Fragment prezentacji firmy YetiForce dotyczącej OWASP ASVS 3.1 EA a w szczególności punktu pierwszego "1: Architektura, projektowanie i modelowanie zagrożeń".
Bezpieczeństwo to jeden z priorytetów, które trzeba wziąć pod uwagę podczas tworzenia aplikacji. OWASP ASVS to odkładnie wytyczone standardy bezpieczeństwa wytyczone dla każdego programu, nie tylko open source.
Jak powinna wyglądać architektura, projektowanie i modelowanie zagrożeń?
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
Dokument przedstawiający wymagania w zakresie testów oprogramowania, zgodnych z opublikowaną przez KNF "Rekomendacją D" dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
Rekomendacja D KNF, w punkcie 7 narzuca nowe regulacje dotyczące uwzględnienia bezpieczeństwa w całym cyklu rozwojowym systemów IT w bankach. Prezentacja ma na celu omówienie tych regulacji oraz propozycję prostych zmian zmierzających do spełnienia wymogów KNF w tym zakresie.
Fragment prezentacji firmy YetiForce dotyczącej OWASP ASVS 3.1 EA a w szczególności punktu pierwszego "1: Architektura, projektowanie i modelowanie zagrożeń".
Bezpieczeństwo to jeden z priorytetów, które trzeba wziąć pod uwagę podczas tworzenia aplikacji. OWASP ASVS to odkładnie wytyczone standardy bezpieczeństwa wytyczone dla każdego programu, nie tylko open source.
Jak powinna wyglądać architektura, projektowanie i modelowanie zagrożeń?
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
Dokument przedstawiający wymagania w zakresie testów oprogramowania, zgodnych z opublikowaną przez KNF "Rekomendacją D" dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
Rekomendacja D KNF, w punkcie 7 narzuca nowe regulacje dotyczące uwzględnienia bezpieczeństwa w całym cyklu rozwojowym systemów IT w bankach. Prezentacja ma na celu omówienie tych regulacji oraz propozycję prostych zmian zmierzających do spełnienia wymogów KNF w tym zakresie.
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych).
Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
Prezentacja z konferencji SECURE 2012 (Warszawa, 22-24.10.2012)
Aplikacje to prawdziwa pięta achillesowa współczesnych systemów IT. Zarówno własne doświadczenia jak i dostępne opracowania wskazują, że w większości aplikacji, niezależnie od stosowanej technologii, można znaleźć poważne podatności. Na domiar złego – zewnętrzne zabezpieczenia (firewalle, IPS, WAF, itp.) mają ograniczoną skuteczność dla ochrony aplikacji. Ciągle, najlepszą metodą radzenia sobie z ewentualnymi podatnościami w eksploatowanych aplikacjach jest unikanie ryzyka, czyli wytwarzanie, bądź zamawianie oprogramowania, które nie posiada istotnych błędów bezpieczeństwa. Ale czy jest to możliwe w praktyce?
Agenda:
- Wprowadzenie do problemu
- Kilka ciekawych przykładów
- Krótko o nowych źródłach ryzyka (AJAX, HTML5, aplikacje mobilne, NFC, ...)
- Przyczyny powstawania podatności we współczesnych aplikacjach.
- Jak postępować w trakcie tworzenia lub zamawiania aplikacji, żeby ograniczyć możliwość powstania istotnych błędów?
W szczególności krótko zostaną zaprezentowane ogólnodostępne narzędzia i dokumenty OWASP pomagające zbudować bezpieczne aplikacje (np.: ASVS - Application Security Verification Standard, OpenSAMM - Security Assurance Maturity Model, OWASP Cheat Sheets).
Poznaj usługi z zakresu ochrony informacji organizacji oraz bezpieczeństwa i efektywnej pracy zdalnej. Microsoft Azure, Enterprise Mobility + Security, Operation Management Suite
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programistyPROIDEA
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Jest to lista kontrolna do weryfikacji bezpieczeństwa aplikacji ale można ją też zastosować jako listę dobrych praktyk przy projektowaniu, wytwarzaniu i testach wewnętrznych.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
W trakcie swojej prezentacji poruszę problematykę utrzymania bezpieczeństwa aplikacji po wdrożeniu produkcyjnym z perspektywy dostawcy aplikacji. Na przykładowych aplikacjach (platforma SaaS, aplikacja tworzona zwinnie, aplikacja tworzona w waterfall) pokażę wyzwania z tym związane, w odniesieniu do konkretnej aplikacji oraz realiów, w jakich funkcjonuje. Wspólnie z uczestnikami przeanalizujemy możliwe mechanizmy mające na celu utrzymanie bezpieczeństwa aplikacji. Zastanowimy się nad optymalnym ich doborem oraz momentem, w którym warto z nich skorzystać, uwzględniając również koszt wykorzystania danego mechanizmu. Przyjrzymy się mechanizmom takim jak: • testy penetracyjne • konsultacje/szkolenia • definiowanie wymagań dotyczących bezpieczeństwa aplikacji • obsługa incydentów • narzędzia automatyczne • monitorowanie podatności w wykorzystywanych komponentach Postaramy się również wypracować odpowiedzi na poniższe pytania: • Co można zrobić wewnętrznie? • Jakie prace zlecić? • Jakich kompetencji poszukać? • Jak dobrać szkolenia? • Jakiego typu narzędzi poszukać? Chciałbym dać uczestnikom proste recepty na to, jak zadbać o utrzymanie bezpieczeństwa aplikacji, z którymi pracują.
Agenda:
Testowanie mobilnego oprogramowania,
Symulowanie środowiska,
Dostępne narzędzia,
Sikuli X,
Przykład skryptu automatycznego dla systemu Android.
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
Azure oferuje wiele platform na których możesz uruchomić swoją aplikację. Każda ma swoje zalety i wady. Zrobiłem przegląd tych platform dla Ciebie. W prezentacji wyrażam swoją prywatną opinię.
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
Prezentacja z konferencji SEMAFOR 2014.
Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co za tym idzie sprowadzenie porównywanych ofert na testy weryfikacyjne do wspólnego mianownika.
Warto również podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji.
Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazuje się nowa aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Flopsar APM Diagnostyka i monitoring aplikacji Java performance analysis debugging aplikacji, problemy aplikacji w produkcji proces wytwarzania oprogramowania skalowanie oprogramowania
Cometari Dedicated Solutions jest firmą technologiczną zlokalizowaną w Krakowie. Posiadamy wiedzę i kompetencje w zakresie projektowania, produkcji i utrzymania
złożonych systemów informatycznych. Nasi inżynierowie posiadają wieloletnie doświadczenie branżowe dzięki czemu do każdego tematu podchodzimy indywidualnie. Kładziemy nacisk na szybkość komunikacji z klientem oraz jakość wytwarzanych rozwiązań. Specjalizujemy się w produkcji zaawansowanych systemów serwerowych jak również lekkich rozwiązań webowych oraz mobilnych. Jeśli potrzebujesz rzetelnego partnera technologicznego jesteśmy do dyspozycji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
- The document discusses differences between security in web applications versus decentralized applications (dApps).
- For dApps, the code is public and functions are public by default, unlike web apps where access is restricted. This makes randomness and access control more challenging for dApps.
- New threat actors for dApps include miners/validators who validate transactions and add new blocks. Loops also pose more of a denial of service risk for dApps if unbounded.
- Standards and best practices are emerging for dApp security like the Smart Contract Security Verification Standard (SCSVS) to help address vulnerabilities.
This document discusses using threat modeling at scale in agile development to improve security. It proposes identifying security requirements and test cases for each user story by considering potential "abuser stories". This would involve breaking down high-level user stories, assigning security champions to identify abuser stories, and having the security team maintain base threat models and own testing. Examples of threat modeling user stories around password resets and money withdrawals are provided. The goal is to shift security left in the SDLC by introducing it earlier through systematic threat modeling of user stories.
More Related Content
Similar to [Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych).
Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
Prezentacja z konferencji SECURE 2012 (Warszawa, 22-24.10.2012)
Aplikacje to prawdziwa pięta achillesowa współczesnych systemów IT. Zarówno własne doświadczenia jak i dostępne opracowania wskazują, że w większości aplikacji, niezależnie od stosowanej technologii, można znaleźć poważne podatności. Na domiar złego – zewnętrzne zabezpieczenia (firewalle, IPS, WAF, itp.) mają ograniczoną skuteczność dla ochrony aplikacji. Ciągle, najlepszą metodą radzenia sobie z ewentualnymi podatnościami w eksploatowanych aplikacjach jest unikanie ryzyka, czyli wytwarzanie, bądź zamawianie oprogramowania, które nie posiada istotnych błędów bezpieczeństwa. Ale czy jest to możliwe w praktyce?
Agenda:
- Wprowadzenie do problemu
- Kilka ciekawych przykładów
- Krótko o nowych źródłach ryzyka (AJAX, HTML5, aplikacje mobilne, NFC, ...)
- Przyczyny powstawania podatności we współczesnych aplikacjach.
- Jak postępować w trakcie tworzenia lub zamawiania aplikacji, żeby ograniczyć możliwość powstania istotnych błędów?
W szczególności krótko zostaną zaprezentowane ogólnodostępne narzędzia i dokumenty OWASP pomagające zbudować bezpieczne aplikacje (np.: ASVS - Application Security Verification Standard, OpenSAMM - Security Assurance Maturity Model, OWASP Cheat Sheets).
Poznaj usługi z zakresu ochrony informacji organizacji oraz bezpieczeństwa i efektywnej pracy zdalnej. Microsoft Azure, Enterprise Mobility + Security, Operation Management Suite
[4developers] OWASP ASVS - ściągawka z bezpieczeństwa dla programistyPROIDEA
OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Jest to lista kontrolna do weryfikacji bezpieczeństwa aplikacji ale można ją też zastosować jako listę dobrych praktyk przy projektowaniu, wytwarzaniu i testach wewnętrznych.
Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
W trakcie swojej prezentacji poruszę problematykę utrzymania bezpieczeństwa aplikacji po wdrożeniu produkcyjnym z perspektywy dostawcy aplikacji. Na przykładowych aplikacjach (platforma SaaS, aplikacja tworzona zwinnie, aplikacja tworzona w waterfall) pokażę wyzwania z tym związane, w odniesieniu do konkretnej aplikacji oraz realiów, w jakich funkcjonuje. Wspólnie z uczestnikami przeanalizujemy możliwe mechanizmy mające na celu utrzymanie bezpieczeństwa aplikacji. Zastanowimy się nad optymalnym ich doborem oraz momentem, w którym warto z nich skorzystać, uwzględniając również koszt wykorzystania danego mechanizmu. Przyjrzymy się mechanizmom takim jak: • testy penetracyjne • konsultacje/szkolenia • definiowanie wymagań dotyczących bezpieczeństwa aplikacji • obsługa incydentów • narzędzia automatyczne • monitorowanie podatności w wykorzystywanych komponentach Postaramy się również wypracować odpowiedzi na poniższe pytania: • Co można zrobić wewnętrznie? • Jakie prace zlecić? • Jakich kompetencji poszukać? • Jak dobrać szkolenia? • Jakiego typu narzędzi poszukać? Chciałbym dać uczestnikom proste recepty na to, jak zadbać o utrzymanie bezpieczeństwa aplikacji, z którymi pracują.
Agenda:
Testowanie mobilnego oprogramowania,
Symulowanie środowiska,
Dostępne narzędzia,
Sikuli X,
Przykład skryptu automatycznego dla systemu Android.
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
Azure oferuje wiele platform na których możesz uruchomić swoją aplikację. Każda ma swoje zalety i wady. Zrobiłem przegląd tych platform dla Ciebie. W prezentacji wyrażam swoją prywatną opinię.
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
Prezentacja z konferencji SEMAFOR 2014.
Prezentacja ma na celu przedstawienie standardu weryfikacji bezpieczeństwa aplikacji ASVS (Application Security Verification Standard). Standard ten można stosować już na etapie definiowania wymagań w celu ustalenia wymagań dotyczących zabezpieczeń (również niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co za tym idzie sprowadzenie porównywanych ofert na testy weryfikacyjne do wspólnego mianownika.
Warto również podkreślić, że ASVS ma formę listy kontrolnej podzielonej na poziomy w zależności od ryzyka, w związku z tym zakres weryfikacji może być dobrany adekwatnie do specyfiki aplikacji.
Standard ten został stworzony w roku 2009 roku w ramach projektu OWASP (Open Web Application Security Project) i został przetłumaczony na kilkanaście języków, w tym polski. W tym roku ukazuje się nowa aktualizacja standardu ASVS i na tej nowej wersji będzie skupiona prezentacja.
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
The central server farm, called reverse proxy shall be the internet exchange point of every extensive cloud infrastructure. However it seems that configuration of such critical systems in a correct and safe way is strongly complex. It is time-consuming and requires great experience and focus to setup the following aspects: proxy/load balancing/clustering, HTTPS, access control, event logging mechanisms, WAF or platform hardening. We cannot deny that every single detail of such configuration is crucial and meaningful. Moreover, maintenance and development of Web Gateway type scalable infrastructure, composed of dozen/few dozen nods, is a big challenge for us.
In this presentation, containing live demonstration, I will present you the concept of reverse proxy automated management, especially in terms of safety, with a use of Puppet open source supported platform and modsecurity as an open source Web Application Firewall. The main goal of my presentation is to show the idea of open, scalable cloud infrastructure, including general safety standards, as well as compliance with aspects described in the OWASP documents: Top Ten, Testing Guide, ASVS. And above all, I will show you how to eliminate those threats, before they are detected as a web application attack.
Leszek Miś - IT Security Architect at Linux Polska sp. z o.o. WALLF Web Gateway Project Leader. Linux/Network Security Expert with an offensive approach to web application security. For over 10 years professionally engaged and privately fascinated with open source solutions, with special focus on IT (in) security. Red Hat skilled trainer and examiner, holder of RHCA/RHCSS/RHCE. Experienced author of several IT Security courses (Hardening, SELinux, ModSecurity).
Flopsar APM Diagnostyka i monitoring aplikacji Java performance analysis debugging aplikacji, problemy aplikacji w produkcji proces wytwarzania oprogramowania skalowanie oprogramowania
Cometari Dedicated Solutions jest firmą technologiczną zlokalizowaną w Krakowie. Posiadamy wiedzę i kompetencje w zakresie projektowania, produkcji i utrzymania
złożonych systemów informatycznych. Nasi inżynierowie posiadają wieloletnie doświadczenie branżowe dzięki czemu do każdego tematu podchodzimy indywidualnie. Kładziemy nacisk na szybkość komunikacji z klientem oraz jakość wytwarzanych rozwiązań. Specjalizujemy się w produkcji zaawansowanych systemów serwerowych jak również lekkich rozwiązań webowych oraz mobilnych. Jeśli potrzebujesz rzetelnego partnera technologicznego jesteśmy do dyspozycji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Similar to [Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce (20)
- The document discusses differences between security in web applications versus decentralized applications (dApps).
- For dApps, the code is public and functions are public by default, unlike web apps where access is restricted. This makes randomness and access control more challenging for dApps.
- New threat actors for dApps include miners/validators who validate transactions and add new blocks. Loops also pose more of a denial of service risk for dApps if unbounded.
- Standards and best practices are emerging for dApp security like the Smart Contract Security Verification Standard (SCSVS) to help address vulnerabilities.
This document discusses using threat modeling at scale in agile development to improve security. It proposes identifying security requirements and test cases for each user story by considering potential "abuser stories". This would involve breaking down high-level user stories, assigning security champions to identify abuser stories, and having the security team maintain base threat models and own testing. Examples of threat modeling user stories around password resets and money withdrawals are provided. The goal is to shift security left in the SDLC by introducing it earlier through systematic threat modeling of user stories.
1. The document discusses life after penetration testing from the perspective of an application security engineer. It outlines the typical process of addressing vulnerabilities found during a pen test or other security reviews.
2. This process includes validating the vulnerability, recalculating the risk level, determining a fix timeline, and revalidating once complete. Additional factors like business impact are considered when establishing priority.
3. Common mistakes made when addressing vulnerabilities are also examined, such as insecure quick fixes that do not fully resolve the issue. The importance of clear communication between security and development teams is emphasized.
The document discusses security best practices for .NET Core applications. It covers topics like common mistakes made when using .NET Core like security misconfiguration, SQL injection, and insecure deserialization. It also outlines security risks with .NET Core like validation problems and information disclosure. Additionally, it recommends security practices like input validation, output encoding, using security headers, and avoiding direct object references.
