OWASP + DevOps - Nowe narzędzia do zabezpieczania aplikacji - Mateusz Olejarka

Transcript

1. OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka

2. About • Pentester @ SecuRing • Były programista • Trener

   • w OWASP Poland od 4 lat

3. Agenda • Co to OWASP? • Co ma dla mnie

   (dla Was) ciekawego? • Narzędzia • Q&A

4. Disclaimer • To tylko przegląd narzędzi • Nie, nie korzystam

   sam • Uważam, że warto przynajmniej rzucić na nie tak zwanym okiem

5. OWASP • Misja • Projekty – Dokumenty – Narzędzia •

   Listy dyskusyjne

6. Narzędzia • Dependency check • Dependency-Track • ESAPI • AppSensor

   • ZAP • oSaft

7. OWASP Dependency Check • Weryfikacja podatności w bibliotekach • Problem:

   OWASP Top 10 2013 A9 Using Components with Known Vulnerabilities • Status: FLAGSHIP • Korzysta z NIST National Vulnerability Database • Produkuje raport

8. OWASP Dependency Check • Wspierane technologie: • Użycie: – Command

   line – Ant - zadanie – Jenkins plugin – Maven plugin

9. • Aplikacja WWW • Status: LAB (v1.0.0 15.02.2015) • Korzysta

   z OWASP Dependency Check • Możliwości: – Zarządzanie listą aplikacji wraz z wykorzystywanymi komponentami – Dashboard 
10. None
11. None

12. OWASP ESAPI • Enterprise Security API • Status: ? •

    Wspierane technologie*: • Wersje: – v 2.0 (10.2013 release) – v 3.0 (10.2014 last commit)

13. OWASP ESAPI Naming conventions such as this are not part

    of ESAPI but are good practice Step Step 1 2 $clean = array(); //this is local in scope $clean_sql = array(); //this is local in scope $clean['id'] = ESAPI::getValidator()->getValidInput( ... ); $clean_sql['id'] = ESAPI::getEncoder()->encodeForSQL( new MySQLCodec(), $clean['id'] ); This is also an ESAPI control

14. OWASP AppSensor • Framework pozwalający na wbudowanie w aplikację mechanizmów

    wykrywania i obsługi incydentów • Status: ? (v2.0, last commit 26.02.2015) • Oferuje: – Wiedzę jak się bronić – Referencyjną implementację

15. OWASP AppSensor

16. OWASP AppSensor

17. OWASP AppSensor

18. OWASP Zed Attack Proxy • HTTP proxy++ • Status: FLAGSHIP

    • Możliwości: – Skaner automatyczny • Pasywny • Aktywny – API – Możliwość skryptowania

19. OWASP Zed Attack Proxy • HTTP proxy++ • Status: FLAGSHIP

    • Możliwości: – Skaner automatyczny • Pasywny • Aktywny – API – Możliwość skryptowania Application Errors Cache Control Content Type Missing Cookie HTTP Only Cookie Secure Flag Cross Domain Script Inclusion Header XSS Protection Mixed Content Password Autocomplete Private Address Disclosure Session Id in URL X-Content-Type-Options X-Frame-Option

20. OWASP Zed Attack Proxy • HTTP proxy++ • Status: FLAGSHIP

    • Możliwości: – Skaner automatyczny • Pasywny • Aktywny – API – Możliwość skryptowania Code Injection Command Injection Client Browser Cache Cross Site Scripting (reflected) Cross Site Scripting (persistent) Directory Browsing External Redirect CRLF Injection Parameter Tampering Path Traversal Remote File Include Server Side Include SQL Injection

21. OWASP Zed Attack Proxy • Użycie (API): – Ant -

    zadanie – Maven plugin – Python, Node.js – …

22. O-Saft • Weryfikacja (aktywna) konfiguracji SSL/TLS • Problem: OWASP Top

    10 2013 A6 Sensitive Data Exposure • Status: LAB • Użycie: command line

23. Q&A ???

24. Dziękuję za uwagę [email protected] @molejarka

25. Materiały • https://www.owasp.org/index.php/Category:OWASP_Project • https://www.owasp.org/index.php/OWASP_Dependency_Check • https://www.owasp.org/index.php/OWASP_Dependency_Track_Project • https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API •

    https://github.com/ESAPI • https://www.owasp.org/index.php/OWASP_AppSensor_Project • https://github.com/jtmelton/appsensor • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project • https://www.owasp.org/index.php/O-Saft