Successfully reported this slideshow.

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

2,069 views

Published on

Apresentação realizada no OWASP @ ISCTE-IUL, Workshop de Segurança Aplicacional, sobre OWASP e OWASP Portugal.

  • Be the first to comment

OWASP @ ISCTE-IUL, OWASP e OWASP Portugal

  1. 1. OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  2. 2. agenda 2 Agenda Sala:  B2.03 Apresentação  do  OWASP  e  OWASP  Portugal 14:00  -­‐  14:30 Carlos  Serrão OWASP  Top  10  (2010) 14:30  -­‐  15:00 Carlos  Serrão   Segurança  em  PHP 15:00  -­‐  15:45 Joaquim  Marques Criptografia  em  PHP 15:45  -­‐  16:15 Carlos  Serrão Ferramentas  de  Auditoria  de  Vulnerabilidades  em  Aplicações  Web 16:15  -­‐  17:00 Nuno  Teodoro 17:00  -­‐  17:15 Conclusões/Encerramento OWASP @ ISCTE-IUL Abril 2010
  3. 3. o que é o OWASP? 3  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP @ ISCTE-IUL Abril 2010
  4. 4. o que é o OWASP? 4  Open Web Application Security Project  an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP @ ISCTE-IUL Abril 2010
  5. 5. o que é o OWASP? 5  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário  Todos os membros são voluntários  Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade  Publicações, Artigos, Normas  Software de Testes e de Formação  Chapters Locais & Mailing Lists  Suportada através de patrocínios  Suporte de empresas através de patrocínios financeiros ou de projectos  Patrocínios pessoais por parte dos membros OWASP @ ISCTE-IUL Abril 2010
  6. 6. organização do OWASP 6 OWASP @ ISCTE-IUL Abril 2010
  7. 7. o que é o OWASP? 7  O que oferece?  Publicações  OWASP Top 10  OWASP Guide to Building Secure Web Applications  Software  WebGoat  WebScarab  oLabs Projects  .NET Projects  Chapters Locais  Orientação das comunidades locais OWASP @ ISCTE-IUL Abril 2010
  8. 8. ferramentas e tecnologias OWASP 8 OWASP @ ISCTE-IUL Abril 2010
  9. 9. publicações - OWASP top 10 9  Top 10 Web Application Security Risks/Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base anual  Crescente aceitação pela indústria  Federal Trade Commission (US Gov)  US Defense Information Systems Agency  VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP @ ISCTE-IUL Abril 2010
  10. 10. publicações - OWASP guide 10  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro  Introdução à segurança em geral  Introdução à segurança aplicacional  Discute áreas-chave de implementação  Arquitectura  Autenticação  Gestão de Sessões  Controlo de Acesso e Autorização  Registo de Eventos  Validação de Dados  Em contínuo desenvolvimento OWASP @ ISCTE-IUL Abril 2010
  11. 11. software - OWASP WebGoat 11  WebGoat  Essencialmente é uma aplicação de treino  Oferece  Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional  Uma ferramenta para testar ferramentas de segurança  O que é?  Uma aplicação web J2EE disposta em diversas “Lições de Segurança”  Baseado no Tomcat e no JDK 1.5  Orientada para o ensino  Fácil de usar  Ilustra cenários credíveis  Ensina ataques realistas e soluções viáveis OWASP @ ISCTE-IUL Abril 2010
  12. 12. software - OWASP WebScarab 12  WebScarab  Uma framework para analisar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações  Programador: fazer o debug das trocas entre o cliente e servidor  Analista de Segurança: analisa o tráfego e identifica vulnerabilidades  Ferramenta técnica  Focada em programadores de software  Arquitectura extensível de plug-ins  Open source; de fácil expansão  Poderosa  Obter a ferramenta  http://www.owasp.org/software/webscarab.html OWASP @ ISCTE-IUL Abril 2010
  13. 13. chapters locais da OWASP 13  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP @ ISCTE-IUL Abril 2010
  14. 14. 14 OWASP @ ISCTE-IUL Abril 2010
  15. 15. chapters locais da OWASP 15  O que oferecem?  Reuniões (regulares)  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP @ ISCTE-IUL Abril 2010
  16. 16. chapters locais da OWASP 16  O que oferecem?  Como contribuir?  Através das ML, reuniões e dos grupos de discussão  Os membros são encorajados a levantarem questões  Os membros são encorajados a participar em projectos OWASP  Contribuir para projectos existentes  Propor novos projectos  Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP @ ISCTE-IUL Abril 2010
