Introduzione all’OWASPDay III
Matteo Meucci
OWASP-Day III
OWASP-Italy Chair
CEO Minded Security
Centro di Competenza ICT-Puglia - Dipartimento di Informatica
Università degli Studi di Bari
23rd February 2009 - Bari (Italy)
Copyright © 2009 - The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundation
http://www.owasp.org
Who am I?
 Research

OWASP-Italy Chair

OWASP Testing Guide Lead
 Work
CEO @ Minded Security
Application Security Consulting

8+ years on Information Security
focusing on Application Security

OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Day III:
Research meets Industry
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Day III: Research
09.45h
12.15h
14.00h
"Trusted Computing: tecnologia ed applicazione alla protezione del web"
Prof. Antonio Lioy - Politecnico di Torino
"A Software Security Maturity Model“ (ENG)
Brian Chess - Chief Scientist at Fortify Software
"Http Parameter Injection"
Stefano Di Paola - CTO Minded Security
14.30h "SHIELDS: metrics, tools and Internet services to improve security in application
developments"
D.Rotondi, A.Bagnato, E.Coscia, C.Rubattino - TXT e-solutions Spa
15.00h “Secure Code Review: dalla teoria alla pratica"
Antonio Parata - Security Consultant Emaze Networks
16.00h “Automatic Generation of Test Cases for Web Application Security: a Software
Engineering Perspective"
Prof. Corrado Aaron Visaggio - Università del Sannio
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Day III: Industry
11.00h "L'implementazione di un modello di sicurezza in ambito bancario:
l'esperienza di ABN AMRO"
Manuele Cavallari - Responsabile IT Security Office - Consorzio Operativo
Gruppo MPS
11.30h "Analisi forense dopo un cyber attack"
Ass. Davide Gabrini - Analista forense presso il Compartimento Polizia
Postale e delle Comunicazioni di Milano
16.30h
"Harden your Java Components!“ (ENG)
Pierre Parrend - SE FZI Karlsruhe
OWASP Day III – 23rd , February 2009
OWASP-Italy
Round Table
17.00h Round table:“La ricerca nella Web Application Security, qual’ è lo stato
dell’arte? Quali progetti/iniziative per aiutare le aziende a creare
applicazioni più sicure e a difendersi da nuove forme di attacchi? Cosa
sta facendo l’Università in tal senso? Quanto sono vicini il mondo
aziendale al mondo accademico?”
Panelist: Danilo Caivano - Università di Bari, Corrado Aaron Visaggio Università del Sannio, Giorgio Fedon - COO Minded Security
OWASP Day III – 23rd , February 2009
OWASP-Italy
The Open Web Application Security Project (OWASP) è un progetto
opens source dedicato a sviluppare tool , metodologie e linee guida
per la Web Application Security.
La partecipazione ad OWASP è aperta a tutti
Tutto è free e accessibile dal sito www.owasp.org
Migliaia di membri attivi in tutto il mondo, 100+ local chapters
Millions of hits on www.owasp.org
Centinaia di aziende che adottano la documentazione OWASP
OWASP Day III – 23rd , February 2009
OWASP-Italy
7
La comunità OWASP
OWASP Day III – 23rd , February 2009
OWASP-Italy
What are the OWASP projects?
OWASP Day III – 23rd , February 2009
OWASP-Italy
9
Principali progetti OWASP
BOOKS
Owasp top10
Building guide
Code review guide
Testing guide
TOOLS
WebGoat
WebScarab
SQLMap – SQL Ninja
SWF Intruder
Orizon
Code Crawler
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP & PCI v1.2
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Goals: migliorare la qualità e il supporto
Define Criteria for Quality Levels

Alpha, Beta, Release
Encourage Increased Quality

Through Season of Code Funding and Support

Produce Professional OWASP books
Provide Support

Full time executive director (Kate Hartmann)

Full time project manager (Paulo Coimbra)

Half time technical editor (Kirsten Sitnick)

Half time financial support (Alison Shrader)
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Italy e la ricerca
OWASP Italy nasce nel Gennaio 2005
Raccoglie centinaia di persone appassionate alla Web Application
Security
Obiettivi




Organizzazione conferenze
Scrittura articoli
Sviluppo tool
Sviluppo documentazione e linee guida
La ricerca come base per l’industria

