Morana
 
PPT
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 
Is talent shortage ws marco morana
Marco Morana
 
Isaca conference threat_modeling_marco_morana_short.pdf
Marco Morana
 
Owasp atlanta-ciso-guidevs1
Marco Morana
 
Owasp e crime-london-2012-final
Marco Morana
 
Security And Privacy Cagliari 2012
Marco Morana
 
Presentation sso design_security
Marco Morana
 
Owasp security summit_2012_milanovs_final
Marco Morana
 
Security Summit Rome 2011
Marco Morana
 
Risk Analysis Of Banking Malware Attacks
Marco Morana
 
Web 2.0 threats, vulnerability analysis,secure web 2.0 application developmen...
Marco Morana
 
Security Exploit of Business Logic Flaws, Business Logic Attacks
Marco Morana
 
Software Security Initiatives
Marco Morana
 
Business cases for software security
Marco Morana
 
Security Compliance Web Application Risk Management
Marco Morana
 
Web Application Security Testing
Marco Morana
 
Owasp Forum Web Services Security
Marco Morana
 
Owasp Top 10 And Security Flaw Root Causes
Marco Morana
 
Software Security Frameworks
Marco Morana
 
OWASP Top 10 And Insecure Software Root Causes
Marco Morana
 
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 

Progetti Open Source Per La Sicurezza Delle Web Applications

  • 1. Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna
  • 2. Agenda I problemi della sicurezza delle web applications Cosa e’ OWASP e cosa puo offrire Sicurezza Dell Web Applications, Dove E Come Iniziare? Utilizzo Di Progetti E Strumenti OWASP Per lo Sviluppo Di Applicazioni Sicure Come Participare? Domande?
  • 3. I problemi della sicurezza delle web applications
  • 4. Problema #1: Le applicazioni web sono a rischio Secondo un recente report (Verizon/2008), le intrusioni via web applications sono fra le piu frequenti
  • 5. Problema #2: Le applicazioni sono la principale causa delle vulnerabilta’ 92 % delle vulnerabilita’ si trova al livello delle applicazioni non della rete (NIST)
  • 6. Problema #3: La gestione delle vulnerabilita’ delle web applications e’ costosa “ Costa 100 volte di meno rimediare una vulnerabilita’ quando il software e’ in fase di progetto piuttosto che quando e’ in produzione (IBM Systems Sciences Institute)
  • 7. Problema #4: Non rimediare le vulnerabilita’ dei siti per servizi on-line web espone l’aziende a rischi tangibili e a danni quantificabili
  • 8. Cosa sono I progetti OWASP e quale soluzione possono offrire?
  • 10. Che Cosa e’ OWASP Open Web Application Security Project Organizzazione internazionale a non scopo di lucro dedicata a promuovere lo sviluppo di software sicuro La missione e’ rendere la sicurezza visible attraverso… Documentazione Top Ten, Dev. Guide, Design Guide, Testing Guide, … Software WebGoat, WebScarab, Site Generator, Report Generator, ESAPI, CSRF Guard, CSRF Tester, Stinger, Pantera, … Gruppi Di Lavoro Browser Security, Industry Sectors, Access Control, Education, Mobile Phone Security, Preventive Security, OWASP SDL.. Coinvolgimento con comunita’/educazione Local Chapters, Conferences, Tutorials, Mailing Lists
  • 11. Come OWASP Crea Knowledge? 3,913 articoli 427 presentazioni 200 documenti in aggironamento 179 liste emails 180 blogs monitorati 31 progetti di documentazione 12 borse/grants per sviluppo
  • 12. OWASP Centro Di Conoscenze (Knowledge Base) Core Application Security Knowledge Base Acquiring and Building Secure Applications Verifying Application Security Managing Application Security Application Security Tools AppSec Education and CBT Research to Secure New Technologies Principles Threat Agents, Attacks, Vulnerabilities, Impacts, and Countermeasures OWASP Foundation 501c3 OWASP Community Platform (wiki, forums, mailing lists) Projects Chapters AppSec Conferences Guide to Building Secure Web Applications and Web Services Guide to Application Security Testing Guide to Application Security Code Review Tools for Scanning, Testing, Simulating, and Reporting Web Application Security Issues Web Based Learning Environment and Guide for Learning Application Security Guidance and Tools for Measuring and Managing Application Security Research Projects to Figure Out How to Secure the Use of New Technologies
