Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010

Ähnliche Dokumente
IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP The OWASP Foundation

WMAP Metasploit 3.2 Module für Pentester von Webapplikationen. OWASP Frankfurt, The OWASP Foundation

Internet Explorer Version 6

Diplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008

Welcome to Trend Micro Leitfaden Deal-Registration

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den

Web Application Security

Vorgehensweise bei Lastschriftverfahren

GeFüGe Instrument I07 Mitarbeiterbefragung Arbeitsfähigkeit Stand:

Java Entwicklung für Embedded Devices Best & Worst Practices!

Informationssicherheit als Outsourcing Kandidat

Einzelplatz - USB-Lizenz

Secure SDLC für die Masse dank OpenSAMM? OWASP The OWASP Foundation. Dr. Bruce Sams.

THEMA: "SAS STORED PROCESSES - SCHNELL GEZAUBERT" HELENE SCHMITZ

Softwarelizenzen und Open Source

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Hochschule Darmstadt Fachbereich Informatik

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

Installation von NetBeans inkl. Glassfish Anwendungs-Server

Use Cases. Use Cases

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

BIF/SWE - Übungsbeispiel

How-to: Webserver NAT. Securepoint Security System Version 2007nx

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

Educase. Release Notes 1.7: Neue Funktionen und Verbesserungen. Base-Net Informatik AG Wassergrabe 14 CH-6210 Sursee

Inhalt. 1 Übersicht. 2 Anwendungsbeispiele. 3 Einsatzgebiete. 4 Systemanforderungen. 5 Lizenzierung. 6 Installation. 7 Key Features.

Anforderungen und Umsetzung einer BYOD Strategie

Updatehinweise für die Version forma 5.5.5

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum


Agile Softwareentwicklung

Deskline 3.0. Vermieterinfo ChannelGateway

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

BytStorMail SAAS als Relay

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Übersicht. Eclipse Foundation. Eclipse Plugins & Projects. Eclipse Ganymede Simultaneous Release. Web Tools Platform Projekt. WSDL Editor.

IT-Security Portfolio

Wie man Registrationen und Styles von Style/Registration Floppy Disketten auf die TYROS-Festplatte kopieren kann.

PRAXIS. Ihre Wünsche in der Praxis Ihrer Praxis. Möbelkonzepte. Natürlich Mann Möbel.

Was ist bei der Entwicklung sicherer Apps zu beachten?

Fassade. Objektbasiertes Strukturmuster. C. Restorff & M. Rohlfing

Zusatzmodul Lagerverwaltung

Wie kann man Kreativität und Innovation fördern? Psychologische Ansätze zum Ideenmanagement

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Handbuch NOXON Favourites Commander

OWASP German Chapter. Chapter Meeting

1 Allgemeines Ziel des Dokument Name des Dokuement Version Allgemein Status Empfänger...

BSV Software Support Mobile Portal (SMP) Stand

Datensicherung und Wiederherstellung

5. Business Rules Der Business Rules Ansatz. 5. Business Rules. Grundbegriffe um Umfeld von Business-Rule-Management-Systemen kennen und

Die Anmeldung zum Prüfungsvorbereitungsportal von Westermann in fünf einfachen Schritten:

CASE STUDY Führungskräfte-Coaching. Ausgangssituation

Sicher einkaufen Trusted Shop Gütesiegel - Preiswerte Baustoffe online kaufen.

Lizensierung ABB i-bus Newron Commissiong Tool

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Neue Funktionalität in mobidas 1.3. erp Serie

Reporting Services und SharePoint 2010 Teil 1

Installation des Add-Ins für Lineare Algebra in Microsoft Excel

Ein Blick voraus. des Autors von C++: Bjarne Stroustrup Conrad Kobsch

the RTL Group intranet Ihr guide

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

CeBIT CARMAO GmbH

HD-Kamerasoftware Version 4.1.0

DER SELBST-CHECK FÜR IHR PROJEKT

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Business Model Canvas

Dossier Kunden zu Fans Lesen Sie auf nur fünf Seiten, was es mit dem Fanmodell auf sich hat

Lizenzierung von StarMoney 9.0 bzw. StarMoney Business 6.0 durchführen

Sicherheitsbewertungsbericht

DOKUMENTATION VOGELZUCHT 2015 PLUS

Online-Zugang zum EOM. Anleitung

DevOps bei den ID Build-Automatisierung statt Silo-Betrieb

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Internet online Update (Internet Explorer)

IT-Security Portfolio

SJ OFFICE - Update 3.0

Lizenzen auschecken. Was ist zu tun?

MO 27. Aug. 2007, 17:00 UHR JAVA FRAMEWORKS TIPPS VON PROFI-GÄRTNERN GEGEN WILDWUCHS

die wichtigsten online-tools für augenoptiker websites

Adventskalender Gewinnspiel

Anforderungen an die HIS

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Eine Bürokratiekostenfolgenabschätzung zum zweiten Gesetz für moderne Dienstleistungen am Arbeitsmarkt im Hinblick auf die Einführung einer Gleitzone

Ergebnispräsentation Mystery Shopping 2012

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten

Step by Step Webserver unter Windows Server von Christian Bartl

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

GeODin 7 Installationsanleitung

Microsoft SharePoint 2013 Designer

Powermanager Server- Client- Installation

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Online-Bestellung Tageskarten für Mitglieder des FC St. Pauli, die nicht im Besitz einer Dauer- oder Saisonkarte sind.

