OWASP-Day e progetti OWASP-Italy Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Day Università La Sapienza Rome [email protected] 10th September 2007 Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP-Day: Privacy nel 21-esimo secolo L’OWASP Day: Parte del Global Security Week 19/95 Chapters nel mondo Focus su Application Security Definiamo il nostro ambito di lavoro: Cos’è una Web Application? Cos’è la Web Application Security? Cos’è OWASP? Video di Jeff Williams (OWASP Chair) OWASP-Day – La Sapienza, 10th Sep 07 OWASP Italy Top 10 Code Review Guide Ajax Training Conferences WebGoat Orizon .NET, Java Building our brand BuildingGuide Chapters Testing Guide Project incubator WebScarab Validation Certification OWASP-Day – La Sapienza, 10th Sep 07 Wiki portal Forums Blogs OWASP Italy 3 Tools Testing Guide Honeycomb Threat Agents Business Impacts Vulnerabilities Business Impact Code Review Guide Vulnerability System Impacts Countermeasures Asset Countermeasure Attacks Attack OWASP-Day – La Sapienza, 10th Sep 07 Building Guide OWASP Italy 4 OWASP-Italy 130 membri di cui 16 fortemente attivi nei progetti OWASP Leadership del progetto OWASP Testing Guide, con 11 autori italiani, OWASP Orizon Partecipazione alla Code Review Guide Più di 20 seminari e partecipazioni a convegni quali: "Software Security“ (Firenze Tecnologia), 6th OWASP AppSec Conference in Italy, EuSecWest 07, Master on Information Security, University of Rome "La Sapienza“, Seminari CLUSIT, InfoSecurity, Isaca Rome, SMAU, OpenExp, OWASP-Boston, Microsoft, IDC - European Banking Forum, Workshop on Computer Crime 2005, AlmaWeb University of Bologna OWASP-Day – La Sapienza, 10th Sep 07 OWASP Italy OWASP-Italy Più di 10 pubblicazioni sul tema dell’Application Security su testate quali: Quaderno CLUSIT, ICT Security, Hackin9, ISACA, Sistemi di Telecomunicazione Sviluppo di tool SQLNinja – Alberto Revelli SQLMap – Daniele Bellucci, Bernardo Damele OWASP-Day – La Sapienza, 10th Sep 07 OWASP Italy OWASP-Day: obiettivi della giornata Qual’è lo stato corrente della Privacy nel contesto dei servizi on-line? La privacy è il vero motore che farà cambiare radicalmente la web application security? Lato applicazione: che cosa dovrebbe fare il “data owner” per proteggere la privacy degli utenti? Dovrebbe esserci una legge che afferma come proteggere queste informazioni? Cosa si può fare per migliorare? Lato cliente: qual’è la reale percezione di privacy per un cliente di un servizio on-line? Quali strumenti ha un utente per avere fiducia sul modo in cui i propri dati verranno trattati? Il cliente è ad oggi salvaguardato da una possibile perdita di privacy? OWASP come organizzazione internazionale, su cosa dovrebbe focalizzarsi? OWASP-Day – La Sapienza, 10th Sep 07 OWASP Italy Agenda OWASP-Day – La Sapienza, 10th Sep 07 OWASP Italy