Introduzione all’OWASPDay III Matteo Meucci OWASP-Day III OWASP-Italy Chair CEO Minded Security Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi di Bari 23rd February 2009 - Bari (Italy) Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org Who am I? Research OWASP-Italy Chair OWASP Testing Guide Lead Work CEO @ Minded Security Application Security Consulting 8+ years on Information Security focusing on Application Security OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Day III: Research meets Industry OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Day III: Research 09.45h 12.15h 14.00h "Trusted Computing: tecnologia ed applicazione alla protezione del web" Prof. Antonio Lioy - Politecnico di Torino "A Software Security Maturity Model“ (ENG) Brian Chess - Chief Scientist at Fortify Software "Http Parameter Injection" Stefano Di Paola - CTO Minded Security 14.30h "SHIELDS: metrics, tools and Internet services to improve security in application developments" D.Rotondi, A.Bagnato, E.Coscia, C.Rubattino - TXT e-solutions Spa 15.00h “Secure Code Review: dalla teoria alla pratica" Antonio Parata - Security Consultant Emaze Networks 16.00h “Automatic Generation of Test Cases for Web Application Security: a Software Engineering Perspective" Prof. Corrado Aaron Visaggio - Università del Sannio OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Day III: Industry 11.00h "L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza di ABN AMRO" Manuele Cavallari - Responsabile IT Security Office - Consorzio Operativo Gruppo MPS 11.30h "Analisi forense dopo un cyber attack" Ass. Davide Gabrini - Analista forense presso il Compartimento Polizia Postale e delle Comunicazioni di Milano 16.30h "Harden your Java Components!“ (ENG) Pierre Parrend - SE FZI Karlsruhe OWASP Day III – 23rd , February 2009 OWASP-Italy Round Table 17.00h Round table:“La ricerca nella Web Application Security, qual’ è lo stato dell’arte? Quali progetti/iniziative per aiutare le aziende a creare applicazioni più sicure e a difendersi da nuove forme di attacchi? Cosa sta facendo l’Università in tal senso? Quanto sono vicini il mondo aziendale al mondo accademico?” Panelist: Danilo Caivano - Università di Bari, Corrado Aaron Visaggio Università del Sannio, Giorgio Fedon - COO Minded Security OWASP Day III – 23rd , February 2009 OWASP-Italy The Open Web Application Security Project (OWASP) è un progetto opens source dedicato a sviluppare tool , metodologie e linee guida per la Web Application Security. La partecipazione ad OWASP è aperta a tutti Tutto è free e accessibile dal sito www.owasp.org Migliaia di membri attivi in tutto il mondo, 100+ local chapters Millions of hits on www.owasp.org Centinaia di aziende che adottano la documentazione OWASP OWASP Day III – 23rd , February 2009 OWASP-Italy 7 La comunità OWASP OWASP Day III – 23rd , February 2009 OWASP-Italy What are the OWASP projects? OWASP Day III – 23rd , February 2009 OWASP-Italy 9 Principali progetti OWASP BOOKS Owasp top10 Building guide Code review guide Testing guide TOOLS WebGoat WebScarab SQLMap – SQL Ninja SWF Intruder Orizon Code Crawler OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP & PCI v1.2 OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Goals: migliorare la qualità e il supporto Define Criteria for Quality Levels Alpha, Beta, Release Encourage Increased Quality Through Season of Code Funding and Support Produce Professional OWASP books Provide Support Full time executive director (Kate Hartmann) Full time project manager (Paulo Coimbra) Half time technical editor (Kirsten Sitnick) Half time financial support (Alison Shrader) OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Italy e la ricerca OWASP Italy nasce nel Gennaio 2005 Raccoglie centinaia di persone appassionate alla Web Application Security Obiettivi Organizzazione conferenze Scrittura articoli Sviluppo tool Sviluppo documentazione e linee guida La ricerca come base per l’industria Mai come nell’application security si ha un’esigenza di ricerca per lo sviluppo di attività di innovazione OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Italy tools: Orizon OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Italy tools: SWF Intruder OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Italy tools: SQLMap OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP-Italy tools: SQL Ninja Sqlninja è sviluppato in PERL da Alberto Revelli (aka Icesurfer). Tool che sfrutta SQL Injection