Web Security Seminar Összefoglaló a Proyet Kft. 2012. március 8-i szakmai rendezvényéről
Előadások, előadók Cím Téma Előadó Szervezet Web alkalmazás biztonsági alapok Néhány szó arról, hogy mennyire előretörnek a web alkalmazások, miközben nem veszik figyelembe a fejlesztés alapvető szabályait Kollár György Proyet Kft. A nem biztonságos kódolás következményei A mai programozási gyakorlat veszélyei Póserné Oláh Valéria Óbudai Egyetem Nem biztonságos web alkalmazások élőben Web alkalmazás demo Prém Dániel Óbudai Egyetem Automatizált megoldások Sérülékenység menedzsment felsőfokon Marek Skalicky Qualys Inc. Sérülékenységek bemutatása, biztonságos Java programozás Alapvető hibák és javításuk Java nyelven Stephen O'Boyle Espion Ltd. Web alkalmazás biztonsági vizsgálatok Penetrációs teszt, a piszkos részletek Vida Zsolt Proyet Kft. Az alkalmazásbiztonság szabványai Megfelelés a PCI DSS, ISO27001 és más szabványoknak a fejlesztés életciklusában Krasznay Csaba HP Magyarország OWASP top 10 A tíz legnagyobb probléma ma Kollár György Proyet Kft. QualysGuard WAS 2.1 Web alkalmazások biztonság menedzsmentje megoldás a felhőből Marek Skalicky Qualys Inc. Code Review Tools A Code Review áttekintése, az alkalmazható eszközök bemutatása Stephen O'Boyle Espion Ltd. Freemium services Ingyenesen elérhető Qualys szolgáltatások Marek Skalicky Qualys Inc.
Web alkalmazás biztonsági alapok Előadó: Kollár György, CISSP A Web alkalmazásokra egyre nagyobb az igény, miközben a fejlesztők képzése teljesen elhanyagolja a biztonsági kérdéseket, a megrendelők nem kötik ki a biztonságos programozást, a fejlesztés során nem tervezik be a biztonsági ellenőrzéseket. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/
Web alkalmazás biztonsági alapok Kollár György Megrendelő Nem szakértő Gazdasági megfontolások Szempont Legyen látványos Legyen érthető Legyen hasznos Nem szempont Legyen biztonságos Legyen hatékony Legyen robusztus
Web alkalmazás biztonsági alapok Kollár György Fejlesztő Fejleszteni tanult Programnyelvek Adatbázis kezelés Web elemek Nem foglalkozik a következőkkel Hálózati ismeretek Biztonságos kódolás Kockázatelemzés
Web alkalmazás biztonsági alapok Kollár György Következtetés "If builders built buildings the way programmers wrote programs, then the first woodpecker that came along would destroy civilization." Weinberg's Second Law Ha az építőipar úgy építene, ahogy a programozók készítik programjaikat, az első jöttment harkály lerombolhatná az egész emberi civilizációt. Weinberg második törvénye
Web alkalmazás biztonsági alapok Kollár György Teendők Biztonságosabb programokra van szükség A megrendelők azt kapják, amit megrendelnek A fejlesztők azt fejlesztik, amit várnak tőlük A hibák időben derüljenek ki Javítsunk a kár bekövetkezése előtt Életciklus szemlélet Biztonsági elvárások megfogalmazása A biztonság beépítése Ellenőrzés Csapatmunka Oktatás
Nem biztonságos kódolás következményei Előadó: Póserné Oláh Gabriella Óbudai Egyetem Az előadás kiválóan bizonyítja azt, hogy nincs szükség felsőfokú ismeretekre ahhoz, hogy web alapú alkalmazásokkal visszaéléseket kövessen el valaki. A módszeres vizsgálattal olyan egyszerűen kihasználható sérülékenységeket tudunk találni, amikkel nagy károk okozhatók.
Nem biztonságos kódolás következményei Póserné Oláh Gabriella Egy támadás alapvető lépései
Nem biztonságos kódolás következményei Póserné Oláh Gabriella Felderítés Információ gyűjtés A felderítőfázisban információ a rendszerről kézi és automatizált technikával. Kézi technika: segít azonosítani az internetes alkalmazást, milyen információ szivárog (alkalmazási oldalak, http fejlécek, Firefox beépülő modul, hibaüzeneteket okozó adatok).
