OWASP Top 10 : Scanning JSF

OWASP Top 10: Scanning JSFAndreas Hartmann22.09.2011

Andreas HartmannPrincipal Software EngineerE-Mail hartmann@adesso.deTätigkeitsschwerpunkte:► Konzeption und Implementierung von Softwarearchitekturen und Frameworks auf Basis der JEE Plattform► Serviceorientierte Architekturen und Portaltechnologien im Kontext der Branchen Versicherung und Banken► Speaker auf Konferenzen► Betreuung von Projekt-/Bachelor-/Master-/Diplomarbeiten22.09.2011 2 OWASP Top 10: Scanning JSF

Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 3 OWASP Top 10: Scanning JSF

Web Application Security Kick StartWas ist Application Security► Application Security umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische Fehler im Design, der Implementierung, dem Deployment und der Wartung von Software zu verhindern.Schutzziele von Application Security► Vertraulichkeit & Integrität > der Daten > der Kommunikation► Authentizität der Kommunikationspartner► Verfügbarkeit der Services22.09.2011 5 OWASP Top 10: Scanning JSF

Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung OS Services TCP IP Java SecurityServer OS 22.09.2011 6 OWASP Top 10: Scanning JSF

Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Filterung Absender & Ziel OS Services ► Absicherung IP- & TCP- TCP Verkehr IP Java Security ► Stateful Packet InspectionServer OS Network Firewall 22.09.2011 7 OWASP Top 10: Scanning JSF

Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Durchführung OS Services Authentifizierung TCP ► Session Management IP Java Security ► Autorisierungsprüfung ► Schutz von RessourcenServer OS Application Server 22.09.2011 8 OWASP Top 10: Scanning JSF

Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Web Application Firewall Authentifizierung Autorisierung ► Absicherung HTTP OS Services ► Validierung Get- & Post- TCP Parameter IP Java Security ► Ressourcen-Schutz auf URL- BasisServer OS ► Positive vs. Negative Security Model 22.09.2011 9 OWASP Top 10: Scanning JSF

Web Application Security Kick StartRahmenbedingungen für den WAF-Einsatz► Abstimmung auf Web Applikation > Start bereits während der Entwicklung > Kontinuierliche Anpassung an Anwendungsänderungen► Angleichung der Release-Zyklen von WAF und Applikation(en)► Testaufwand für jedes Update einplanen► SSL-Terminierung vor der WAF notwendig► Bei optimaler Abstimmung gute Erkennungsraten möglich22.09.2011 10 OWASP Top 10: Scanning JSF

Web Application Security Kick StartProbleme beim WAF-Einsatz► Ansatz negatives Security Model > Abhängigkeit von häufigen Updates > relativ hohe Gefahr von Anwendungsproblemen nach Updates► Ansatz positive Security Model > lange Lernphase notwendig > optimale Abstimmung auf Applikation notwendig > relativ hohe Gefahr von False Positives► allgemeines Risiko einer weiteren Infrastrukturkomponente► Expertenwissen für sinnvollen Einsatz notwendig22.09.2011 11 OWASP Top 10: Scanning JSF

Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Application Security Komponente Authentifizierung Autorisierung ► Schutz gegen OS Services ► Injection Flaws TCP ► Cross-Site Scripting IP Java Security ► Cross-Site Request ForgeryServer OS ► Denial of Service ► Logging von Angriffen 22.09.2011 12 OWASP Top 10: Scanning JSF

OWASPOpen Web Application Security Project (OWASP)Nonprofit Organisationwww.owasp.org22.09.2011 14 OWASP Top 10: Scanning JSF

A1 - Injection FlawsInjection flaws, particularly SQL injection, are common in webapplications. Injection occurs when user-supplied data is sentto an interpreter as part of a command or query. The attackershostile data tricks the interpreter into executing unintendedcommands or changing data.► SQL► Xpath► etc. Quelle: http://xkcd.com/327/ Whitelist Validation & Escaping Special Characters & Prepared Statements zum Schutz gegen SQL Injection, … Quelle: https://www.owasp.org22.09.2011 15 OWASP Top 10: Scanning JSF

A2 – Cross Site Scripting (XSS)XSS flaws occur whenever an application takes user supplieddata and sends it to a web browser without first validating orencoding that content. XSS allows attackers to execute scriptin the victims browser which can hijack user sessions, defaceweb sites, possibly introduce worms, etc.► Session Hijacking► Fernsteuerung des Browsers Whitelist Validation & Escaping Special Characters & Output Encoding Quelle: https://www.owasp.org22.09.2011 16 OWASP Top 10: Scanning JSF

A3 - Broken Authentication and Session ManagementAccount credentials and session tokens are often not properlyprotected. Attackers compromise passwords, keys, orauthentication tokens to assume other users identities.► Logische Fehler bei der Authentisierung und Autorisierung, z.B. beim Logout die Session nicht invalidiert Durchdachte Konzepte & richtige Konfiguration des Servers Quelle: https://www.owasp.org22.09.2011 17 OWASP Top 10: Scanning JSF

