Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
3. 3
OWASP
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4. 4
OWASP
O código faz parte do perímetro de segurança
Firewall
Hardened OS
Web Server
App Server
Firewall
Databases
Legacy Systems
Web Services
Directories
Human Resrcs
Billing
Custom Developed Application Code
APPLICATIONATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional
Network Layer
Application Layer
O seu perímetro de segurança possui buracos enormes na camada aplicacional
5. OWASP
5
O que é o OWASP?
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros
6. OWASP
6
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
7. OWASP
7
Publicações OWASP –OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para aplicações web
8. OWASP
8
Publicações OWASP -OWASP Top 10
Top 10 (versão 2013)
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards
9. OWASP
9
Software OWASP -WebGoat
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
–Fácil de usar
–Ilustra cenários credíveis
–Ensina ataques realistas e soluções viáveis
10. OWASP
10
Software OWASP -WebGoat
WebGoat –O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar