La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.

Presentazioni simili


Presentazione sul tema: "Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."— Transcript della presentazione:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi di Bari 23rd February Bari (Italy) Introduzione allOWASP- Day III Matteo Meucci OWASP-Italy Chair CEO Minded Security

2 OWASP Day III – 23rd, February 2009 OWASP-Italy Research OWASP-Italy Chair OWASP Testing Guide Lead Work Minded Security Application Security Consulting 8+ years on Information Security focusing on Application Security Who am I?

3 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Day III: Research meets Industry

4 OWASP Day III – 23rd, February 2009 OWASP-Italy 09.45h "Trusted Computing: tecnologia ed applicazione alla protezione del web" Prof. Antonio Lioy - Politecnico di Torino 12.15h "A Software Security Maturity Model (ENG) Brian Chess - Chief Scientist at Fortify Software 14.00h "Http Parameter Injection" Stefano Di Paola - CTO Minded Security 14.30h "SHIELDS: metrics, tools and Internet services to improve security in application developments" D.Rotondi, A.Bagnato, E.Coscia, C.Rubattino - TXT e-solutions Spa 15.00h Secure Code Review: dalla teoria alla pratica" Antonio Parata - Security Consultant Emaze Networks 16.00h Automatic Generation of Test Cases for Web Application Security: a Software Engineering Perspective" Prof. Corrado Aaron Visaggio - Università del Sannio OWASP Day III: Research

5 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP Day III: Industry 11.00h "L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza di ABN AMRO" Manuele Cavallari - Responsabile IT Security Office - Consorzio Operativo Gruppo MPS 11.30h "Analisi forense dopo un cyber attack" Ass. Davide Gabrini - Analista forense presso il Compartimento Polizia Postale e delle Comunicazioni di Milano 16.30h "Harden your Java Components! (ENG) Pierre Parrend - SE FZI Karlsruhe

6 OWASP Day III – 23rd, February 2009 OWASP-Italy Round Table 17.00h Round table:La ricerca nella Web Application Security, qual è lo stato dellarte? Quali progetti/iniziative per aiutare le aziende a creare applicazioni più sicure e a difendersi da nuove forme di attacchi? Cosa sta facendo lUniversità in tal senso? Quanto sono vicini il mondo aziendale al mondo accademico? Panelist: Danilo Caivano - Università di Bari, Corrado Aaron Visaggio - Università del Sannio, Giorgio Fedon - COO Minded Security

7 OWASP Day III – 23rd, February 2009 OWASP-Italy 7 The Open Web Application Security Project (OWASP) è un progetto opens source dedicato a sviluppare tool, metodologie e linee guida per la Web Application Security. La partecipazione ad OWASP è aperta a tutti Tutto è free e accessibile dal sito Migliaia di membri attivi in tutto il mondo, 100+ local chapters Millions of hits on Centinaia di aziende che adottano la documentazione OWASP

8 OWASP Day III – 23rd, February 2009 OWASP-Italy La comunità OWASP

9 OWASP Day III – 23rd, February 2009 OWASP-Italy 9 What are the OWASP projects?

10 OWASP Day III – 23rd, February 2009 OWASP-Italy Principali progetti OWASP BOOKS Owasp top10 Building guide Code review guide Testing guide TOOLS WebGoat WebScarab SQLMap – SQL Ninja SWF Intruder Orizon Code Crawler

11 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP & PCI v1.2

12 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP Goals: migliorare la qualità e il supporto Define Criteria for Quality Levels Alpha, Beta, Release Encourage Increased Quality Through Season of Code Funding and Support Produce Professional OWASP books Provide Support Full time executive director (Kate Hartmann) Full time project manager (Paulo Coimbra) Half time technical editor (Kirsten Sitnick) Half time financial support (Alison Shrader)

13 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Italy e la ricerca OWASP Italy nasce nel Gennaio 2005 Raccoglie centinaia di persone appassionate alla Web Application Security Obiettivi Organizzazione conferenze Scrittura articoli Sviluppo tool Sviluppo documentazione e linee guida La ricerca come base per lindustria Mai come nellapplication security si ha unesigenza di ricerca per lo sviluppo di attività di innovazione

14 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Italy tools: Orizon

15 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Italy tools: SWF Intruder