A4 - Insecure Direct Object ReferenceA direct object reference occurs when a developer exposes areference to an internal implementation object, such as a file,directory, database record, or key, as a URL or form parameter.Attackers can manipulate those references to access otherobjects without authorization.► Zugriff auf Daten die für den Benutzer nicht erreichbar sein sollen Bei der Entwicklung berücksichtigen und niemals darauf vertrauen, dass Referenzen korrekt sind Quelle: https://www.owasp.org22.09.2011 18 OWASP Top 10: Scanning JSF

A5 - Cross Site Request Forgery (CSRF)A CSRF attack forces a logged-on victims browser to send apre-authenticated request to a vulnerable web application,which then forces the victims browser to perform a hostileaction to the benefit of the attacker. CSRF can be as powerfulas the web application that it attacks.► Vertrauensbruch zwischen Browser und Server (Session Riding) Einsatz eines dynamischen Tokens Quelle: https://www.owasp.org22.09.2011 19 OWASP Top 10: Scanning JSF

A6 – Security MisconfigurationGood security requires having a secure configuration definedand deployed for the application, frameworks, applicationserver, web server, database server, and platform. All thesesettings should be defined, implemented, and maintained asmany are not shipped with secure defaults. This includes ke► Keine gehärtete Konfiguration der verwendeten Framwork, Server, etc. Härten der Infrastruktur & Security Prozess zur Inbetriebnahme von Anwendungen Quelle: https://www.owasp.org22.09.2011 20 OWASP Top 10: Scanning JSF

A7 - Insecure Cryptographic StorageWeb applications rarely use cryptographic functions properlyto protect data and credentials. Attackers use weakly protecteddata to conduct identity theft and other crimes, such as creditcard fraud.► Verschlüsselte Ablage von sensitiven Daten Einsatz sicherer Kryptographiemechanismen & Vermeidung proprietärer Lösungen Quelle: https://www.owasp.org22.09.2011 21 OWASP Top 10: Scanning JSF

A8 - Failure to Restrict URL AccessFrequently, an application only protects sensitive functionalityby preventing the display of links or URLs to unauthorizedusers. Attackers can use this weakness to access and performunauthorized operations by accessing those URLs directly.► Erraten von URLs URL Pfadzugriff einschränken, nur das was tatsächlich notwendig ist Quelle: https://www.owasp.org22.09.2011 22 OWASP Top 10: Scanning JSF

A9 – Insufficient Transport Layer ProtectionApplications frequently fail to encrypt network traffic when it isnecessary to protect sensitive communications.► Datentransport kann abgehört werden► Cookies können gestohlen werden Durchgängige Verwendung von SSL & Einsatz von gültigen Zertifikaten & Secure Flag für Cookies Quelle: https://www.owasp.org22.09.2011 23 OWASP Top 10: Scanning JSF

A10 – Unvalidated Redirects and ForwardsWeb applications frequently redirect and forward users to otherpages and websites, and use untrusteddata to determine thedestination pages. Without proper validation, attackers canredirect victims to phishing or malware sites, or use forwardsto access unauthorized pages.► Zugriff auf nicht autorisierte Seiten► Umleitung des angemeldeten Benutzers auf eine Phishing Seite Nach Möglichkeit kein Redirect oder Forward im eigenen Code & Keine Benutzereingaben als Parameter Quelle: https://www.owasp.org22.09.2011 24 OWASP Top 10: Scanning JSF

Application Security KomponenteJSF Lifecycle meets Security► Injection Flaws (z.B. SQL-Injection)► Cross-Site Scripting► Cross-Site Request Forgery► Denial of Service► Never-Ending Application Usage► Logging22.09.2011 26 OWASP Top 10: Scanning JSF

Application Security StartupAnsatzpunkte zur Einführung von Application Security Maßnahmen► Definition eines Security Prozesses► Schaffung von Security Awareness► Anpassung der Architekturrichtlinien► Erweiterung der Programmierrichtlinien > Nutzung von Security Infrastrukturcode prüfen > Ein- und Ausgabevalidierung > Sicheres Errorhandling & Logging► Durchführung von Security Reviews > interne & externe Security Audits einplanen > Betrachtung der zu erstellenden Anwendung hinsichtlich allgemeiner und spezieller Sicherheitsrisiken > Einsatz von Werkzeugen zur statischen Codeanalyse während der Entwicklung22.09.2011 28 OWASP Top 10: Scanning JSF

Wir suchen Sie als► Software-Architekt (m/w)► Projektleiter (m/w)► Senior Software Engineer (m/w)jobs@adesso.dewww.AAAjobs.de

http://jandiandme.blogspot.com	965
http://jandiandme.blogspot.de	261
http://ewolff.com	182
http://www.ewolff.com	21
http://feeds.feedburner.com	13
http://jandiandme.blogspot.co.uk	11
http://feeds2.feedburner.com	8
http://paper.li	7
http://jandiandme.blogspot.in	5
http://jandiandme.blogspot.ca	4
http://jandiandme.blogspot.com.au	2
http://jandiandme.blogspot.it	2
http://translate.googleusercontent.com	1
http://twitter.com	1
http://jandiandme.blogspot.fr	1
http://jandiandme.blogspot.se	1
http://jandiandme.blogspot.com.es	1
http://jandiandme.blogspot.mx	1

OWASP Top 10 : Scanning JSF

by adesso AG on Sep 23, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

18 Embeds 1,487

Statistics

OWASP Top 10 : Scanning JSF — Presentation Transcript