  17. 17. OWASP Portugal 17  … alguns dados  Membros  47 membros  Web-site  http://www.owasp.org/index.php/Portuguese  Mailling-List  owasp-portuguese@lists.owasp.org  Chapter Leader  Carlos Serrão (carlos.serrao@iscte.pt)  algumas alterações no Futuro OWASP @ ISCTE-IUL Abril 2010
  18. 18. objectivos 18  Participação em alguns dos projectos activos do OWASP (documentação e ferramentas)  Propor o lançamento de novos projectos  Promover a discussão de ideias na nossa lista de correio electrónico  Dinamizar a participação nas nossas reuniões  Organização de conferências  Promover e oferecer suporte à comunidade OWASP em geral, em particular a comunidade portuguesa OWASP @ ISCTE-IUL Abril 2010
  19. 19. actividade 19  2007  Nasce o chapter português  Actividade quase nula  2008  OWASP EU Summit 08  Albufeira, Algarve, Portugal  2009  owasp@IPCB, owasp@IPViseu, owasp@UBI  IBWAS’09, Madrid  2010  owasp@ISCTE-IUL  IBWAS’10, Lisboa OWASP @ ISCTE-IUL Abril 2010
  20. 20. OWASP EU SUMMIT 2008 20  O *maior* evento OWASP de sempre 1 semana, +100 pessoas (de todo o Mundo)  Apresentação de Projectos  Sessões de Trabalho  Formação  + 1 dia de Demo na UAlg OWASP @ ISCTE-IUL Abril 2010
  21. 21. reuniões 21  Objectivos:  Manter um calendário de reuniões periódicas  Realista: 1 reunião/evento a cada 3 ou 4 meses  Promover a missão da OWASP  Promover os projectos, ferramentas e documentação da OWASP  Promover a troca e disseminação livre de informação sobre segurança de informação e segurança de aplicações e sistemas web-based  Promover o lançamento de novas ideias e de novos projectos  Envolver os membros em projectos on-going OWASP @ ISCTE-IUL Abril 2010
  22. 22. reuniões 22  A participação nas reuniões da OWASP Portugal é livre e gratuita  Modelo: aparece e traz um amigo (e ideias para partilhar)  Apresentação sobre um tema  Discussão de uma ideia  Debate de problemas  Lançar iniciativas  Planear actividades OWASP @ ISCTE-IUL Abril 2010
  23. 23. ideias e projectos 23  Reuniões periódicas  Blog/Site oficial da OWASP@PT  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu/  Eventos de disseminação/formação  Conferências  Projectos de tradução de documentação e ferramentas (em conjunto com OWASP Brasil)  Lançamento de novos projectos  Estreitar relações com OWASP Espanha OWASP @ ISCTE-IUL Abril 2010
  24. 24. ideias e projectos 24  Disseminação/Formação  “Evangelizar”  Espalhar a “mensagem” e missão do OWASP  Percorrer Portugal, com enfoque em Instituições de Ensino Superior  Participação em sessões específicas ou integradas em aulas  OWASP Summer School (a pensar no futuro) OWASP @ ISCTE-IUL Abril 2010
  25. 25. ideias e projectos 25  Conferências  Organização de conferências abertas quer à participação da comunidade científica quer à comunidade empresarial  Criar o mix perfeito  Realizado e Planeado  IBWAS’09 – First Iberic Conference on Web-Applications Security  Madrid, Espanha  No final de 2009  IBWAS’10 - Ibero-American Web-Applications Security  Lisboa, Portugal  Inicio de Novembro 2010 OWASP @ ISCTE-IUL Abril 2010
  26. 26. ideias e projectos 26  Tradução  Ferramentas e documentos da OWASP devem chegar à maior audiência possível  A língua não pode ser uma barreira  Traduzir documentos  OWASP Top Ten  OWASP Web Applications Security Assessment  Traduzir ferramentas  Webgoat  Webscarab  Aproveitar o trabalho já iniciado pelo OWASP Brasil OWASP @ ISCTE-IUL Abril 2010
  27. 27. ideias e projectos 27  Novos Projectos  Lançamento de novos projectos inovadores  Apostar em I&D  Estreitar a colaboração com Departamentos de Instituições de Ensino Superior (e não só)  Lançamento e (co-)orientação de  Projectos de Fim de Curso  Projectos de Mestrado e Doutoramento  Captar fundos e incentivos à I&D  FCT  EU  Outros. OWASP @ ISCTE-IUL Abril 2010
  28. 28. para finalizar... 28  … juntem-se a nós.  Participem!  Mailing List  Blog  Reuniões  Eventos  Projectos  Ideias  Informação útil  http://www.owasp.org  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu OWASP @ ISCTE-IUL Abril 2010
  29. 29. OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

×