The OWASP Foundation Mirko Richter Mirko.Richter@owasp.org OWASP German Chapter 1. Stammtisch...

The OWASP Foundationhttp://www.owasp.org

Mirko Richter

Mirko.Richter@owasp.org

OWASP German Chapter

1. Stammtisch Dresden20.06.2013

Mirko Richter OWASP German Chapter

Was ist OWASP?Prinzipien• Frei und Offen• Getrieben durch Konsens und

funktionierenden Code• Ausgerichtet an Werten• Non-profit• Nicht von kommerziellen

Interessen getrieben• Risiko basierte Ansätze

Was ist OWASP?Organisationsstruktur• Board• Chapter• Mitglieder

Für wen ist OWASP?Das Open Web Application Security

Project hilft:

• Entwicklern

• Entscheidern

• QA-Spezialisten

• Penetrationstestern

Bekannteste Projekte

• OWASP Top 10 (2004, 2007, 2010, 2013)

• OWASP Development Guide• OWASP Code Review Guide• OWASP Testing Guide• OWASP Zed Attack Proxy (ZAP)• OWASP WebGoat• OWASP ModSecurity Core Rule Set

Project

Noch mehr Projekte

• Viele, viele, viele Projekte (Stand 05/13)• Flagship (4 Code, 3 Tools, 8 Doku)• Labs (26 Tools, 8 Doku)• Incubator (19 Code, 39 Tools, 41

Das deutsche Chapter• Derzeit ein Chapter in Deutschland

• Aktuell 6 Personen im Board• Regelmäßige lokale Stammtische

in• München• Frankfurt• Stuttgart• Köln• Hamburg• Karlsruhe• Nürnberg (Neustart?)• Berlin (Neustart?)• Dresden (im Aufbau)

Die Zukunft

• Basis der Stammtische verbreitern• Mehr Projekte und

Projekteilnehmer• Höhere Reichweite, insbesondere

„Neulinge“ und Studenten (Zeit )• Weitere Aspekte von

Anwendungssicherheit (Mobility)• Mehr Mitglieder• Firmen• Personen

Mirko Richter OWASP German Chapter 9

OWASP Top 10 2013*A1 – Injection

A2 – Broken Authentication and Session Management

A3 – Cross-Site Scripting (XSS)

A4 – Insecure Direct Object References

A5 – Security Misconfiguration

A6 – Sensitive Data Exposure

A7 – Missing Function Level Access Control

A8 – Cross-Site Request Forgery (CSRF)

A9 – Using Known Vulnerable Components

A10 – Unvalidated Redirects and Forwards

* Neu: 12.06.2013

A1 - Injection

Angriffe:

• SQL – Injection

• Command Injection

• XPath – Injection

Heilung:

• Trennung zwischen Daten- und Ausführungskontext („sichere API“)

• Optional: Input Validation

„Ausnutzung ungenügender Datenvalidierung“

A2 – Broken Authentication and Session Management

Angriffe:

• Session Fixation

• Enumeration (Login, Password etc.)

• Session-Hijacking

Heilung:

• Cookie nach Login erneuern

• httpOnly/secure-Flag setzen

„Logische Fehler bei der Authentisierung und Autorisierung “

A3 – Cross-Site Scripting (XSS)

Angriffe:

• Session Hijacking

• Website Spoofing

• Fernsteuerung des Browsers

Heilung:

• Kontextabhängige Datenenkodierung

• Optional: Input Validation

„Missbrauch des Vertrauensverhältnissesvom Browser zum Serverinhalt (zusätzlicher

ungewollter Inhalt)“

A4 – Insecure Direct Object References

Angriffe:

• Privilege Escalation

Heilung:

• Zugriffskontrolle (Access Controls)

• Indirekt Objekt-Referenzen (per Session/User(Application)

„Zugriff auf Daten, die nicht für den aktuellen Nutzer gedacht sind“

A5 – Security Misconfiguration

Angriffe:

• Versteckte Funktionen

• Bekannte Schwachstellen

• Ausnutzen von unnötigen Informationen (z.B. Exception)

Heilung:

• Regelmäßige Patches / Updates

• Information Hiding

„Nicht ausreichend gehärteter Applikationsstack“

A6 – Sensitive Data Exposure

Angriffe:

• Datendiebstahl (Passwörter, Kreditkarten etc.)

• Man-in-the-Middle

• „Zurückrechnen“ von Passwörtern

Heilung:

• Modellierung der Bedrohungen

• Starke Algorithmen

• Transportverschlüsselung

„Datenabfluss wegen fehlendem/defektem Schutz“

A7 – Missing Function Level Access Control

Angriffe:

• Datendiebstahl

• Missbrauch der AW-Funktionalität

Heilung:

• Ausreichende Prüfungen (Bereich, Funktion etc.)