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Professionelle Seminare im Bereich MS-Office

Nicht über uns ohne uns

Neue Funktionen in Innovator 11 R5

Transkript:

Der Application Security Verification Standard (ASVS) 10/2010 Matthias Rohr SEC Consult Deutschland Senior Security Consultant m.rohr@sec-consult.com Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org

Der ASVS-Standard - Übersicht Erster offizieller Standard der Release 1.0 im August 2009 Lead Mike Boberski (bis 2010) Dave Wichers (seit 2010) Deutsche Übersetzung Initial: März 2010 Last Update: Oktober 2010 Weitere Übersetzungen in Arbeit Französisch, Spanisch, Japanisch, (5 weitere) 2 AppSec Germany 2010 Conference

Motivation (1) Es existierte bisher kein Standard für die Verifikation der Sicherheit von Webanwendungen Folge: Wie kann ein Kunde zwischen einem toolbasierten Scan und einer aufwändigen Sicherheitsanalyse unterscheiden? Betroffene: Einkauf, Anbieter, QA 3 AppSec Germany 2010 Conference

Die Philosophie hinter dem ASVS Unabhängigkeit in Bezug auf Anwendung Technologie Tools Lifecycle Anforderungen sollten direkt umsetzbar sein und keine zusätzliche Interpretation erfordern. Anforderungen sollten positiv formuliert sein Die Top Ten stellen ein Beispiel für negative Anforderungen dar. 4 AppSec Germany 2010 Conference

Das ASVS-Design Der Standard definiert vier Level zur Differenzierung unterschiedlicher Prüfgrade der (Web-)Anwendungssicherheit. Die Unterscheidung hinsichtlich Prüfabdeckung und Prüfstrenge erfolgt relativ linear zwischen diesen Leveln. Der Standard definiert Vorgaben an den Ausbau des Ergebnisberichtes 5 AppSec Germany 2010 Conference

Übersicht der ASVS-Struktur Abschnitt Verifikationslevel für Anwendungssicherheit Abschnitt Anforderungen an detaillierte Verifikation Abschnitt Anforderungen an den Verifikationsbericht 6 AppSec Germany 2010 Conference

Welche ASVS-Level gibt es? Level 1 Automatische Verifikation (Tools) Level 1A Dynamischer Scan (w3af, WebInspect, AppScan, etc.) Level 1B Source Code Scan (Fortify SCA, Ounce, etc.) Level 2 Manuelle Verifikation Level 2A Penetrationstest Level 2B Code Review Level 3 Design Verifikation Level 4 Interne Verifikation Eine Verifikation nach ASVS Level 2 beinhaltet die Durchführung von Penetrationstest und Codereview, bei Level 1 von dynamischen und Code-Scans 7 AppSec Germany 2010 Conference

Eröhtes Vertrauen je Level Erhöhtes Vertrauen in die Sicherheit ASVS Level 1 2 3 4 in die korrekte Verwendung von Sicherheitsmechanismen in die korrekte Funktionsweise der Sicherheitsmechanismen dass Sicherheitsmechanismen überall dort eingesetzt werden, wo dies erforderlich ist.. in den Entwicklungsprozess und die Entwickler selbst. 8 AppSec Germany 2010 Conference

Anforderungen im Einzelnen V1. Sicherheitsarchitektur V2. Authentisierung V3. Session Management V4. Zugriffskontrollen V5. Eingabevalidierung V6. Ausgabeenkodierung /-Escaping V7. Kryptographie V8. Fehlerbehandlung und Logging V9. Datensicherheit V10. Kommunikationssicherheit V11. HTTP-Sicherheit V12. Sicherheitskonfiguration V13. Identifikation von Schadcode V14. Interne Sicherheit insg. 121 Anforderungen 9 AppSec Germany 2010 Conference

Motivation (2) Es existieren kaum* Standards, die detailierte Vorgaben zur sicheren Implementierung von Webanwendungen liefern (Coding Guidelines) Folge: Sichere Implementierung ist meist nur abhägig vom Know How des jeweiligen Entwicklers Betroffene: Einkäufer, Anforderer, Entwickler * Ausnahme z.b. tw. A7700 Sichere Implementierung ist meist eine handwerkliche Tätigkeit, keine Ingenieurs-Diszipliz, daher sind genaue Vorgaben hier essenziell! 10 AppSec Germany 2010 Conference

Test Driven Security Development Anforderungen sind nur dann sinnvoll, wenn auch deren Einhaltung geprüft oder zumindestens zugesichert werden kann! Ansatz: Ableitung von Coding Guidelines aus ASVS-Prüfanweisung 11 AppSec Germany 2010 Conference

Security Framework auf Basis des ASVS PCI DSS ASVS A 7700 Coding Policy (techn.-unabhängig Prüflisten Testing Guide Java EE PHP.NET Coding Guidelines (techn.-spezifisch) 12 AppSec Germany 2010 Conference

Beispiel Schutzbedarfsklasse ASVS-Verweis Verweis zur Prüfliste (PASS/FAIL) 13 AppSec Germany 2010 Conference

Wo fange ich an? ASVS als interner Prüfkatalog: Verifikationsbedarf (VB)= SBK + Confidence Index ASVS-Level leitet sich aus dem festgelegten VB ab Min.: Durchführung von ASVS-Level-1-Prüfungen Käufer und Lieferant: Vertragl. Festlegung des ASVS-Levels zu dem die gelieferte Anwendung compliant sein muss (Level >=2) min. Stichprobentests! ASVS als Vorgabe für interne SW-Entwicklung (Secure Coding Guidelines) 14 AppSec Germany 2010 Conference

Informationen & Download Kopie beziehbar von ASVS-Projektseite: http://www.owasp.org/index.php/asvs Vorschläge zur Verbesserung und Fragen über ASVS-Mailingliste: Siehe Mailing List/Subscribe -Link auf der Projektseite 15 AppSec Germany 2010 Conference

Fragen? 16 AppSec Germany 2010 Conference

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback