SlideShare a Scribd company logo

I tool owasp per la sicurezza del software 20110315

Paolo Perego
Paolo Perego

Talk tenuto il 15 Marzo 2011 al Security summit di Milano. Il talk è un talk divulgativo sullo stato dell'arte dei tool Owasp.

Technology
1 of 16
I tool OWASP per la sicurezza del software Paolo Perego OWASP Project Leader OWASP thesp0nge@owasp.prg Security Summit ’11 Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
$ whoami  Senior software engineer  Ruby on Rails, CMS  Freelance && startupper  Ruby on Rails, iOS, web apps, code review & more  pernataleiovorrei.com  nuvola.armoredcode.com  ...  Owasp  R&D director del capitolo italiano  Project leader  http://about.me/thesp0nge OWASP 2
Parleremo un po’ di... Tool per l’offesa webscarab jbrofuzz zap Tool per la difesa Owasp O2 Owasp Orizon Tool per gli sviluppatori webgoat ESAPI OWASP 3
Stato dell’arte dei tool Owasp I project leader hanno un elevato livello come security professional I tool Owasp sono utilizzati in attività reali in tutto il mondo Il bacino dei “contributors” ai progetti è basso. Il gap tra sviluppatori e Owasp non è ancora colmato Developers outreach project https://lists.owasp.org/ mailman/listinfo/developer-outreach OWASP 4
Owasp O2 Piattaforma per l’application security a 360 gradi Code review sfruttando engine esterni  Commerciali (Ounce // Fortify)  Opensource (Code Crawler) Test a runtime sfruttando le potenzialità di scripting Owasp O2 viene programmato in C# Pensato per dare un’interfaccia grafica evoluta a chi effettua test di sicurezza http://www.owasp.org/index.php/ OWASP_O2_Platform OWASP 5
Owasp Webscarab  Tool per l’analisi dinamica di applicazioni web  Funzionalità base  spidering  proxying  analisi dei session id  fuzzing parametri  ... estendibili con plugin  xss / crlf response splitting  analisi soap  ...  http://www.owasp.org/index.php/ Category:OWASP_WebScarab_Project OWASP 6
Owasp Webgoat Palestra per penetration tester Applicazione J2EE vulnerabile “by design” stabile Compendio ideale a Testing guide Building guide Must have anche per gli sviluppatori http://www.owasp.org/index.php/ Category:OWASP_WebGoat_Project OWASP 7
Owasp JBroFuzz Fuzzer: data un’espressione regolare vengono generate delle stringhe pseudo casuali che ne rispettano il pattern Un must have per penetration tester sviluppatori scoprire comportamenti anomali di una certa API a fronte di input non attesi http://www.owasp.org/index.php/JBroFuzz OWASP 8
Owasp Live CD Distribuzione GNU/Linux “live” Contiene materiale Owasp pronto all’uso tool documentazione http://www.owasp.org/index.php/ Category:OWASP_Live_CD_Project OWASP 9
Owasp ZAP Proxy applicativo Utile per esaminare il traffico tra browser e web application passaggio di parametri parametri nascosti metodi di cifratura utilizzati Fork di Paros la versione open di Paros non era più attivamente sviluppata presenta miglioramenti evidenti soprattutto per quello che riguarda la stabilità OWASP 10
Drum roll... OWASP 11
Owasp Orizon  Motore per la code review  Basato su parser generati da antlr  le grammatiche formali dei linguaggi mantenute da esperti in questo campo dell’IT  antlr è lo standard de facto per quello che riguarda i generatori di parser  Quello che al momento funziona  parsing di codice sorgente in Java, PHP, C  crawling  Quello che al momento NON funziona  generazione del modello della web application  ne segue che... la code review di fatto non è affidabile. OWASP 12
Owasp Orizon / II “Si può usare in una code review reale?” - <Nì, usa la versione 1.19 lancia solo il crawling e filtra i molti falsi positivi> Molti ostacoli lungo la via mancanza di tempo mancanza di aiuto Al momento il progetto è fermo da 7 mesi OWASP 13
Owasp Orizon / 2011 - ultima chiamata prima dell’abbandono Ridefinizione degli obiettivi 1 solo linguaggio supportato: Java code review verticale = 2 test di sicurezza  xss  injection fault Nuovo team: abbiamo un nuovo sviluppatore Ultima deadline: 31 Dicembre 2011 Chi vuole aiutare? http://www.owasp.org/index.php/ Category:OWASP_Orizon_Project OWASP 14
Owasp ESAPI  ESAPI = Enterprise Security API  libreria di controlli di sicurezza  disponibile nei principali linguaggi di programmazione (Java, C#, PHP, Ruby, ...)  Un *must have* in ogni vostro progetto software  perché inventare controlli di sicurezza quando Owasp li ha scritti per voi?  Pensato per gli sviluppatori  di immediato utilizzo  poca documentazione da leggere  Uno dei progetti software più importanti e meglio riusciti al momento presente in Owasp  http://www.owasp.org/index.php/ Category:OWASP_Enterprise_Security_API OWASP 15
Owasp ESAPI for Ruby Porting della libreria ESAPI in Ruby Perché Ruby? comunità in forte espansione molte applicazioni web comunemente usate sono in Ruby (tumblr, yellowpages.com, ...) Progetto iniziato a Febbraio 2011 Abbiamo appena rilasciato la versione 0.30 della “gemma” ESAPI [$ gem install owasp-esapi-ruby]  Stima del termine del porting: Autunno/Inverno ’11 http://www.owasp.org/index.php/Projects/ Owasp_Esapi_Ruby OWASP 16

Recommended

Sicurezza Applicatica Dalla Teoria Alla Pratica
Sicurezza Applicatica Dalla Teoria Alla PraticaSicurezza Applicatica Dalla Teoria Alla Pratica
Sicurezza Applicatica Dalla Teoria Alla PraticaPaolo Perego
 
Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...Simone Onofri
 
Cesvip 20110120
Cesvip 20110120Cesvip 20110120
Cesvip 20110120Alessandro Grandi
 
Application Security at DevOps Speed and Portfolio Scale
Application Security at DevOps Speed and Portfolio ScaleApplication Security at DevOps Speed and Portfolio Scale
Application Security at DevOps Speed and Portfolio ScaleJeff Williams
 
Full Stack Cryptography
Full Stack CryptographyFull Stack Cryptography
Full Stack CryptographyPaolo Montrasio
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3Antonio Parata
 

Recommended

Sicurezza Applicatica Dalla Teoria Alla Pratica
Sicurezza Applicatica Dalla Teoria Alla PraticaSicurezza Applicatica Dalla Teoria Alla Pratica
Sicurezza Applicatica Dalla Teoria Alla PraticaPaolo Perego
 
Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...Simone Onofri
 
Cesvip 20110120
Cesvip 20110120Cesvip 20110120
Cesvip 20110120Alessandro Grandi
 
Application Security at DevOps Speed and Portfolio Scale
Application Security at DevOps Speed and Portfolio ScaleApplication Security at DevOps Speed and Portfolio Scale
Application Security at DevOps Speed and Portfolio ScaleJeff Williams
 
Full Stack Cryptography
Full Stack CryptographyFull Stack Cryptography
Full Stack CryptographyPaolo Montrasio
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheLeslie Samuel
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3Antonio Parata
 
Introduzione al java
Introduzione al javaIntroduzione al java
Introduzione al javaGiovanni Pace
 
JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009jampslide
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2016
 
Angular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un frameworkAngular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un frameworkGiovanni Buffa
 
Infosecurity 2008
Infosecurity 2008Infosecurity 2008
Infosecurity 2008Antonio Parata
 
Link. javascript ajax
Link. javascript ajax Link. javascript ajax
Link. javascript ajaxsanti caltabiano
 
Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano] Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano]santi caltabiano
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsMarco Morana
 
Link. php [santi caltabiano]
Link. php [santi caltabiano] Link. php [santi caltabiano]
Link. php [santi caltabiano]santi caltabiano
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Fullone
 
SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)Valerio Radice
 
Linguaggio Java
Linguaggio JavaLinguaggio Java
Linguaggio JavaGSamLo
 
Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5Gabriele Gaggi
 
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformAngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformGabriele Gaggi
 
Netbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHPNetbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHPGiorgio Cefaro
 
Dal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie GoogleDal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie GoogleDiego Giorgini
 
Introduzione DevOps con Ansible
Introduzione DevOps con AnsibleIntroduzione DevOps con Ansible
Introduzione DevOps con AnsibleMatteo Magni
 
Resilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case StudyResilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case StudyGiulio Roggero
 
Php for ASP.NET Developers
Php for ASP.NET DevelopersPhp for ASP.NET Developers
Php for ASP.NET DevelopersEmanuele Bartolesi
 
20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdf20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdfPaolo Perego
 
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLCCosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLCPaolo Perego
 

More Related Content

Similar to I tool owasp per la sicurezza del software 20110315

Introduzione al java
Introduzione al javaIntroduzione al java
Introduzione al javaGiovanni Pace
 
JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009jampslide
 
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2016
 
Angular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un frameworkAngular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un frameworkGiovanni Buffa
 
Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano] Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano]santi caltabiano
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsMarco Morana
 
Link. php [santi caltabiano]
Link. php [santi caltabiano] Link. php [santi caltabiano]
Link. php [santi caltabiano]santi caltabiano
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Fullone
 
SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)Valerio Radice
 
Linguaggio Java
Linguaggio JavaLinguaggio Java
Linguaggio JavaGSamLo
 
Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5Gabriele Gaggi
 
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformAngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformGabriele Gaggi
 
Netbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHPNetbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHPGiorgio Cefaro
 
Dal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie GoogleDal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie GoogleDiego Giorgini
 
Introduzione DevOps con Ansible
Introduzione DevOps con AnsibleIntroduzione DevOps con Ansible
Introduzione DevOps con AnsibleMatteo Magni
 
Resilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case StudyResilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case StudyGiulio Roggero
 

Similar to I tool owasp per la sicurezza del software 20110315 (20)

Introduzione al java
Introduzione al javaIntroduzione al java
Introduzione al java
 
JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009JAMP al barcamp CATANIA 2009
JAMP al barcamp CATANIA 2009
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
 
Angular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un frameworkAngular js o React? Spunti e idee per la scelta di un framework
Angular js o React? Spunti e idee per la scelta di un framework
 
Infosecurity 2008
Infosecurity 2008Infosecurity 2008
Infosecurity 2008
 
Link. javascript ajax
Link. javascript ajax Link. javascript ajax
Link. javascript ajax
 
Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano] Link. java server faces [santi caltabiano]
Link. java server faces [santi caltabiano]
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
 
Link. php [santi caltabiano]
Link. php [santi caltabiano] Link. php [santi caltabiano]
Link. php [santi caltabiano]
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
 
SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)SPRING - MAVEN - REST API (ITA - Luglio 2017)
SPRING - MAVEN - REST API (ITA - Luglio 2017)
 
Linguaggio Java
Linguaggio JavaLinguaggio Java
Linguaggio Java
 
Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5Sviluppo di App cross-platform con Cordova e HTML5
Sviluppo di App cross-platform con Cordova e HTML5
 
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformAngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
 
Netbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHPNetbeans e Xdebug per debugging e profiling di applicazioni PHP
Netbeans e Xdebug per debugging e profiling di applicazioni PHP
 
Dal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie GoogleDal cloud al mobile con tecnologie Google
Dal cloud al mobile con tecnologie Google
 
