: Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation http://www.owasp.org
O que é o? Open Web Application Security Project Promove o desenvolvimento seguro de software Orientado para o desenvolvimento de serviços baseados na web Focado principalmente em aspectos de desenvolvimento do que em web-design Um fórum aberto para discussão Um recurso gratuito e livre para qualquer equipa de desenvolvimento 2
O Que é? Open Web Application Security Project an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted Promover o desenvolvimento seguro Auxiliar a tomada de decisão quanto ao risco Oferecer recursos gratuitos Promover a contribuição e partilha de informação 3
O que é o? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é doado por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projectos Patrocínios pessoais por parte dos membros 4
Organização do Conferences Governance Wiki Tools Lists Books Community Chapter Leaders Project Leaders Foundation (501c3) Board of Directors (Williams, Wichers, Brennan, Cruz, and Deleersnyder) Board of Advisors Operations Director (McNamee) Technical Director (Casey)
O que é o? O que oferece? Publicações Top 10 Guide to Building Secure Web Applications Software WebGoat WebScarab olabs Projects.NET Projects Chapters Locais Orientação das comunidades locais 6
Ferramentas e Tecnologias Vulnerability Scanners Static Analysis Tools Fuzzing Penetration Testing Tools Code Review Tools ESAPI Automated Security Verification Manual Security Verification AppSec Libraries ESAPI Reference Implementation Guards and Filters Reporting Tools Flawed Apps Learning Environments Live CD SiteGenerator Secure Coding AppSec Management AppSec Education Security Architecture 7
Publicações Características Comuns Todas as publicações estão disponíveis para download gratuíto em http://www.owasp.org Todas as publicações são licenciadas em GNU Lesser GNU Public License (LGPL), ou em GNU Free Documentation License (GFDL) Documentação viva Actualizada sempre que necessário Projectos evolutivos As publicações do são o resultado de trabalho cooperativo entre os membros 8
Publicações Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Actualizado numa base annual Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adoptado como um standard de segurança para aplicações web 9
Publicações - Top 10 Top 10 (versão 2004) A1. Unvalidated Input A2. Broken Access Controls A3. Broken Authentication and Session Management A4. Cross Site Scripting Flaws A5. Buffer Overflows A6. Injection Flaws A7. Improper Error Handling A8. Insecure Storage A9. Denial of Service A10. Insecure Configuration Management 10
Publicações - Top 10 Top 10 (versão 2007) A1. Cross Site Scripting (XSS) A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access 11
Publicações - Guide Guia para o Desenvolvimento Seguro de Web Apps Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro Introdução à segurança em geral Introdução à segurança aplicacional Discute áreas-chave de implementação Arquitectura Autenticação Gestão de Sessões Controlo de Acesso e Autorização Registo de Eventos Validação de Dados Em contínuo desenvolvimento 12
Publicações Projectos em Curso Projectos em Curso Projecto de Métricas & Medidas Tenta desenvolver um conjunto de métricas de segurança que podem ser usadas para suportar decisões críticas de negócio Projecto de Testes Tenta produzir uma framework de boas práticas Tenta produzir uma framework de testes de baixo nível que permite identificar certos aspectos AppSec Faq FAQ para programadores que se foca em segurança aplicacional Oferece respostas a questões sobre segurança aplicacional 13
Software Características Comuns Todo o software é oferecido e pode ser obtido em http://www.owasp.org O software está licenciado com uma licença GNU Lesser GNU Public License (LGPL) Projectos Activos Actualizados sempre que necessário Projectos em curso Multiplos programadores a contribuirem e a menterem O software pode ser descarregado livremente e pode ser usado por indivíduos e empresas 14
Software - WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas Lições de Segurança Baseado no Tomcat e no JDK 1.5 Orientada para o ension Fácil de usar Ilustra cenários credíveis Ensina ataques realistas e soluções viáveis 15
Software - WebGoat WebGoat O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta http://www.owasp.org/software/webgoat.html Descarregar, descomprimir, e executar 16
Software - WebScarab WebScarab Uma framework para analizar tráfego HTTP/HTTPS Escrito em Java Múltiplas utilizações Programador: fazer o debug das trocas entre o cliente e servidor Analista de Segurança: analiza o tráfego e identifica vulnerabilidades Ferramenta técnica Focada em programadores de software Arquitectura extensível de plug-ins Open source; de fácil expansão Poderosa Obter a ferramenta http://www.owasp.org/software/webscarab.html 17
Summer of Code SoC 2009 Projectos inovadores Alcançar qualidade para publicação 6 ferramentas/ 7 documentação Investimentos: Autumm of Code 2006 9 projetos / US$20K Spring of Code 2007 21 projetos / US$117K Summer of Code 2008 33 projetos / US$126K 18
Chapters locais da Desenvolvimento de comunidades Os Chapters locais proporcionam oportunidades para os membros poderem partilhar ideias e aprender mais sobre segurança da informação Aberto a *TODOS* Oferecer um fórum para discussão de assuntos em contextos locais/regionais Oferecer o local para convidados poderem apresentar novas ideias e projectos 19
Chapters locais da 20
em Números 420.000 page views por mês 230 GB de download por mês 4.618 utilizadores do wiki 200 actualizações por dia 124 capítulos (chapters) 16.000 membros nas mailings lists 48 projectos de ferramentas e documentos 100 membros individuais 48 membros corporativos/educacionais 2 empregados 21
Chapters Locais da O que oferecem? Reuniões regulares Mailing Lists Apresentações e Grupos Ambientes independentes do vendedor Fóruns de discussão aberta 22
Chapters Locais da O que oferecem? Como contribuir? Através das ML, reuniões e dos grupos de discussão Os membros são encorajados a levantarem questões Os membros são encorajados a participar em projectos Contribuir para projectos existentes Propor novos projectos Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros 23
Patrocínios 24
Perguntas e Respostas carlos.serrao@iscte.pt http://www.owasp.org/index.php/portuguese 25