Nem biztonságos kódolás következményei Póserné Oláh Gabriella Bejelentkezés az admin portálba
Nem biztonságos web alkalmazások élőben Előadó: Prém Dániel Óbudai Egyetem Az előző előadáshoz szervesen kapcsolódó bemutató, ahol a gyakorlatban illusztráljuk, hogy néhány perc alatt is át lehet hatolni nem megfelelően kialakított védelmi rendszereken, és olyan információkat lehet kinyerni/módosítani, amik a szervezetnek jelentős károkat tudnak okozni.
Nem biztonságos web alkalmazások élőben Prém Dániel Hibás gyakorlat kihasználása Az élő bemutatót nehéz összefoglalni két dián. A lényeg, hogy viszonylag rövid idő alatt olyan információkhoz lehet hozzáférni, amelyekkel jelentős kárt tud okozni egy rossz szándékú egyén is. Az ilyen tevékenység a legtöbbször annyira egyszerű és kézenfekvő, hogy különösebb képzés nélkül is bárki meg tudná csinálni, és sokszor nem szükséges rossz szándék sem, hogy ilyenekbe belebotoljon valaki.
Nem biztonságos web alkalmazások élőben Prém Dániel Egy egyszerű XSS teszt Írjuk be a beviteli mezőbe: <<SCRIPT>alert("XSS");//<</SCRIPT> Ha egy ablak jelenik meg a képernyőnkön, a beviteli mező sérülékeny! (Ha nem, akkor sem biztos, hogy más támadást kivéd )
Automatizált megoldások Előadó: Marek Skalicky, CISM, CIRSC Qualys Inc. Web alkalmazások esetében kiemelt fontosságú, hogy a platformunk megbízhatóan és biztonságosan működjön. A biztonságos működés fenntartásához folyamatos ellenőrzésre van szükség, ez pedig csak automatikus eszközökkel valósítható meg hatékonyan.
Automatizált megoldások Marek Skalicky Qualys at a Glance Software-as-a-Service (SaaS) Founded in 1999 to deliver a SaaS VM Expanded the service as suite of SaaS Security and Compliance offerings Last round of funding in 2004 300 employees (50% R&D and Operations) 6000+ global customers 50% of Fortune 100 28% of Fortune 500 16% Forbes Global 2000 US 65%, EMEA 30%, Asia 5% 7,000+ scanner appliances in 85 countries 600+ million IP scans in 2011 Highest possible rating of Strong Positive Largest market share Highest possible rating of Leader The leading vendor Market Share Leadership
Automatizált megoldások Marek Skalicky QualysGuard Suite delivers PaaS / IaaS Private Clouds Public Clouds SaaS Internet Scanning for ICT vulnerabilities Scanning for Web App vulnerabilities Provides Exploitability and Malware info Provides Zero-Days Attack info Provides SOLUTION description Calculates ICT Risk and Business Risk Auditing ICT Configuration Provides CONTROLS description Measures ICT Compliance Provides PCI-DSS ASV scanning Provides PCI-DSS SAQ report Scans for Malware in Web Apps Provides Security certification for WAS
Automatizált megoldások Marek Skalicky QualysGuard Suite Overview
Number of Scans Automatizált megoldások Marek Skalicky Six Sigma Scanning Accuracy Qualys Six Sigma Accuracy Scanned IPs (M) Reported Cases Actual Bugs 19 000 000 100,00000000 18 000 000 SIX SIGMA 17 000 000 16 000 000 99,99990000 99,99980000 QG Scan Accuracy (%) 15 000 000 SCANNING ACTIVITY 14 000 000 99,99970000
Biztonságos Java programozás Előadó: Stephen O Boyle Espion Ltd. A programozás szépsége, hogy egy bizonyos feladatot számtalan módon meg lehet oldani. Sajnos a funkcionálisan megfelelő megoldások nem mindegyike biztonságos is. Az előadás néhány példával illusztrálja a különbséget.
Biztonságos Java programozás Stephen O Boyle Why are Applications Insecure? We make them insecure! Lack of Security Training & Awareness Lack of security touchpoints in SDLC Conflicting objectives
Biztonságos Java programozás Stephen O Boyle What is Applicatiom Security?..measures taken throughout the application's life-cycle to prevent exceptions in the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgrade, or maintenance of the application.
Biztonságos Java programozás Stephen O Boyle Secure SDLC Requirements SDLC Dev Process Security Policies Training Best Practices Design Implementation Testing Deployment Maintenance Threat modelling / Risk assessment Secure Coding Guidelines Secure Code Review Manual Penetration Testing Automated Penetration Testing Manual Penetration Testing Server Hardening Vulnerability Assessment Regular Penetration Testing Regular Vulnerability Assessment Log Monitoring
Web alkalmazás biztonsági vizsgálatok Előadó: Vida Zsolt, CEH Az előadó testközelből mutatja be a tesztelés módszereit, eszközeit, a tesztelési folyamatot, az eredményeket, és a megrendelő hasznát a teszt során. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/
Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Etikus hacknél fontos a szisztematizmus: minden menüpont, minden bemenet, minden funkció és tulajdonság essen vizsgálat alá. A hackernek elég lehet egyetlen sebezhető pont is. Információgyűjtés: a legfontosabb rész. Hogy tudnánk valamit megtámadni, ha nem tudunk róla a lehető legtöbbet? - Web crawlers, dir scanners - Az alkalmazás belépési pontjai, hol fogad adatot? - Milyen technológia, milyen adatbázis, milyen webszerver? - Nem saját fejlesztésű termék, keretrendszer esetén: van ismert sebezhetőség? (securityfocus, exploit-db) - Van adminisztrátori felület? PhpMyAdmin? - Fájl letöltési, feltöltési lehetőségek.
Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Teszt A begyűjtött információk alapján lehetséges támadási pontok keresése. - Bemenetek fuzzolása (nem csak a felhasználó által megadhatók!) - A paraméterek megfelelően validáltak? - Információ szivárogtató pontok - Hibás, rossz konfigurációs beállítások keresése - Hibák az alkalmazás logikájában - File inclusion lehetőségek keresése - Forráskódban felejtett információk (sql query, jelszó) - Sessionkezelés
Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Támadás A begyűjtött információk birtokában a lehető legnagyobb jogosultsági szinten távoli kódfuttatás elérése, szenzitív adatokhoz hozzáférés. - Bejelentkezés megkerülése - Adminisztrátori felület elérése (milyen a jelszavak minősége?) - Adatbázis elérése, módosítása (sql injection) - Nem engedélyezett műveletek végrehajtása (jogosultságok, xsrf) - Munkamenet lopás lehetősége? (xss) - A webszerver komprommitálása (file inclusion, fájlfeltöltés) - A DoS nem cél!
Web alkalmazás biztonsági vizsgálatok Vida Zsolt Etikus hacker munka közben Dokumentáció: részletes lista, mely táblázatszerűen tartalmaz minden talált sebezhetőséget - leírással - reprodukálást segítő útmutatással, proof of concept kóddal - kockázati besorolással - képernyőképekkel, megszerzett információkkal - javaslattal a kijavítást segítendő
Az alkalmazásbiztonság szabványai Előadó: Krasznai Csaba, CISA, CISM, CISSP, CEH A biztonságos fejlesztéssel több szabvány is foglalkozik. Hogy melyik helyzetben melyik alkalmazható, és melyik mire tér ki, mire alkalmazható, és mik a hiányosságai, az vendégelőadónk előadása után valamivel világosabb lesz.