16 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Italy tools: SQLMap

17 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP-Italy tools: SQL Ninja Sqlninja è sviluppato in PERL da Alberto Revelli (aka Icesurfer). Tool che sfrutta SQL Injection per MS SQL Server. Non individua SQL Injection, ma si focalizza nel creare una shell interattiva sul DB remoto e sfruttare questa per avere una base nella rete target. Fingerprint del SQL Server Bruteforce della password dellutente 'sa' Privilege escalation to 'sa' Creazione di custom xp_cmdshell Upload di file eseguibili DNS tunneled pseudoshell, when no ports are available for a bindshell E molto altro…

18 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP Italy Project: Anti-Malware La diffusione di Malware risulta in continuo aumento. Nel solo anno 2008 su Internet si sono contati circa 15 milioni di malware. Banking Malware: sempre più sofisticati. Si aggiornano in base al paese e alle configurazioni del server su cui si installano. Obiettivi: Descrivere i comuni problemi di sicurezza nel design per la protezione di siti di banking Fornire best-practice che dovrebbero essere considerate per realizzare soluzioni antimalware

19 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP Italy Project: Testing Guide

20 OWASP Day III – 23rd, February 2009 OWASP-Italy OWASP Testing Guide v3: roadmap 26th April 2008: start the new project OWASP Leaders brainstorming Call for participation: 21 authors Index brainstorming Discuss the article content 20th May 2008: New draft Index 1st June 2008: Let's start writing! 27th August 2008: started the reviewing phase: 4 Reviewers October 2008: Review all the Guide December 2008: published the new version of the OWASP Testing Guide: (347pages +80!)

21 OWASP Day III – 23rd, February 2009 OWASP-Italy 21 Web Application Penetration Testing Che cosè un Web Application Penetration Testing? É un processo che prevede unanalisi dellapplicazione al fine di identificare ogni debolezza o vulnerabilità nei controlli di sicurezza implementati E unanalisi Black Box (non conosciamo il funzionamento dellapplicazione ed il codice) Metodologia + tools (OWASP WebScarab, SQLMap,...) Il nostro approccio nello scrivere la guida: Open Collaborattivo

22 OWASP Day III – 23rd, February 2009 OWASP-Italy 22 OWASP Testing Guide v3 Descrive la metodologia OWASP per testare un applicativo web 347 pagine, 66 controlli Approccio della metodologia: Definita Consistente Ripetibile Di qualità SANS Top NIST Technical Guide to Information Security Testing (Draft) Cita la Testing Guide come referenza per il testing

23 OWASP Day III – 23rd, February 2009 OWASP-Italy Whats new in v3? Information Gathering Config. Management Testing Business Logic Testing Authentication Testing Authorization Testing Session Management Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing Encoded Appendix V2 8 sub-categories (for a total amount of 48 controls) V3 10 sub-categories (for a total amount of 66 controls) 36 new articles! Information Gathering Business Logic Testing Authentication Testing Session Management Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing

24 OWASP Day III – 23rd, February 2009 OWASP-Italy 24 Testing paragraph template Brief Summary Describe in "natural language" what we want to test. The target of this section is non-technical people (e.g.: client executive) Description of the Issue Short Description of the Issue: Topic and Explanation Black Box testing and example How to test for vulnerabilities: Result Expected:... Gray Box testing and example How to test for vulnerabilities: Result Expected:... References Whitepapers Tools Example

25 OWASP Day III – 23rd, February 2009 OWASP-Italy 25 Come può aiutare la guida nel campo della security industry? Approccio strutturato alle attività di Testing Checklist da seguire A learning and training tool Tester Strumento per capire cosa viene testato, le vulnerabilità ed il loro impatta sullapplicazionei Un modo per controllare la qualità dellazienda che verifica la sicurezza Cliente La Testing Guide rappresenta una metodologia che è divenuta standard a livello internazionale e richiesta dalla maggioranza delle aziende Security =! Black Art

26 OWASP Day III – 23rd, February 2009 OWASP-Italy Before SDLC Define&Design Development Deploy&Maintenance OWASP Framework Guidelines Building Guide Code Review Guide Testing Guide SDLC & OWASP OWASP Top10 Web Goat WebScarab SWF Intruder SQLNinja SQLMap Pantera Orizon LAPSE.NET CSRFGuard ESAPI

27 OWASP Day III – 23rd, February 2009 OWASP-Italy Grazie! Matteo Meucci


Scaricare ppt "Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."

Presentazioni simili


Annunci Google