  • 13. Sicurezza Dell Web Applications, Dove E Come Iniziare?
  • 14. Il Rischio Dei Progetti Open Source…..
  • 15. Come Approcciare la sicurezza del software? Software o Applicazioni Sicurezza via applicazione di patches Identificazione delle cause delle vulnerabilita’ Rimediazione dei sintomi Approccio reattivo risposta agli incidenti Approccio pro-attivo Analisi e Gestione dei rischi Sicurezza del software e dei processi
  • 16. Approccio Tattico: Trovare le Vulnerabilita’ Scanning Della Applicazione Via Penetration Testing Tools Scanning Del Codice Via Static Code Analysis Tools Test Di Penetrazione Manuale Revisione Del Codice Manuale
  • 17. Approccio Strategico: Iniettare Security nella SDLC
  • 18. Pre-requsiti per la software security Processi: SDLC sicura (e..g. CLASP) Attivita’ di modello delle minaccie e verifica vulnerabilita (codice e applicazioni) Standards/Tecnologie Standards per il codice sicuro Patterns per architecture sicura Strumenti per l’analisi vulnerabilita’ Formazione/Training Come scrivere e produrre secure software Analisi e gestione delle vulnerabilita’-minaccie-rischi
  • 19. Uso di progetti e strumenti OWASP nella SDLC
  • 20. OWASP Nel Ciclo Di Sviluppo Del Software Requisiti e use cases Design Test plans Codice Verifica E Risultati Dei Test Feedback Operativo Documentazione Dei Requisiti Security Testing Guide OWASP T10 Guida Per I Test Strumenti per l’analisi statica del codice Guida Per Security Test e Strumenti Pen Test Modelli Delle Minaccie E Dei Rischi Approccio Evolutivo Guida Per La Revisione Del Codice Guide Per Progettare Applicazioni Sicure
  • 21. Il Progetto OWASP Top 10 Top 10 Vulnerabilita’ delle Web Applications Lista delle prime 10 vulnerabilita’ piu ad alto rischio Aggiornata ogni anno Lo scopo sono le vulnerabilita’ delle applicazioni exploitable dall’esterno Presa come riferimento dal organizzazioni USA e business: Federal Trade Commission (US Gov) US Defense Information Systems Agency (DISA) VISA (Cardholder Information Security Program) Un buon punto di partenza per le iniziative di application security La lista di organizzazioni che adottano OWASP si trova qui: https:// www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 22. Esempio di lista per le vulnerabilita’: OWASP Top 10 Le 10 vulnerabilita’ piu diffuse (2007) A1. Cross Site Scripting A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access https://www.owasp.org/index.php/Top_10_2007
  • 23. OWASP vs3: Derivazione della specifica: security requirements via use and misuse cases Source: OWASP Testing Guide Vs 3 Introduction
  • 24. Guida per la progettazione: OWASP Guide 2.0 Guida Per Sviluppare Sicure Web Applications e Web Services Concetti e linee guida fondamentali per sviluppare software sicuro Principi per security architecture e design Sicurezza nella SDLC (Secure Coding, Threat Modeling, Pen Test) Information security (policy, standards) Si focalizza su aspetti fondamentali di design e implementazione: Architettura Autenticazione Autorizzazione Gestione delle web sessions Logging e auditing degli Eventi Validazione dei dati in input Configurazione sicura
  • 25. Analisi dei rischi dovuti alla architettura S/W: OWASP Threat Modeling
  • 26. Progetto OWASP Application Threat Modeling Cattura dello scopo della applicazione Requisti, Use Cases Modello di architettura del Sistema Modello fisico e logico, Data Flows, Trust Boundaries, Entry/Exit Points Identificazione delle minaccie (Threats) STRIDE, ASF Mapping delle minaccie- vulnerabilita-contromisure Threat tree e checklists Determiniazione dei rischi associati alle minaccie Modelli di Rischio