Az alkalmazásbiztonság szabványai Krasznay Csaba Összefoglalás Az alkalmazások biztonságos fejlesztése egy méltatlanul háttérbe szorított terület az információbiztonságon belül Ennek ellenére minden jelentősebb biztonsági szabványban, jogszabályban szerepel, mint követelmény Az előadás bemutatja a szabályozó követelményeket az alábbi szabványokban: PCI DSS FISMA (csak azért, hogy lássuk, milyen követelményeket kéne a közigazgatásnak szabnia) CObIT ISO 27002 A magyar jogszabályi környezet a Common Criteria-ra épít ezen a területen
Az alkalmazásbiztonság szabványai Krasznay Csaba Biztonságos alkalmazásfejlesztés folyamata Nincs konkrét követelmény Nincs konkrét követelmény Átvizsgálás és kivonás Projektindítás és tervezés Funkcionális követelmények meghatározása Általában kiolvasható Nincs konkrét követelmény Üzemeltetés és fenntartás Rendszertervezés Nincs konkrét követelmény Nincs konkrét követelmény Telepítés Fejlesztés és dokumentálás Nincs konkrét követelmény Penteszt követelmények Elfogadás
OWASP top 10 Előadó: Kollár György, CISSP Az Open Web Application Security Project egy nonprofit szervezet a web alkalmazások biztonsági kérdéseinek kezelésére. Folyamatosan nyilvántartják a tíz legkritikusabb hibát, és időnként nyilvánosságra hozzák a változásokat az élmezőnyben. Ha ezeket a hibákat el tudjuk kerülni, alkalmazásaink nagyságrendekkel biztonságosabbak lesznek. Proyet Consulting Kft. So it is said that if you know both the enemy and yourself you will fight a hundred battles without danger of defeat. /Sun Tzu/
OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/top_10
QualysGuard WAS 2.1 Előadó: Marek Skalicky Qualys Inc. A Qualys megoldásai túlmutatnak az egyszerű hálózati sérülékenységek vizsgálatokon. Az alkalmazási réteg vizsgálatával a legtöbb OWASP top 10 hiba automatikusan kimutatható, rengeteg web lap ellenőrizhető költséges manuális tesztelés nélkül.
QualysGuard WAS 2.1 Marek Skalicky QualysGuard WAS 2.1 Discovering, cataloging and managing large numbers of web applications with high accuracy Low false positives Flexible scanning options Interactive Dashboard Drill down reporting Cost effective Review and Report Results Discover Web Applications Catalog and organize WAS Scan
QualysGuard WAS 2.1 Marek Skalicky QualysGuard WAS 2.1 Highly automated Dynamic Application Security Testing Scanning that is scalable to thousands of applications Authenticated and non-authenticated scanning Intelligent web app crawler and scanner Provide 8 of OWASP Top10 (SQL injection, Blind SQL injection, XSS, CSRF, Web Traversal, Insecure Direct Object Reference, Security Misconfiguration) SaaS based delivery to get up and running quickly and efficiently Updated constantly (11 Engine releases since 2010) Deployed in minutes using external and internal scanners Scanner personal expertise or training not needed Reports available immediately upon scan completion
QualysGuard WAS 2.1 Marek Skalicky QualysGuard Malware Detection Service Defends Sites Against Malware Avoid website blacklisting Defend against zero-day attacks Prevent visitors from getting infected Identify malicious code Protect against Loss of revenue and data Brand reputation damage How it works Alerts users via email when Malware identified Enterprise features to manage many sites Dashboard Site Filtering Tagging/Reporting
QualysGuard WAS 2.1 Marek Skalicky WAF - Web Application Firewall
QualysGuard WAS 2.1 Marek Skalicky MDS Malware Detection Service
Code Review Tools Előadó: Stephen O Boyle Espion Ltd. Alkalmazások kritikus részeit célszerű kódvizsgálat alá vetni. A Code Review áttekintése, az alkalmazható eszközök bemutatása az előadás tárgya, szóba kerül a manuális és automatikus tesztelés különbsége, hatékonysági és pontosságbeli kérdések is helyet kapnak.
Code Review Tools Stephen O Boyle Find & Fix
Code Review Tools Stephen O Boyle Secure at the Source
Code Review Tools Stephen O Boyle Prevention is Better than Cure!
Code Review Tools Stephen O Boyle Static Code Tools What tools are good at? Find all instances of a flaw. Searching code for signatures that may indicate presence of vulnerabilities E.g.Java.sql.Statement.execute Verify controls are used in all required places.
Code Review Tools Stephen O Boyle Static Code Tools What tools are not good at? Lot of False Positives Business Logic Issues Predictable Resource Location Weak Password Recovery Validation Direct Object References or vulnerabilities that depend on state of the application. Configuration flaws
Freemium services Előadó: Marek Skalicky Qualys Inc. A Qualys portfóliójában ingyenesen elérhető szolgáltatások is találhatók. Ezek segítségével olyan eszközökhöz juthatunk, amik segítségével biztonsági állapotunkat jelentősen tudjuk javítani anélkül, hogy jelentős kiadásokba vernénk magunkat.
