Your SlideShare is downloading. ×
OWASP Top 10 : Scanning JSF
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

OWASP Top 10 : Scanning JSF

3,544

Published on

Diese Präsentation zeigt eine Sicherheitsuntersuchung von JSF anhand der OWASP Top 10 Angriffe.

Diese Präsentation zeigt eine Sicherheitsuntersuchung von JSF anhand der OWASP Top 10 Angriffe.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,544
On Slideshare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
17
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. OWASP Top 10: Scanning JSFAndreas Hartmann22.09.2011
  • 2. Andreas HartmannPrincipal Software EngineerE-Mail hartmann@adesso.deTätigkeitsschwerpunkte:► Konzeption und Implementierung von Softwarearchitekturen und Frameworks auf Basis der JEE Plattform► Serviceorientierte Architekturen und Portaltechnologien im Kontext der Branchen Versicherung und Banken► Speaker auf Konferenzen► Betreuung von Projekt-/Bachelor-/Master-/Diplomarbeiten22.09.2011 2 OWASP Top 10: Scanning JSF
  • 3. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 3 OWASP Top 10: Scanning JSF
  • 4. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 4 OWASP Top 10: Scanning JSF
  • 5. Web Application Security Kick StartWas ist Application Security► Application Security umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische Fehler im Design, der Implementierung, dem Deployment und der Wartung von Software zu verhindern.Schutzziele von Application Security► Vertraulichkeit & Integrität > der Daten > der Kommunikation► Authentizität der Kommunikationspartner► Verfügbarkeit der Services22.09.2011 5 OWASP Top 10: Scanning JSF
  • 6. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung OS Services TCP IP Java SecurityServer OS 22.09.2011 6 OWASP Top 10: Scanning JSF
  • 7. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Filterung Absender & Ziel OS Services ► Absicherung IP- & TCP- TCP Verkehr IP Java Security ► Stateful Packet InspectionServer OS Network Firewall 22.09.2011 7 OWASP Top 10: Scanning JSF
  • 8. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Durchführung OS Services Authentifizierung TCP ► Session Management IP Java Security ► Autorisierungsprüfung ► Schutz von RessourcenServer OS Application Server 22.09.2011 8 OWASP Top 10: Scanning JSF
  • 9. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Web Application Firewall Authentifizierung Autorisierung ► Absicherung HTTP OS Services ► Validierung Get- & Post- TCP Parameter IP Java Security ► Ressourcen-Schutz auf URL- BasisServer OS ► Positive vs. Negative Security Model 22.09.2011 9 OWASP Top 10: Scanning JSF
  • 10. Web Application Security Kick StartRahmenbedingungen für den WAF-Einsatz► Abstimmung auf Web Applikation > Start bereits während der Entwicklung > Kontinuierliche Anpassung an Anwendungsänderungen► Angleichung der Release-Zyklen von WAF und Applikation(en)► Testaufwand für jedes Update einplanen► SSL-Terminierung vor der WAF notwendig► Bei optimaler Abstimmung gute Erkennungsraten möglich22.09.2011 10 OWASP Top 10: Scanning JSF
  • 11. Web Application Security Kick StartProbleme beim WAF-Einsatz► Ansatz negatives Security Model > Abhängigkeit von häufigen Updates > relativ hohe Gefahr von Anwendungsproblemen nach Updates► Ansatz positive Security Model > lange Lernphase notwendig > optimale Abstimmung auf Applikation notwendig > relativ hohe Gefahr von False Positives► allgemeines Risiko einer weiteren Infrastrukturkomponente► Expertenwissen für sinnvollen Einsatz notwendig22.09.2011 11 OWASP Top 10: Scanning JSF
  • 12. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Application Security Komponente Authentifizierung Autorisierung ► Schutz gegen OS Services ► Injection Flaws TCP ► Cross-Site Scripting IP Java Security ► Cross-Site Request ForgeryServer OS ► Denial of Service ► Logging von Angriffen 22.09.2011 12 OWASP Top 10: Scanning JSF
  • 13. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 13 OWASP Top 10: Scanning JSF
  • 14. OWASPOpen Web Application Security Project (OWASP)Nonprofit Organisationwww.owasp.org22.09.2011 14 OWASP Top 10: Scanning JSF
  • 15. A1 - Injection FlawsInjection flaws, particularly SQL injection, are common in webapplications. Injection occurs when user-supplied data is sentto an interpreter as part of a command or query. The attackershostile data tricks the interpreter into executing unintendedcommands or changing data.► SQL► Xpath► etc. Quelle: http://xkcd.com/327/ Whitelist Validation & Escaping Special Characters & Prepared Statements zum Schutz gegen SQL Injection, … Quelle: https://www.owasp.org22.09.2011 15 OWASP Top 10: Scanning JSF
  • 16. A2 – Cross Site Scripting (XSS)XSS flaws occur whenever an application takes user supplieddata and sends it to a web browser without first validating orencoding that content. XSS allows attackers to execute scriptin the victims browser which can hijack user sessions, defaceweb sites, possibly introduce worms, etc.► Session Hijacking► Fernsteuerung des Browsers Whitelist Validation & Escaping Special Characters & Output Encoding Quelle: https://www.owasp.org22.09.2011 16 OWASP Top 10: Scanning JSF
