OWASP und APEX. As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. Wir kümmern uns!

Transkript

1 OWASP und APEX Sicherheit, einfach machen As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace. - Newton Lee, Author and Computer Scientist Wir kümmern uns!

2 Spitzenleistung heißt, sich auf seine Stärken zu konzentrieren. merlin.zwo Wir machen Oracle - nur Oracle. Aus gutem Grund. Sebastian Wittig merlin.zwo InfoDesign GmbH & Co. KG Karlsruhe Wir kümmern uns!

3 Motivation

4 Motivation

5 Architektur einer WebApplikation Client Internet WebServer Datenspeicher

6 APEX Architektur Client Intranet WebServer DB

7 APEX Architektur Intranet die Regel, aber! BYOD! Smart Client Devices Intranet WebServer DB! externe Zugriffe! technisch versierte Nutzer! Bequemlichkeit Ausnahmen bestätigen die Regel.

8

9 OWASP 2001 gegründet prinzipientreu Informatiker weltweit

10 OWASP offenes Wiki gelebte Offenheit How-To-Dokumente

11 OWASP seit 2004 wenige Änderungen Top 10 Projekt zur Zeit 2017-RC2

12 OWASP Top 10 A2: fehlerhaftes Authentifizierungsund Sessionmanagement A1: Injection A5: fehlkonfigurierte Sicherheit A8: Cross Site Request Forgery A6: Preisgabe kritischer Daten A4: fehlerhafte Zugriffskontrolle A7: ungenügende Angriffserkennung A10: unzureichend geschützte APIs A3: Cross Site Scripting (XSS) A9: Komponenten mit bekannten Sicherheitslücken

13 A1: Injection Gefährdet, wenn! dynamischer Befehl! Konkatenation Schutz durch! Input validieren! Zeichenfolgen escapen! sichere APIs verwenden APEX bietet mir! Bindevariablen nutzen! keine Ampersandnotation! DBMS_ASSERT

14 A2: Broken Authentication and Session Management Gefährdet, wenn! schlechtes Passworthandling! Session ID sichtbar! Brute Force Angriffe Schutz durch! Passwörter prüfen! Sessiontimeout! Standardimplementationen APEX bietet mir! erprobte APIs! Standard Timeout! vernünftigtes Sessionhandling

15 A3: Cross Site Scripting Gefährdet, wenn! Eingabefelder ungeprüft! unsicheres JavaScript! JavaScript durch Upload Schutz durch! Eingaben überprüfen! keine unescapte Darstellung! JavaScript deaktivieren APEX bietet mir! Standard: escapte Wiedergabe! APIs: z.b. APEX_UTIL.ESCAPE! Display Only Items

16 A4: Broken Access Control Gefährdet, wenn! trivialer numerischer PK! keine Zugriffskontrolle! Execute Public Funktionen Schutz durch! UUID! Hash-Mappings! Anwenderzugriff prüfen APEX bietet mir! Session State Protection! Autorisierungsschemas! feingranulare Zugriffskontrolle

17 A5: Security Misconfiguration Gefährdet, wenn! veraltete Komponenten! Standardkonfigurationen! Error Stacks sichtbar Schutz durch! Komponenten prüfen! pessimistische Zugangspolitik! Standardimplementierungen APEX bietet mir! aktive Community! Standardfehlermeldungen! DB-Nutzer deaktiviert

18 Zwischenspiel

19 A6: Sensitive Data Exposure Gefährdet, wenn! Daten im Klartext HTTP! veraltete Algorithmen Schutz durch! verschlüsseln HTTPS! Salt & Pepper APEX bietet mir! Standardimplementierungen z.t. veraltet! verschlüsselter Session State

20 A7: Insufficient Attack Protection Gefährdet, wenn! Angriffsmetriken Erkennung Behandlung Prävention! Tools kennen + nutzen Schutz durch! Analyse der Nutzerdaten Zustände loggen Verhaltensmuster! Reagieren IP blocken deaktivieren APEX bietet mir! Securityanalyse! interne Logs! Wartezeit bei Loginspam! Adminaccount wird deaktiviert