Freemium services Marek Skalicky Qualys FreeScan for Web Sites 5 External Scans for your Perimeter and Web site: IP Vulnerability Scan Web Application Vulnerability Web Application Malware scan Full Reporting functionality Register here: http://www.qualys.com/forms/freescan/
Freemium services Marek Skalicky SECURE Seal for Web sites
Freemium services Marek Skalicky SECURE Seal 4 Automated Scans 1 2 3 4 Malware Detection (Daily) Detects malicious software that could be hosted by the web site and infect visitors Perimeter Scanning (Weekly) Identifies externally facing vulnerabilities of the web server that could give attackers access to information stored on the host Web Application Scanning (Weekly) Crawls and injects HTTP requests to the web application to identify vulnerabilities such as SQL injection and Cross-Site Scripting (XSS) SSL Certificate Validation (Weekly) Verifies the web site is using an up-to-date SSL certificate from a trusted certificate authority (CA) for encryption of sensitive information during online transactions
Freemium services Marek Skalicky Free BrowserCheck Business Edition Audit state of browsers security in the enterprise Simple & Scalable Multiple platform & browsers Multiple Browser Plugins Centralized Reporting No SW/HW to install! Easy way to find out What plug-ins are installed? Are they out of date? Is there an update available? Where do I get updates? Supports leading browsers Register here: http://www.qualys.com/forms/browsercheck-business-edition/
Freemium services Marek Skalicky Free SSL Lab Audit Service Audit implementation of SSL protocol on you Web Certificate Validity and Trust SSL Protocol version support Encryption Cipher Strength Encryption Key Exchange SOLUTION description Risk of Attack description Register here: http://www.ssllabs.com
Összefoglalás a Proyet Kft. szolgáltatásairól A Proyet Kft. informatikai auditori, szakértői és tanácsadói szolgáltatásokat kínál. Több mint 20 éves informatikai és 8 éves informatikai biztonsági tapasztalat Nemzetközi szakmai minősítések CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) CISSP (Certified Information Systems Security Professional) CEH (Certified Ethical Hacker) ISO 27001 Lead Auditor ITIL-F Certificate Erős szakmai fókusz Professzionális partnerek Tanúsított ISO 9001 Szakmai felelősségbiztosítás
Összefoglalás a Proyet Kft. szolgáltatásairól Kiemelt szolgáltatásunk az informatikai rendszerek biztonsági kockázatainak csökkentése: a sebezhetőségek kialakulásának megakadályozása a meglévő sebezhetőségek feltárása a sebezhetőségek javítása azaz a biztonság menedzselése. A következő oldalakon megadjuk azokat a konkrét szolgáltatásokat, amelyek az informatikai alkalmazások fejlesztési és üzemeltetési életciklusához kapcsolódnak.
Alkalmazás fejlesztés Összefoglalás a web alkalmazásokat üzemeltető szervezetek számára (fejlesztési fázis) Biztonsági faktorok Szerződéskötés Proyet Consulting szolgáltatások A műszaki specifikáció biztonsági tartalmának átvizsgálása Monitorozás Átadás-átvételi tesztelés Code Review Web Application Scan Code Review Vulnerability Web Application Scanner Scan Penetration Penetration Test Test Fejlesztés-biztonsági audit
Alkalmazás üzemeltetés Összefoglalás a web alkalmazásokat üzemeltető szervezetek számára (üzemeltetési fázis) Biztonsági faktorok Biztonsági felügyelet Proyet Consulting szolgáltatások Web Application Scan Penetration Test Változás kezelés Környezeti biztonság (hálózat, op rendszer stb.) A specifikáció biztonsági átvizsgálása Web Application Scan Penetration Test Vulnerability Vulnerability Scanner Penetration Penetration Test Test Üzemeltetés-biztonsági audit
Alkalmazás fejlesztés Összefoglalás a web alkalmazásokat fejlesztő szervezetek számára Biztonsági faktorok Proyet Consulting szolgáltatások Szabályozott környezet Alkalmazás fejlesztési szabályzat elkészítése Közbülső tesztelések Code Review Web Application Scan A biztonságos fejlesztési folyamat tanúsítása