OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-‐IUL/DCTI Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Instituto Universitário de Lisboa carlos.j.serrao@gmail.com Departamento de Ciências e Tecnologias de Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

agenda 2 Agenda Sala: B2.03 Apresentação do OWASP e OWASP Portugal 14:00 -‐ 14:30 Carlos Serrão OWASP Top 10 (2010) 14:30 -‐ 15:00 Carlos Serrão Segurança em PHP 15:00 -‐ 15:45 Joaquim Marques Criptograﬁa em PHP 15:45 -‐ 16:15 Carlos Serrão Ferramentas de Auditoria de Vulnerabilidades em Aplicações Web 16:15 -‐ 17:00 Nuno Teodoro 17:00 -‐ 17:15 Conclusões/Encerramento OWASP @ ISCTE-IUL Abril 2010

o que é o OWASP? 3  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP @ ISCTE-IUL Abril 2010

o que é o OWASP? 4  Open Web Application Security Project  an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP @ ISCTE-IUL Abril 2010

o que é o OWASP? 5  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário  Todos os membros são voluntários  Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade  Publicações, Artigos, Normas  Software de Testes e de Formação  Chapters Locais & Mailing Lists  Suportada através de patrocínios  Suporte de empresas através de patrocínios financeiros ou de projectos  Patrocínios pessoais por parte dos membros OWASP @ ISCTE-IUL Abril 2010

organização do OWASP 6 OWASP @ ISCTE-IUL Abril 2010

o que é o OWASP? 7  O que oferece?  Publicações  OWASP Top 10  OWASP Guide to Building Secure Web Applications  Software  WebGoat  WebScarab  oLabs Projects  .NET Projects  Chapters Locais  Orientação das comunidades locais OWASP @ ISCTE-IUL Abril 2010

ferramentas e tecnologias OWASP 8 OWASP @ ISCTE-IUL Abril 2010

publicações - OWASP top 10 9  Top 10 Web Application Security Risks/Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base anual  Crescente aceitação pela indústria  Federal Trade Commission (US Gov)  US Defense Information Systems Agency  VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP @ ISCTE-IUL Abril 2010

publicações - OWASP guide 10  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro  Introdução à segurança em geral  Introdução à segurança aplicacional  Discute áreas-chave de implementação  Arquitectura  Autenticação  Gestão de Sessões  Controlo de Acesso e Autorização  Registo de Eventos  Validação de Dados  Em contínuo desenvolvimento OWASP @ ISCTE-IUL Abril 2010

software - OWASP WebGoat 11  WebGoat  Essencialmente é uma aplicação de treino  Oferece  Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional  Uma ferramenta para testar ferramentas de segurança  O que é?  Uma aplicação web J2EE disposta em diversas “Lições de Segurança”  Baseado no Tomcat e no JDK 1.5  Orientada para o ensino  Fácil de usar  Ilustra cenários credíveis  Ensina ataques realistas e soluções viáveis OWASP @ ISCTE-IUL Abril 2010

software - OWASP WebScarab 12  WebScarab  Uma framework para analisar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações  Programador: fazer o debug das trocas entre o cliente e servidor  Analista de Segurança: analisa o tráfego e identifica vulnerabilidades  Ferramenta técnica  Focada em programadores de software  Arquitectura extensível de plug-ins  Open source; de fácil expansão  Poderosa  Obter a ferramenta  http://www.owasp.org/software/webscarab.html OWASP @ ISCTE-IUL Abril 2010

chapters locais da OWASP 13  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP @ ISCTE-IUL Abril 2010

14 OWASP @ ISCTE-IUL Abril 2010

chapters locais da OWASP 15  O que oferecem?  Reuniões (regulares)  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP @ ISCTE-IUL Abril 2010

chapters locais da OWASP 16  O que oferecem?  Como contribuir?  Através das ML, reuniões e dos grupos de discussão  Os membros são encorajados a levantarem questões  Os membros são encorajados a participar em projectos OWASP  Contribuir para projectos existentes  Propor novos projectos  Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP @ ISCTE-IUL Abril 2010