per MS SQL Server. Non individua SQL Injection, ma si focalizza nel creare una shell interattiva sul DB remoto e sfruttare questa per avere una “base” nella rete target. Fingerprint del SQL Server Bruteforce della password dell’utente 'sa' Privilege escalation to 'sa' Creazione di custom xp_cmdshell Upload di file eseguibili DNS tunneled pseudoshell, when no ports are available for a bindshell E molto altro… OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Italy Project: Anti-Malware La diffusione di Malware risulta in continuo aumento. Nel solo anno 2008 su Internet si sono contati circa 15 milioni di malware. Banking Malware: sempre più sofisticati. Si aggiornano in base al paese e alle configurazioni del server su cui si installano. Obiettivi: Descrivere i comuni problemi di sicurezza nel design per la protezione di siti di banking Fornire best-practice che dovrebbero essere considerate per realizzare soluzioni antimalware OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Italy Project: Testing Guide OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Testing Guide v3: roadmap 26th April 2008: start the new project OWASP Leaders brainstorming Call for participation: 21 authors Index brainstorming Discuss the article content 20th May 2008: New draft Index 1st June 2008: Let's start writing! 27th August 2008: started the reviewing phase: 4 Reviewers October 2008: Review all the Guide December 2008: published the new version of the OWASP Testing Guide: http://www.owasp.org/index.php/OWASP_Testing_Project (347pages +80!) OWASP Day III – 23rd , February 2009 OWASP-Italy Web Application Penetration Testing Che cos’è un Web Application Penetration Testing? É un processo che prevede un’analisi dell’applicazione al fine di identificare ogni debolezza o vulnerabilità nei controlli di sicurezza implementati E’ un’analisi Black Box (non conosciamo il funzionamento dell’applicazione ed il codice) Metodologia + tools (OWASP WebScarab, SQLMap,...) Il nostro approccio nello scrivere la guida: Open Collaborattivo OWASP Day III – 23rd , February 2009 OWASP-Italy 21 OWASP Testing Guide v3 Descrive la metodologia OWASP per testare un applicativo web 347 pagine, 66 controlli Approccio della metodologia: Definita Consistente Ripetibile Di qualità • SANS Top 20 2007 • NIST “Technical Guide to Information Security Testing (Draft)” Cita la Testing Guide come referenza per il testing OWASP Day III – 23rd , February 2009 OWASP-Italy 22 What’s new in v3? V2 8 sub-categories (for a total amount of 48 controls) V3 10 sub-categories (for a total amount of 66 controls) 36 new articles! Information Gathering Business Logic Testing Authentication Testing Session Management Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing OWASP Day III – 23rd , February 2009 Information Gathering Config. Management Testing Business Logic Testing Authentication Testing Authorization Testing Session Management Testing Data Validation Testing Denial of Service Testing Web Services Testing Ajax Testing Encoded Appendix OWASP-Italy Testing paragraph template Brief Summary Describe in "natural language" what we want to test. The target of this section is non-technical people (e.g.: client executive) Description of the Issue Short Description of the Issue: Topic and Explanation Black Box testing and example How to test for vulnerabilities: Result Expected: ... Gray Box testing and example How to test for vulnerabilities: Result Expected: ... References Whitepapers Tools OWASP Day III – 23rd , February 2009 Example OWASP-Italy 24 Come può aiutare la guida nel campo della security industry? Approccio strutturato alle attività di Testing Checklist da seguire A learning and training tool Tester Cliente Strumento per capire cosa viene testato, le vulnerabilità ed il loro impatta sull’applicazionei Un modo per controllare la qualità dell’azienda che verifica la sicurezza La Testing Guide rappresenta una metodologia che è divenuta standard a livello internazionale e richiesta dalla maggioranza delle aziende Security =! Black Art OWASP Day III – 23rd , February 2009 OWASP-Italy 25 SDLC & OWASP Before SDLC Building Guide Development Code Review Guide Deploy&Maintenance Testing Guide OWASP Top10 .NET Orizon WebScarab Web Goat CSRFGuard LAPSE SWF Intruder ESAPI SQLNinja SQLMap Pantera OWASP Day III – 23rd , February 2009 OWASP-Italy OWASP Framework Guidelines Define&Design Grazie! Matteo Meucci [email protected] OWASP Day III – 23rd , February 2009 OWASP-Italy