Introduzione DevOps con Ansible
Introduzione DevOps con AnsibleIntroduzione DevOps con Ansible
Introduzione DevOps con Ansible
 
Resilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case StudyResilient Contracting - Apache Http Server Case Study
Resilient Contracting - Apache Http Server Case Study
 
Php for ASP.NET Developers
Php for ASP.NET DevelopersPhp for ASP.NET Developers
Php for ASP.NET Developers
 

More from Paolo Perego

20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdf20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdfPaolo Perego
 
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLCCosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLCPaolo Perego
 
Put yourself in the #appsec pipeline
Put yourself in the #appsec pipelinePut yourself in the #appsec pipeline
Put yourself in the #appsec pipelinePaolo Perego
 
Picking gem ruby for penetration testers
Picking gem ruby for penetration testersPicking gem ruby for penetration testers
Picking gem ruby for penetration testersPaolo Perego
 
Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)Paolo Perego
 
The Art Of Code Reviewing
The Art Of Code ReviewingThe Art Of Code Reviewing
The Art Of Code ReviewingPaolo Perego
 
Owasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi FiOwasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi FiPaolo Perego
 

More from Paolo Perego (7)

20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdf20220603_pperego_openSUSE conference.pdf
20220603_pperego_openSUSE conference.pdf
 
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLCCosa c'è che non va? - Viaggio verso il nirvana del SSDLC
Cosa c'è che non va? - Viaggio verso il nirvana del SSDLC
 
Put yourself in the #appsec pipeline
Put yourself in the #appsec pipelinePut yourself in the #appsec pipeline
Put yourself in the #appsec pipeline
 
Picking gem ruby for penetration testers
Picking gem ruby for penetration testersPicking gem ruby for penetration testers
Picking gem ruby for penetration testers
 
Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)
 
The Art Of Code Reviewing
The Art Of Code ReviewingThe Art Of Code Reviewing
The Art Of Code Reviewing
 
Owasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi FiOwasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi Fi
 