OWASP Portugal 17  … alguns dados  Membros  47 membros  Web-site  http://www.owasp.org/index.php/Portuguese  Mailling-List  owasp-portuguese@lists.owasp.org  Chapter Leader  Carlos Serrão (carlos.serrao@iscte.pt)  algumas alterações no Futuro OWASP @ ISCTE-IUL Abril 2010

objectivos 18  Participação em alguns dos projectos activos do OWASP (documentação e ferramentas)  Propor o lançamento de novos projectos  Promover a discussão de ideias na nossa lista de correio electrónico  Dinamizar a participação nas nossas reuniões  Organização de conferências  Promover e oferecer suporte à comunidade OWASP em geral, em particular a comunidade portuguesa OWASP @ ISCTE-IUL Abril 2010

actividade 19  2007  Nasce o chapter português  Actividade quase nula  2008  OWASP EU Summit 08  Albufeira, Algarve, Portugal  2009  owasp@IPCB, owasp@IPViseu, owasp@UBI  IBWAS’09, Madrid  2010  owasp@ISCTE-IUL  IBWAS’10, Lisboa OWASP @ ISCTE-IUL Abril 2010

OWASP EU SUMMIT 2008 20  O *maior* evento OWASP de sempre 1 semana, +100 pessoas (de todo o Mundo)  Apresentação de Projectos  Sessões de Trabalho  Formação  + 1 dia de Demo na UAlg OWASP @ ISCTE-IUL Abril 2010

reuniões 21  Objectivos:  Manter um calendário de reuniões periódicas  Realista: 1 reunião/evento a cada 3 ou 4 meses  Promover a missão da OWASP  Promover os projectos, ferramentas e documentação da OWASP  Promover a troca e disseminação livre de informação sobre segurança de informação e segurança de aplicações e sistemas web-based  Promover o lançamento de novas ideias e de novos projectos  Envolver os membros em projectos on-going OWASP @ ISCTE-IUL Abril 2010

reuniões 22  A participação nas reuniões da OWASP Portugal é livre e gratuita  Modelo: aparece e traz um amigo (e ideias para partilhar)  Apresentação sobre um tema  Discussão de uma ideia  Debate de problemas  Lançar iniciativas  Planear actividades OWASP @ ISCTE-IUL Abril 2010

ideias e projectos 23  Reuniões periódicas  Blog/Site oficial da OWASP@PT  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu/  Eventos de disseminação/formação  Conferências  Projectos de tradução de documentação e ferramentas (em conjunto com OWASP Brasil)  Lançamento de novos projectos  Estreitar relações com OWASP Espanha OWASP @ ISCTE-IUL Abril 2010

ideias e projectos 24  Disseminação/Formação  “Evangelizar”  Espalhar a “mensagem” e missão do OWASP  Percorrer Portugal, com enfoque em Instituições de Ensino Superior  Participação em sessões específicas ou integradas em aulas  OWASP Summer School (a pensar no futuro) OWASP @ ISCTE-IUL Abril 2010

ideias e projectos 25  Conferências  Organização de conferências abertas quer à participação da comunidade científica quer à comunidade empresarial  Criar o mix perfeito  Realizado e Planeado  IBWAS’09 – First Iberic Conference on Web-Applications Security  Madrid, Espanha  No final de 2009  IBWAS’10 - Ibero-American Web-Applications Security  Lisboa, Portugal  Inicio de Novembro 2010 OWASP @ ISCTE-IUL Abril 2010

ideias e projectos 26  Tradução  Ferramentas e documentos da OWASP devem chegar à maior audiência possível  A língua não pode ser uma barreira  Traduzir documentos  OWASP Top Ten  OWASP Web Applications Security Assessment  Traduzir ferramentas  Webgoat  Webscarab  Aproveitar o trabalho já iniciado pelo OWASP Brasil OWASP @ ISCTE-IUL Abril 2010

ideias e projectos 27  Novos Projectos  Lançamento de novos projectos inovadores  Apostar em I&D  Estreitar a colaboração com Departamentos de Instituições de Ensino Superior (e não só)  Lançamento e (co-)orientação de  Projectos de Fim de Curso  Projectos de Mestrado e Doutoramento  Captar fundos e incentivos à I&D  FCT  EU  Outros. OWASP @ ISCTE-IUL Abril 2010

para finalizar... 28  … juntem-se a nós.  Participem!  Mailing List  Blog  Reuniões  Eventos  Projectos  Ideias  Informação útil  http://www.owasp.org  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu OWASP @ ISCTE-IUL Abril 2010

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-‐IUL/DCTI Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Instituto Universitário de Lisboa carlos.j.serrao@gmail.com Departamento de Ciências e Tecnologias de Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

by Carlos Serrão on Apr 21, 2010

Accessibility

Tags

Upload Details

Usage Rights

7 Embeds 193

Statistics

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal — Presentation Transcript

http://webappsec.netmust.eu	147
http://www.websegura.net	17
http://www.slideshare.net	12
http://www.carlosserrao.net	9
http://blog.carlosserrao.net	4
http://www.netmust.eu	3
http://static.slidesharecdn.com	1