OWASP IDEAS Information & Design Applications
O WA S P
O WA S P
WA S ist Web Application Security?
Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse Algorithmen Kundendaten online-shop, Veranstaltungs-Registrierung, Artikeldaten, Preise, Geschäftsberichte, WWS, ERP-Subsysteme, Kollaborations-Anwendungen, Finanzwesen, HR-Management,
Part I: Web Application Security Aufgabe 2 Schadenspotenziale bewerten Schadenshöhe bei Verletzung der Wert Vertraulichkeit Verfügbarkeit Integrität Kundendaten hoch gering gering ERP-Prozess hoch mittel hoch Vorarbeit für Risiko-Bewertung (vgl. OWASP Risk Rating Modell)
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen Die Website selbst HTML, CSS, JS URL / Webadresse Manipulation der GET-Parameter
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: URL
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: URL
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen Die Website selbst HTML, CSS, JS URL / Webadresse Formulare Manipulation der GET-Parameter Manipulation der POST-Parameter
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Formulare Quellcode: ( ) $sql="select * FROM TabelleMitBetreffTexten WHERE id='".$_post['betreff']."'"; ( )
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Formulare [ ]
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen URL / Webadresse Formulare Cookies, File-Uploads Fehlende Patch- Management für Standard-Applikationen Manipulation der GET-Parameter Manipulation der POST-Parameter Session-Hijacking, Backdoors CMS, Shopsysteme, etc.
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen HTTP + Google Security by Obscurity
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: HTTP + Google Suchanfrage via Google: internen Gebrauch filetype:doc
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen HTTP + Google (No) Security by Obscurity Web-Trojaner
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner Web-Trojaner = Third-Party Applications, die in Webanwendungen / Websites integriert werden, Die Herausforderungen der Vernetzung - ein Blick in die Zukunft - und die Hackern verborgene Hintertüren zum Quell-System eröffnen!
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner Die Herausforderungen der Vernetzung - ein Blick in die Zukunft
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner CDN Content Delivery Networks
Part I: Web Application Security CDN Content Delivery Networks Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner Sollen Web-Applikationen schneller machen Vergrößern die Angriffsfläche Vereinfachen Angriffe ( schwächstes Glied ) Manipulation von CSS (à XSS) Manipulation JS (à Schadcode, Drive-by) Manipulation Flash-Applikationen
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner CDN Content Delivery Networks Web-Services
Part I: Web Application Security Aufgabe Web-Services 3 Angriffsflächen bestimmen: Web-Trojaner Validierung von Adressdaten Reseller-Systeme Payment-Gateways Wetter, Börsenkurse, etc. Probleme: Manipulierte Daten Injektion von Schadcode
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner CDN Content Delivery Networks Web-Services Tracker z.b. Google Analytics
Part I: Web Application Security Aufgabe 3 Angriffsflächen bestimmen: Web-Trojaner Die Probleme: Sicherheits-Status nicht bestimmbar Kein Einfluss auf Sicherheits-Anforderungen Vergrößerung der Angriffsfläche = Sicherheitsvorfall auch ohne Angriff!
Part I: Web Application Security Aufgabe 4 Angriffsrisiken bestimmen
O WA S P
The OWASP Foundation http://www.owasp.org OWASP unterstützt Sie bei der Erstellung und dem Betrieb sicherer Web- Anwendungen
The OWASP Foundation http://www.owasp.org OWASP unterstützt Sie mit Publika(onen So.ware Konferenzen Netzwerke
The OWASP Foundation http://www.owasp.org OWASP richtet sich an Geschä.sführung (IT- ) Management So.ware- Entwickler Mitarbeiter
The OWASP Foundation http://www.owasp.org OWASP :: Publika?onen OWASP Applica(on Security Verifica(on Standard (ASVS) OWASP Developers Guide OWASP Code Review Guide OWASP Tes(ng Guide Secure SDLC Cheat Sheet. und viele mehr
The OWASP Foundation http://www.owasp.org OWASP :: Publika?onen TOP10 der Sicherheitsrisiken 24 Seiten, deutsch (und viele andere Sprachen) Für Manager und Techniker Vielfach als Referenzwerk im Einsatz (PCI- DSS, IBM, )
The OWASP Foundation http://www.owasp.org OWASP :: SoAware OWASP WebGoat OWASP Zed A\ack Proxy OWASP O- Sa..
The OWASP Foundation http://www.owasp.org OWASP :: Konferenzen OWASP AppSec USA AppSec EU 2013 in Hamburg 27.6.- 1.7.2015 Rom German OWASP Day 1.12.2015, Frankfurt
The OWASP Foundation http://www.owasp.org
The OWASP Foundation http://www.owasp.org
The OWASP Foundation http://www.owasp.org
The OWASP Foundation http://www.owasp.org OWASP :: Netzwerk Mailinglisten Regelmäßige Stamm(sche Berlin, Dresden, Frankfurt, Hamburg, Karlsruhe, Köln, München, Nürnberg, Stu>gart, Konferenzen Vermi\lung von Experten
The OWASP Foundation http://www.owasp.org Wer ist OWASP? Interna(onales Netzwerk von Sicherheits- Experten Ehrenamtlich, unabhängig Finanzierung über Mitgliedsbeiträge, Konferenzbeiträge und Sponsoring Projektbezogene Zusammenarbeit Ca. 2000 Mitglieder weltweit German- Chapter typ. 15-30 Mitglieder Kernteam
The OWASP Foundation http://www.owasp.org OWASP Zuhören Mitreden Mitmachen owasp- germany@lists.owasp.org Oder sprechen Sie mich persönlich an: ingo.hanke@owasp.org
Vielen Dank für Ihre Aufmerksamkeit!
OWASP IDEAS Information & Design Applications hanke@ideas.de ingo.hanke@owasp.org