  • 17. A3 - Broken Authentication and Session ManagementAccount credentials and session tokens are often not properlyprotected. Attackers compromise passwords, keys, orauthentication tokens to assume other users identities.► Logische Fehler bei der Authentisierung und Autorisierung, z.B. beim Logout die Session nicht invalidiert Durchdachte Konzepte & richtige Konfiguration des Servers Quelle: https://www.owasp.org22.09.2011 17 OWASP Top 10: Scanning JSF
  • 18. A4 - Insecure Direct Object ReferenceA direct object reference occurs when a developer exposes areference to an internal implementation object, such as a file,directory, database record, or key, as a URL or form parameter.Attackers can manipulate those references to access otherobjects without authorization.► Zugriff auf Daten die für den Benutzer nicht erreichbar sein sollen Bei der Entwicklung berücksichtigen und niemals darauf vertrauen, dass Referenzen korrekt sind Quelle: https://www.owasp.org22.09.2011 18 OWASP Top 10: Scanning JSF
  • 19. A5 - Cross Site Request Forgery (CSRF)A CSRF attack forces a logged-on victims browser to send apre-authenticated request to a vulnerable web application,which then forces the victims browser to perform a hostileaction to the benefit of the attacker. CSRF can be as powerfulas the web application that it attacks.► Vertrauensbruch zwischen Browser und Server (Session Riding) Einsatz eines dynamischen Tokens Quelle: https://www.owasp.org22.09.2011 19 OWASP Top 10: Scanning JSF
  • 20. A6 – Security MisconfigurationGood security requires having a secure configuration definedand deployed for the application, frameworks, applicationserver, web server, database server, and platform. All thesesettings should be defined, implemented, and maintained asmany are not shipped with secure defaults. This includes ke► Keine gehärtete Konfiguration der verwendeten Framwork, Server, etc. Härten der Infrastruktur & Security Prozess zur Inbetriebnahme von Anwendungen Quelle: https://www.owasp.org22.09.2011 20 OWASP Top 10: Scanning JSF
  • 21. A7 - Insecure Cryptographic StorageWeb applications rarely use cryptographic functions properlyto protect data and credentials. Attackers use weakly protecteddata to conduct identity theft and other crimes, such as creditcard fraud.► Verschlüsselte Ablage von sensitiven Daten Einsatz sicherer Kryptographiemechanismen & Vermeidung proprietärer Lösungen Quelle: https://www.owasp.org22.09.2011 21 OWASP Top 10: Scanning JSF
  • 22. A8 - Failure to Restrict URL AccessFrequently, an application only protects sensitive functionalityby preventing the display of links or URLs to unauthorizedusers. Attackers can use this weakness to access and performunauthorized operations by accessing those URLs directly.► Erraten von URLs URL Pfadzugriff einschränken, nur das was tatsächlich notwendig ist Quelle: https://www.owasp.org22.09.2011 22 OWASP Top 10: Scanning JSF
  • 23. A9 – Insufficient Transport Layer ProtectionApplications frequently fail to encrypt network traffic when it isnecessary to protect sensitive communications.► Datentransport kann abgehört werden► Cookies können gestohlen werden Durchgängige Verwendung von SSL & Einsatz von gültigen Zertifikaten & Secure Flag für Cookies Quelle: https://www.owasp.org22.09.2011 23 OWASP Top 10: Scanning JSF
  • 24. A10 – Unvalidated Redirects and ForwardsWeb applications frequently redirect and forward users to otherpages and websites, and use untrusteddata to determine thedestination pages. Without proper validation, attackers canredirect victims to phishing or malware sites, or use forwardsto access unauthorized pages.► Zugriff auf nicht autorisierte Seiten► Umleitung des angemeldeten Benutzers auf eine Phishing Seite Nach Möglichkeit kein Redirect oder Forward im eigenen Code & Keine Benutzereingaben als Parameter Quelle: https://www.owasp.org22.09.2011 24 OWASP Top 10: Scanning JSF
  • 25. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 25 OWASP Top 10: Scanning JSF
  • 26. Application Security KomponenteJSF Lifecycle meets Security► Injection Flaws (z.B. SQL-Injection)► Cross-Site Scripting► Cross-Site Request Forgery► Denial of Service► Never-Ending Application Usage► Logging22.09.2011 26 OWASP Top 10: Scanning JSF
  • 27. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup22.09.2011 27 OWASP Top 10: Scanning JSF
  • 28. Application Security StartupAnsatzpunkte zur Einführung von Application Security Maßnahmen► Definition eines Security Prozesses► Schaffung von Security Awareness► Anpassung der Architekturrichtlinien► Erweiterung der Programmierrichtlinien > Nutzung von Security Infrastrukturcode prüfen > Ein- und Ausgabevalidierung > Sicheres Errorhandling & Logging► Durchführung von Security Reviews > interne & externe Security Audits einplanen > Betrachtung der zu erstellenden Anwendung hinsichtlich allgemeiner und spezieller Sicherheitsrisiken > Einsatz von Werkzeugen zur statischen Codeanalyse während der Entwicklung22.09.2011 28 OWASP Top 10: Scanning JSF
  • 29. Wir suchen Sie als► Software-Architekt (m/w)► Projektleiter (m/w)► Senior Software Engineer (m/w)jobs@adesso.dewww.AAAjobs.de

×