Скачать презентацию Introduzione all OWASPDay III Matteo Meucci OWASP-Day III OWASP-Italy Скачать презентацию Introduzione all OWASPDay III Matteo Meucci OWASP-Day III OWASP-Italy

434cf225b0336fd4a5582857e70504e3.ppt

  • Количество слайдов: 27

Introduzione all’OWASPDay III Matteo Meucci OWASP-Day III OWASP-Italy Chair CEO Minded Security Centro di Introduzione all’OWASPDay III Matteo Meucci OWASP-Day III OWASP-Italy Chair CEO Minded Security Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi di Bari 23 rd February 2009 - Bari (Italy) Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http: //www. owasp. org

Who am I? < Research q OWASP-Italy Chair q OWASP Testing Guide Lead < Who am I? < Research q OWASP-Italy Chair q OWASP Testing Guide Lead < Work CEO @ Minded Security Application Security Consulting q 8+ years on Information Security focusing on Application Security q OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Day III: Research meets Industry OWASP Day III – 23 rd , February 2009 OWASP-Day III: Research meets Industry OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Day III: Research 09. 45 h 12. 15 h 14. 00 h OWASP Day III: Research 09. 45 h 12. 15 h 14. 00 h "Trusted Computing: tecnologia ed applicazione alla protezione del web" Prof. Antonio Lioy - Politecnico di Torino "A Software Security Maturity Model“ (ENG) Brian Chess - Chief Scientist at Fortify Software "Http Parameter Injection" Stefano Di Paola - CTO Minded Security 14. 30 h "SHIELDS: metrics, tools and Internet services to improve security in application developments" D. Rotondi, A. Bagnato, E. Coscia, C. Rubattino - TXT e-solutions Spa 15. 00 h “Secure Code Review: dalla teoria alla pratica" Antonio Parata - Security Consultant Emaze Networks 16. 00 h “Automatic Generation of Test Cases for Web Application Security: a Software Engineering Perspective" Prof. Corrado Aaron Visaggio - Università del Sannio OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Day III: Industry 11. 00 h OWASP Day III: Industry 11. 00 h "L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza di ABN AMRO" Manuele Cavallari - Responsabile IT Security Office - Consorzio Operativo Gruppo MPS 11. 30 h "Analisi forense dopo un cyber attack" Ass. Davide Gabrini - Analista forense presso il Compartimento Polizia Postale e delle Comunicazioni di Milano 16. 30 h "Harden your Java Components!“ (ENG) Pierre Parrend - SE FZI Karlsruhe OWASP Day III – 23 rd , February 2009 O WASP-Italy

Round Table 17. 00 h Round table: “La ricerca nella Web Application Security, qual’ Round Table 17. 00 h Round table: “La ricerca nella Web Application Security, qual’ è lo stato dell’arte? Quali progetti/iniziative per aiutare le aziende a creare applicazioni più sicure e a difendersi da nuove forme di attacchi? Cosa sta facendo l’Università in tal senso? Quanto sono vicini il mondo aziendale al mondo accademico? ” Panelist: Danilo Caivano - Università di Bari, Corrado Aaron Visaggio Università del Sannio, Giorgio Fedon - COO Minded Security OWASP Day III – 23 rd , February 2009 O WASP-Italy

The Open Web Application Security Project (OWASP) è un progetto opens source dedicato a The Open Web Application Security Project (OWASP) è un progetto opens source dedicato a sviluppare tool , metodologie e linee guida per la Web Application Security. La partecipazione ad OWASP è aperta a tutti Tutto è free e accessibile dal sito www. owasp. org Migliaia di membri attivi in tutto il mondo, 100+ local chapters Millions of hits on www. owasp. org Centinaia di aziende che adottano la documentazione OWASP Day III – 23 rd , February 2009 O WASP-Italy 7

La comunità OWASP Day III – 23 rd , February 2009 O WASP-Italy La comunità OWASP Day III – 23 rd , February 2009 O WASP-Italy

What are the OWASP projects? OWASP Day III – 23 rd , February 2009 What are the OWASP projects? OWASP Day III – 23 rd , February 2009 O WASP-Italy 9