• Antipattern: „Hartkodierung“

„Unautorisierte Zugriffspfade zu Funktionen, Daten etc.“

A8 – Cross-Site Request Forgery (CSRF)

Angriffe:

• CSRF

Heilung:

• Geheimer Token für zustandsändernde Operationen

• => CSRF Guard

„Missbrauch des Vertrauensverhältnisses vom Server zur Bowseranfrage (Ausnutzung

fremder Rechte) “

A9 – Using Known Vulnerable Components

Angriffe:

• Ausnutzung bekannter Schwachstellen

• „Skript-Kiddies“

Heilung:

• „Überblick über Versionen behalten“

• Patch-Management

„Einsatz bekanntermaßen unsicherer Technologie“

A10 – Unvalidated Redirects and Forwards

Angriffe:

• Spoofing

• Malware-Verteilung

Heilung:

• Wenn es geht, Redirect/Forward vermeiden

• Keine Parameter für Berechnung von R/F verwenden

• Hinweis für Nutzer („Sie verlassen jetzt …“)

„Missbrauch vom Nutzervertrauen“

Kontakt und Informationen

http://www.owasp.de/https://www.owasp.org/https://lists.owasp.org/mailman/listinfo/

owasp-germany (eintragen!)Mirko Richter

mirko.richter@owasp.org

(dresden@securenet.de)

The OWASP Foundation Mirko Richter Mirko.Richter@owasp.org OWASP German Chapter 1. Stammtisch...

Documents

Spam | Antwort Thinkleblink/Dalwick (Mirko) Was meint Ihr ... fileSpam | Antwort Thinkleblink/Dalwick (Mirko) Keymaster (77.180.235.135) (1) Während eures Aufenthaltes im Kloster

Referat Kuechenabluft. Prof. Heinrich Huber. 20.06.2013

Maja + Mirko

OWASP Top 10 : Scanning JSF

Danke Mirko! · 2014-04-13 · 04/2008 3 DER SARI 4/08 Mannschaftsrunde beginnt. Inhaltsverzeichnis Titelfoto: Jubel bei Mirko Englich über das Olympiaticket, das er in Novi Sad

27·10 ·2010 Organisation und Verwaltung von Forschungsdaten zum Gewässermanagement Mirko Filetti

Preisliste 2013 (g.20.06.) - Kfz-Service-GmbH-Zwochau · Preisliste 2013 gültig ab 20.06.2013 Planier- und Variosysteme SnapEdge (Kantensicherung) Nettopreis Modell Nettopreis pro

Java Deserializaon A0acks - OWASP · Java Deserializaon A0acks Angriﬀ & Verteidigung 1 Christian Schneider, @cschneider4711 Alvaro Muñoz, @pwntester (in Absentia)

Rid Zukunftskongress 2019 · Mirko Fikentscher, Inﬂuencer & Social Media Manager aus Hof Mirko Lauer, Senior Consulant elaboratum GmbH, München Über Plattformen verkaufen Strategische

Tool basierteWeb Security - OWASP...Information Leakage, Fehlerbehandlung, ... Microsoft PowerPoint - OWASP_Rohr-Tool-basierte Web Security.pptx Author: Matthias Rohr Subject: OWASP

OWASP Top 10 Scanning JSF - alt.java-forum-stuttgart.dealt.java-forum-stuttgart.de/jfs/2011/folien/C6.pdf · 17.06.2011 13 OWASP Top 10: Scanning JSF OWASP Top Ten meets JSF Application

Beobachtungsinstrumente der Astronomie - mirko-hans.de · Christian-Weise-Gymnasium Zittau - FB Physik - Mirko Hans 1 Beobachtungsinstrumente der Astronomie • Das astronomische

HISOLUTIONS SCHWACHSTELLEN-REPORT 2020€¦ · 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Injection (OWASP A1) Broken Authentication (OWASP A2) Sensitive Data Exposure (OWASP A3)

Review Die neue und spezialisierte OWASP API Security Top ......che von Webanwendungen. Das Open Web Application Se - curity Project (OWASP) reagiert darauf mit einer neuen und spezialisierten

Talk: OWASP Top 10 2017...Talk: OWASP Top 10 –2017 Die 10 kritischsten Sicherheitsrisiken für Webanwendungen-Neuerungen -HintergründeOWASP Stammtisch München (19.02.2019) von

Airlock und die OWASP TOP 10 - 2017 · Die OWASP Top 10 Die OWASP Top 10 werden ca. alle drei Jahre publiziert und stellen einen Überblick über die derzeit 10 grössten Schwachstellen

Maschinenführerschein Seminarleiter: Mirko Spanzel Stanislav Ritter Stanislav Ritter

Kirmes 2008 Jörg Mebes, Mirko Glanert, Steven Frerichs, Erik Matz

Orientierung am Sternhimmel - mirko-hans.de · Wichtige Begriffe: Kulmination, Zirkumpolarsterne, Himmelspole. Christian-Weise-Gymnasium Zittau - FB Physik - Mirko Hans 11 Die scheinbare

WebAssembly · Mirko Sertic Software Craftsman im Web / eCommerce Umfeld Ich baue wirtschaftliche und moderne IT Lösungen @mirkosertic mirko@mirkosertic.de