Mai come nell’application security si ha un’esigenza di ricerca per
lo sviluppo di attività di innovazione
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Italy tools: Orizon
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Italy tools: SWF Intruder
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Italy tools: SQLMap
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP-Italy tools: SQL Ninja
Sqlninja è sviluppato in PERL da Alberto Revelli (aka Icesurfer).
Tool che sfrutta SQL Injection per MS SQL Server.
Non individua SQL Injection, ma si focalizza nel creare una shell
interattiva sul DB remoto e sfruttare questa per avere una “base”
nella rete target.
 Fingerprint del SQL Server
 Bruteforce della password dell’utente 'sa'
 Privilege escalation to 'sa'
 Creazione di custom xp_cmdshell
 Upload di file eseguibili
 DNS tunneled pseudoshell, when no ports are available for a bindshell
 E molto altro…
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Italy Project: Anti-Malware
La diffusione di Malware risulta in continuo aumento. Nel solo anno
2008 su Internet si sono contati circa 15 milioni di malware.
Banking Malware: sempre più sofisticati. Si aggiornano in base al
paese e alle configurazioni del server su cui si installano.
Obiettivi:
Descrivere i comuni problemi di sicurezza nel design per la protezione di siti
di banking
Fornire best-practice che dovrebbero essere considerate per realizzare
soluzioni antimalware
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Italy Project: Testing Guide
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Testing Guide v3: roadmap










26th April 2008: start the new project
OWASP Leaders brainstorming
Call for participation: 21 authors
Index brainstorming
Discuss the article content
20th May 2008: New draft Index
1st June 2008: Let's start writing!
27th August 2008: started the reviewing phase: 4 Reviewers
October 2008: Review all the Guide
December 2008: published the new version of the OWASP Testing
Guide: http://www.owasp.org/index.php/OWASP_Testing_Project
(347pages +80!)
OWASP Day III – 23rd , February 2009
OWASP-Italy
Web Application Penetration Testing
Che cos’è un Web Application Penetration Testing?



É un processo che prevede un’analisi dell’applicazione al fine di
identificare ogni debolezza o vulnerabilità nei controlli di
sicurezza implementati
E’ un’analisi Black Box (non conosciamo il funzionamento
dell’applicazione ed il codice)
Metodologia + tools (OWASP WebScarab, SQLMap,...)
Il nostro approccio nello scrivere la guida:


Open
Collaborattivo
OWASP Day III – 23rd , February 2009
OWASP-Italy
21
OWASP Testing Guide v3
 Descrive la metodologia OWASP
per testare un applicativo web
 347 pagine, 66 controlli
 Approccio della metodologia:




Definita
Consistente
Ripetibile
Di qualità
• SANS Top 20 2007
• NIST “Technical Guide to Information Security Testing (Draft)”
Cita la Testing Guide come referenza per il testing
OWASP Day III – 23rd , February 2009
OWASP-Italy
22
What’s new in v3?
 V2 8 sub-categories (for a total amount of 48 controls)
 V3 10 sub-categories (for a total amount of 66 controls)
 36 new articles!
Information Gathering
Business Logic Testing
Authentication Testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
Ajax Testing
OWASP Day III – 23rd , February 2009
Information Gathering
Config. Management Testing
Business Logic Testing
Authentication Testing
Authorization Testing
Session Management Testing
Data Validation Testing
Denial of Service Testing
Web Services Testing
Ajax Testing
Encoded Appendix
OWASP-Italy
Testing paragraph template
Brief Summary
Describe in "natural language" what we want to test. The target of this
section is non-technical people (e.g.: client executive)
Description of the Issue
Short Description of the Issue: Topic and Explanation
Black Box testing and example
How
to test for vulnerabilities:
Result Expected:
...
Gray Box testing and example
How
to test for vulnerabilities:
Result Expected:
...
References
Whitepapers
Tools
OWASP Day III – 23rd , February 2009
Example
OWASP-Italy
24
Come può aiutare la guida nel campo della
security industry?

Approccio strutturato alle attività di Testing

Checklist da seguire

A learning and training tool
Tester
Cliente


Strumento per capire cosa viene testato, le vulnerabilità
ed il loro impatta sull’applicazionei
Un modo per controllare la qualità dell’azienda che
verifica la sicurezza
La Testing Guide rappresenta una metodologia che è divenuta standard a
livello internazionale e richiesta dalla maggioranza delle aziende
Security =! Black Art
OWASP Day III – 23rd , February 2009
OWASP-Italy
25
SDLC & OWASP
Before SDLC
Building Guide
Development
Code Review Guide
Deploy&Maintenance
Testing Guide
OWASP Top10
.NET
Orizon
WebScarab
Web Goat
CSRFGuard
LAPSE
SWF Intruder
ESAPI
SQLNinja
SQLMap
Pantera
OWASP Day III – 23rd , February 2009
OWASP-Italy
OWASP Framework
Guidelines
Define&Design
Grazie!
Matteo Meucci
[email protected]
OWASP Day III – 23rd , February 2009
OWASP-Italy