  • 27. OWASP Application Threat Modeling (parte del progetto Secure Coding Guide vs.3) OWASP Application Threat Modeling https://www.owasp.org/index.php/Application_Threat_Modeling
  • 28. Modelli per la valutazione del rischio Rischio = Minaccia x Vulnerabilita’ X Impatto
  • 29. Progetto OWASP Secure Coding Guideline Formalizza le “best practices” per scrivere software in modo sicuro Puo’ servire come documento base per creare secure coding standards specifici per la tua organizzazione/azienda E’ scritta per essere utilizzata da software engineers Puo’ essere usata per produrre una metrica e valutare la qualita’ del codice sorgente
  • 30. Progetto per l’analisi del codice sorgente di progetti OWASP http://owasp.fortify.com /.
  • 31. Progetto OWASP Testing Guide (vs 3 , 2007) Il maggiore contributo italiano a OWASP… Perdita Informazioni Test Logica Di Sistema Test Authentication Test Session Management Test Validazione Data Testing Denial of Service Web Services Testing Ajax Testing Principi Dei Test Processi Per Il Testing Testing Per Web Applications Black Box Testing Grey Box Testing Analisi Rischi e Reporting Appendix: Testing Tools Appendix: Fuzz Vectors http:// www.lulu.com/items/volume_63/4037000/4037522/1/print/OWASP_Testing_Guide_v2_for_print.doc.pdf
  • 32. Mitigazione dei rischi delle SQL injection: documentazione minaccie e contromisure Minaccie: Accesso non autorizzato a dati, bypass della authentication, denial of service Contromisure: Evita la concatenazione delle stringhe nei SQL statement (e.g. SELECT * FROM users WHERE username) Usa SQL parameterized queries JAVA EE usa strongly typed “PreparedStatement” in .NET usa “SqlCommand” e “SqlParameters” Rimuovi caratteri “in-sicuri” dall’input : ' &quot; ` ; * % _ =&\|*?~<>^()[]{}$\n\r Usa messaggi di errore generici: No ai messaggi SQL exception all utente
  • 33. Esempio di procedure per il test delle vulnerabilita’ XSS Documenta il Test Case Test Web Page Per Login Procedura Manuale Vettori Di Attacco: <script>alert()</script>; javascript:alert() +ADw-SCRIPT+AD4-alert();+ Passa il test se: Un messaggio di errore e’ presentato all’ utente Non passa: se javascript e’ eseguito dal browser: alert dialog
  • 34. Strumenti OWASP Per l’ Analisi Della Security http://www.owasp.org/index.php/Phoenix/Tools OWASP Tools + Conosciuti WebGoat: applicazione web con vulnerabilita’ per training e tests WebScarab: web proxy e fuzzer Ricorda che: Secondo MITRE le vulnerabilita’ identificate dai tool trovano al massimo il 45% del totale vulnerabilita’ presenti Non c’e’ tool che possa sostituire un consulente esperto Tools non hanno idea della architettura e del contesti Il fatto che un tool non trovi vulnerabilita’ non vuol dire che il codice/applicazione e’ sicuro
  • 36. Fondi OWASP e sponsorizzazioni per progetti 100% delle quote dei soci OWASP sono usate per sponsorizzare i progetti. Attualmented 3 “season of code” sono stati sponsorizzati da OWASP. OWASP Autumn Of Code 2006 $20,000 budget OWASP Spring Of Code 2007 $117,500 budget OWASP Summer of Code 2008 $126,000 budget
  • 37. OWASP Summer of Code 2008 Finanziamento per 31 progetti di application security
  • 38. Progetti Finanziati Nel 2008 (cont)
  • 40. Iscriviti ad una owasp mailing list
  • 41. Oppure.. inizia un tuo progetto
  • 42. Partecipa alle attivita’ della sezione locale
  • 43. Contribure ad OWASP In differenti ruoli Project Leader, Participante e Reviewer Organizzatore conferenze OWASP Pubblicando articoli – wiki Analizzando nuove technologie Come OWASP member Azienda Socio Membro Dando il meglio delle tue conoscienze dedicando parte del tuo tempo libero
  • 44. Email: [email_address] D R DOMANDE E RISPOSTE