Principali progetti OWASP BOOKS Owasp top 10 Building guide Code review guide Testing guide Principali progetti OWASP BOOKS Owasp top 10 Building guide Code review guide Testing guide TOOLS Web. Goat Web. Scarab SQLMap – SQL Ninja SWF Intruder Orizon Code Crawler OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP & PCI v 1. 2 OWASP Day III – 23 rd , February OWASP & PCI v 1. 2 OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Goals: migliorare la qualità e il supporto Define Criteria for Quality Levels q OWASP Goals: migliorare la qualità e il supporto Define Criteria for Quality Levels q Alpha, Beta, Release Encourage Increased Quality q Through Season of Code Funding and Support q Produce Professional OWASP books Provide Support q Full time executive director (Kate Hartmann) q Full time project manager (Paulo Coimbra) q Half time technical editor (Kirsten Sitnick) q Half time financial support (Alison Shrader) OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Italy e la ricerca OWASP Italy nasce nel Gennaio 2005 Raccoglie centinaia di persone OWASP-Italy e la ricerca OWASP Italy nasce nel Gennaio 2005 Raccoglie centinaia di persone appassionate alla Web Application Security Obiettivi q q Organizzazione conferenze Scrittura articoli Sviluppo tool Sviluppo documentazione e linee guida La ricerca come base per l’industria q Mai come nell’application security si ha un’esigenza di ricerca per lo sviluppo di attività di innovazione OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Italy tools: Orizon OWASP Day III – 23 rd , February 2009 O WASP-Italy OWASP-Italy tools: Orizon OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Italy tools: SWF Intruder OWASP Day III – 23 rd , February 2009 O OWASP-Italy tools: SWF Intruder OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Italy tools: SQLMap OWASP Day III – 23 rd , February 2009 O WASP-Italy OWASP-Italy tools: SQLMap OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP-Italy tools: SQL Ninja Sqlninja è sviluppato in PERL da Alberto Revelli (aka Icesurfer). OWASP-Italy tools: SQL Ninja Sqlninja è sviluppato in PERL da Alberto Revelli (aka Icesurfer). Tool che sfrutta SQL Injection per MS SQL Server. Non individua SQL Injection, ma si focalizza nel creare una shell interattiva sul DB remoto e sfruttare questa per avere una “base” nella rete target. q Fingerprint del SQL Server q Bruteforce della password dell’utente 'sa' q Privilege escalation to 'sa' q Creazione di custom xp_cmdshell q Upload di file eseguibili q DNS tunneled pseudoshell, when no ports are available for a bindshell q E molto altro… OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Italy Project: Anti-Malware La diffusione di Malware risulta in continuo aumento. Nel solo OWASP Italy Project: Anti-Malware La diffusione di Malware risulta in continuo aumento. Nel solo anno 2008 su Internet si sono contati circa 15 milioni di malware. Banking Malware: sempre più sofisticati. Si aggiornano in base al paese e alle configurazioni del server su cui si installano. Obiettivi: Descrivere i comuni problemi di sicurezza nel design per la protezione di siti di banking Fornire best-practice che dovrebbero essere considerate per realizzare soluzioni antimalware OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Italy Project: Testing Guide OWASP Day III – 23 rd , February 2009 OWASP Italy Project: Testing Guide OWASP Day III – 23 rd , February 2009 O WASP-Italy

OWASP Testing Guide v 3: roadmap < < < < < 26 th April OWASP Testing Guide v 3: roadmap < < < < < 26 th April 2008: start the new project OWASP Leaders brainstorming Call for participation: 21 authors Index brainstorming Discuss the article content 20 th May 2008: New draft Index 1 st June 2008: Let's start writing! 27 th August 2008: started the reviewing phase: 4 Reviewers October 2008: Review all the Guide December 2008: published the new version of the OWASP Testing Guide: http: //www. owasp. org/index. php/OWASP_Testing_Project (347 pages +80!) OWASP Day III – 23 rd , February 2009 O WASP-Italy

Web Application Penetration Testing <Che cos’è un Web Application Penetration Testing? q q q Web Application Penetration Testing

OWASP Testing Guide v 3 < Descrive la metodologia OWASP per testare un applicativo OWASP Testing Guide v 3 < Descrive la metodologia OWASP per testare un applicativo web < 347 pagine, 66 controlli < Approccio della metodologia: q q Definita Consistente Ripetibile Di qualità • SANS Top 20 2007 • NIST “Technical Guide to Information Security Testing (Draft)” Cita la Testing Guide come referenza per il testing OWASP Day III – 23 rd , February 2009 O WASP-Italy 22

What’s new in v 3? < V 2 8 sub-categories (for a total amount What’s new in v 3? < V 2 8 sub-categories (for a total amount of 48 controls) < V 3 10 sub-categories (for a total amount of 66 controls) < 36 new articles!

Testing paragraph template <Brief Summary Describe in Testing paragraph template

Come può aiutare la guida nel campo della security industry? Cliente Approccio strutturato alle Come può aiutare la guida nel campo della security industry? Cliente Approccio strutturato alle attività di Testing Checklist da seguire Tester A learning and training tool Strumento per capire cosa viene testato, le vulnerabilità ed il loro impatta sull’applicazionei Un modo per controllare la qualità dell’azienda che verifica la sicurezza La Testing Guide rappresenta una metodologia che è divenuta standard a livello internazionale e richiesta dalla maggioranza delle aziende Security =! Black Art OWASP Day III – 23 rd , February 2009 O WASP-Italy 25

SDLC & OWASP Before SDLC Building Guide Development Code Review Guide Deploy&Maintenance Testing Guide SDLC & OWASP Before SDLC Building Guide Development Code Review Guide Deploy&Maintenance Testing Guide OWASP Top 10 . NET Orizon Web. Scarab Web Goat CSRFGuard LAPSE SWF Intruder ESAPI SQLNinja SQLMap Pantera OWASP Day III – 23 rd , February 2009 O WASP-Italy OWASP Framework Guidelines Define&Design

Grazie! Matteo Meucci matteo. meucci@owasp. org OWASP Day III – 23 rd , February Grazie! Matteo Meucci matteo. [email protected] org OWASP Day III – 23 rd , February 2009 O WASP-Italy