21 A8: Cross Site Request Forgery Gefährdet, wenn! fehleranfällige Tokens! Browserinformationen für Autorisierung Authentifizierung Schutz durch! Tokenhandling validiert Aktionen wird mitübertragen ist zufällig APEX bietet mir! beendet Session sofort! Session State Protection! Packages zur Linkerzeugung

22 A9: Using Components with Known Security Vulnerabilities Gefährdet, wenn! JS-Bibliotheken! Betriebssystem! Datenbank! restliche Infrastruktur Schutz durch! Patches! Informationen sammeln APEX bietet mir! aktive Community! CPUs

23 A10: Underprotected APIs Gefährdet, wenn! (externe) Schnittstellen! exotische Formate keine Standards keine Frameworks Schutz durch! HTTPS! Schnittstellen testen! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! RESTful Services

24 OWASP Top RC1 vs RC2 OWASP Top RC1 Veränderung OWASP Top final A1 Injection A2 Broken Authentication and Session Management A1 Injection A2 Broken Authentication and Session Management A3 Cross Site Scripting - A3 Sensitive Data Exposure A4 Broken Access Control (Merged) - A4 XML External Entity (NEW) A5 Security Misconfiguration - A5 Broken Access Control A6 Sensitive Data Exposure + A6 Security Misconfiguration A7 Insufficient Attack Protection (NEW) A8 Cross Site Request Forgery (CSRF) A9 Using Components with known Vulnerabilities A10 Underprotected APIs (NEW) A7 Cross Site Scripting A8 Insecure Deserialization (NEW) A9 Using Components with known Vulnerabilities A10 Insufficient Logging & Monitoring (NEW)

25 Zwischenspiel

26 APEX: Pro & Kontra Implementierungsaufwand gering Session State Protection Session Handling Standardauthentifizierungen Basiert auf Oracle DB vervielfacht Sicherheitsoptionen verstärkt APEX-Lücken APEX stützt Sicherheit umfangreiches Logging Standardauswertungen verfügbar Sicherheitsoptionen oft aktiviert Implementierungsaufwand später hoch Einarbeitungsaufwand Verständnis wichtig Wissenslücken abhängige JS-Bibliotheken Sicherheitsoptionen z.t. umgehen z.t. veraltete Verschlüsselungsverfahren Kein reiner Entwicklerfokus Serverkonfiguration DB-Konfiguration

27 OWASP DVWA / XAMPP Schneier on Security heise security APEX-Blogs Twitter #orclapex

28 Fazit und Tips: Informationen und Karte Bruce Schneier zur Security Sicherheit verargumentieren Regulärer Text! Ebene 1 Ebene 2 Ebene 3 Hervorgehobener Text Codefragment Zweite Variante Hervorhebung Security is a process, not a product. - Bruce Schneier

29 Fragen? merlin.zwo Wirkümmern uns! Vorträge von merlin.zwo: Mi, 16:00 Uhr, Prag: Oracle VM: Der Ausweg aus dem Virtualisierung-Dilemma (J. Kutscheruk) Mi, 17:00 Uhr, Shanghai: Service, please! (J. Kutscheruk) merlin.zwo InfoDesign GmbH & Co. KG Sebastian Wittig Elsa-Brändström-Straße Karlsruhe Tel sebastian.wittig@merlin-zwo.de Wir kümmernuns!

30 Letzte Worte

31 Offenheit

32 APEX-Architektur

33 A4-RC2: XML External Entity (XEE Injection) Gefährdet, wenn! Schnittstellen im Internet! Trusted CallerPrinzip Schutz durch! HTTPS / Wallet! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! Standard RESTful Services

34 A8-RC2: Insecure Deserialization Gefährdet, wenn! Daten und! exotische Formate keine Standards keine Frameworks Schutz durch! HTTPS! Schnittstellen testen! API autorisieren + authentifizieren APEX bietet mir! Wallets für SSL! RESTful Services