I tool owasp per la sicurezza del software 20110315

  • 1. I tool OWASP per la sicurezza del software Paolo Perego OWASP Project Leader OWASP thesp0nge@owasp.prg Security Summit ’11 Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. $ whoami  Senior software engineer  Ruby on Rails, CMS  Freelance && startupper  Ruby on Rails, iOS, web apps, code review & more  pernataleiovorrei.com  nuvola.armoredcode.com  ...  Owasp  R&D director del capitolo italiano  Project leader  http://about.me/thesp0nge OWASP 2
  • 3. Parleremo un po’ di... Tool per l’offesa webscarab jbrofuzz zap Tool per la difesa Owasp O2 Owasp Orizon Tool per gli sviluppatori webgoat ESAPI OWASP 3
  • 4. Stato dell’arte dei tool Owasp I project leader hanno un elevato livello come security professional I tool Owasp sono utilizzati in attività reali in tutto il mondo Il bacino dei “contributors” ai progetti è basso. Il gap tra sviluppatori e Owasp non è ancora colmato Developers outreach project https://lists.owasp.org/ mailman/listinfo/developer-outreach OWASP 4
  • 5. Owasp O2 Piattaforma per l’application security a 360 gradi Code review sfruttando engine esterni  Commerciali (Ounce // Fortify)  Opensource (Code Crawler) Test a runtime sfruttando le potenzialità di scripting Owasp O2 viene programmato in C# Pensato per dare un’interfaccia grafica evoluta a chi effettua test di sicurezza http://www.owasp.org/index.php/ OWASP_O2_Platform OWASP 5
  • 6. Owasp Webscarab  Tool per l’analisi dinamica di applicazioni web  Funzionalità base  spidering  proxying  analisi dei session id  fuzzing parametri  ... estendibili con plugin  xss / crlf response splitting  analisi soap  ...  http://www.owasp.org/index.php/ Category:OWASP_WebScarab_Project OWASP 6
  • 7. Owasp Webgoat Palestra per penetration tester Applicazione J2EE vulnerabile “by design” stabile Compendio ideale a Testing guide Building guide Must have anche per gli sviluppatori http://www.owasp.org/index.php/ Category:OWASP_WebGoat_Project OWASP 7
  • 8. Owasp JBroFuzz Fuzzer: data un’espressione regolare vengono generate delle stringhe pseudo casuali che ne rispettano il pattern Un must have per penetration tester sviluppatori scoprire comportamenti anomali di una certa API a fronte di input non attesi http://www.owasp.org/index.php/JBroFuzz OWASP 8
  • 9. Owasp Live CD Distribuzione GNU/Linux “live” Contiene materiale Owasp pronto all’uso tool documentazione http://www.owasp.org/index.php/ Category:OWASP_Live_CD_Project OWASP 9
  • 10. Owasp ZAP Proxy applicativo Utile per esaminare il traffico tra browser e web application passaggio di parametri parametri nascosti metodi di cifratura utilizzati Fork di Paros la versione open di Paros non era più attivamente sviluppata presenta miglioramenti evidenti soprattutto per quello che riguarda la stabilità OWASP 10
  • 11. Drum roll... OWASP 11
  • 12. Owasp Orizon  Motore per la code review  Basato su parser generati da antlr  le grammatiche formali dei linguaggi mantenute da esperti in questo campo dell’IT  antlr è lo standard de facto per quello che riguarda i generatori di parser  Quello che al momento funziona  parsing di codice sorgente in Java, PHP, C  crawling  Quello che al momento NON funziona  generazione del modello della web application  ne segue che... la code review di fatto non è affidabile. OWASP 12
  • 13. Owasp Orizon / II “Si può usare in una code review reale?” - <Nì, usa la versione 1.19 lancia solo il crawling e filtra i molti falsi positivi> Molti ostacoli lungo la via mancanza di tempo mancanza di aiuto Al momento il progetto è fermo da 7 mesi OWASP 13
  • 14. Owasp Orizon / 2011 - ultima chiamata prima dell’abbandono Ridefinizione degli obiettivi 1 solo linguaggio supportato: Java code review verticale = 2 test di sicurezza  xss  injection fault Nuovo team: abbiamo un nuovo sviluppatore Ultima deadline: 31 Dicembre 2011 Chi vuole aiutare? http://www.owasp.org/index.php/ Category:OWASP_Orizon_Project OWASP 14
  • 15. Owasp ESAPI  ESAPI = Enterprise Security API  libreria di controlli di sicurezza  disponibile nei principali linguaggi di programmazione (Java, C#, PHP, Ruby, ...)  Un *must have* in ogni vostro progetto software  perché inventare controlli di sicurezza quando Owasp li ha scritti per voi?  Pensato per gli sviluppatori  di immediato utilizzo  poca documentazione da leggere  Uno dei progetti software più importanti e meglio riusciti al momento presente in Owasp  http://www.owasp.org/index.php/ Category:OWASP_Enterprise_Security_API OWASP 15
  • 16. Owasp ESAPI for Ruby Porting della libreria ESAPI in Ruby Perché Ruby? comunità in forte espansione molte applicazioni web comunemente usate sono in Ruby (tumblr, yellowpages.com, ...) Progetto iniziato a Febbraio 2011 Abbiamo appena rilasciato la versione 0.30 della “gemma” ESAPI [$ gem install owasp-esapi-ruby]  Stima del termine del porting: Autunno/Inverno ’11 http://www.owasp.org/index.php/Projects/ Owasp_Esapi_Ruby OWASP 16

Editor's Notes

  1. \n
  2. \n
  3. \n
  4. \n
  5. \n
  6. \n
  7. \n
  8. \n
  9. \n
  10. \n
  11. \n
  12. \n
  13. \n
  14. \n
  15. \n
  16. \n