This document discusses the evolution from on-premise data centers to cloud computing and cloud-native applications. It covers some of the key benefits of moving to the cloud like improved operations, pay-as-you-go infrastructure, and elasticity. However, it also notes that the cloud brings new security challenges as permissions in the cloud define the attack surface. The document discusses how workloads and applications have evolved from monolithic to microservices and containers, and how a service mesh can help secure east-west traffic in Kubernetes environments. It also covers emerging threats like automated attacks, cloud infrastructure abuse, and the need for advanced machine learning for threat detection.
[OPD 2019] Governance as a missing part of IT security architectureOWASP
The document discusses how governance is a missing part of IT security architecture. It proposes that security architecture should include technology, processes, and organization/people, similar to how Gartner describes the components of overall IT architecture. It presents capabilities maturity models and the secure development lifecycle as ways to incorporate governance into the design, development, testing, and operations of technology to ensure security is considered throughout the IT process.
This document summarizes tools for auditing and securing AWS infrastructure:
Cloudmapper visualizes AWS infrastructure and finds misconfigurations using commands like "audit" and "collect". Scout Suite provides detailed reports on individual AWS services' security. CloudTrail monitors API calls but requires processing logs. GuardDuty detects threats in real-time but is expensive. Together these tools can monitor for issues, but real-time response still requires manual incident response.
[OPD 2019] Side-Channels on the Web: Attacks and DefensesOWASP
The document discusses side-channel attacks on the web that exploit unintended information leakage across origins. It describes various side-channel attacks like cross-site timing attacks, response size inference attacks, and quota management attacks. It also discusses defenses deployed by browsers like same-site cookies, cross-origin read blocking, and cache partitioning to prevent such attacks by limiting unintended information leakage across origins.
[OPD 2019] AST Platform and the importance of multi-layered application secu...OWASP
This document discusses the importance of multi-layered application security testing and summarizes several application security testing techniques. It introduces static application security testing (SAST), interactive application security testing (IAST), software composition analysis (SCA), and dynamic application security testing (DAST). For each technique, it provides a brief description and highlights of their advantages and disadvantages. It emphasizes that using multiple techniques together can provide more comprehensive security testing than any single technique alone.
This document discusses hunting for vulnerabilities across interconnected applications. It describes two cases where the author found multiple vulnerabilities by exploring dependencies between applications. In the first case, they discovered vulnerabilities by interacting with a desktop application and related web applications from the same company, finding 5 vulnerabilities including XSS issues and information disclosures. In the second case, they used a single sign-on system across multiple applications to introduce persistent XSS vulnerabilities. The document advocates considering how applications integrate and interact to uncover "inter-application vulnerabilities" that may not be found through isolated testing.
[OPD 2019] Automated Defense with Serverless computingOWASP
This document discusses serverless computing and how it can be used for automated defense. It defines serverless computing as a cloud execution model where the cloud provider manages resources dynamically based on the amount used by an application. Serverless platforms allow event-driven code without servers through Function as a Service (FaaS) and Backend as a Service (BaaS). Popular serverless platforms are provided by AWS Lambda, Google Cloud Functions, Microsoft Azure Functions, and others. Serverless applications have event sources, code functions, and downstream resources. The document provides examples of using serverless for automated defense through integrating AWS services like CloudTrail, Inspector, and blocking IP addresses.
The document summarizes an OWASP Poland Day event focused on the RegSOC cybersecurity project. The event included short introductions to the RegSOC project and its goals of establishing regional cybersecurity centers. It also covered two technical topics: anomaly detection using machine learning algorithms to identify network threats, and advanced text analysis of cybersecurity-related data from sources like social media, news sites and abuse reports. The document outlines the RegSOC approach to these techniques and provides updates on research progress. It concludes by discussing next steps for the project's architecture, testing and implementation plan.
- JWT tokens can be attacked by exploiting vulnerabilities in how they are validated and used. Common attacks include modifying token properties like the signing algorithm, injection of header parameters like kid and x5u, and cracking weak HS256 keys.
- Tools like jwtbrute and libraries that don't properly validate tokens can aid exploitation. Attackers aim to have their tampered tokens treated as authentic by compromising validation processes.
- Developers must carefully validate all token properties, use strong signing keys, and avoid deserialization that doesn't verify signatures to prevent exploitation of JWT tokens.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive function. Exercise causes chemical changes in the brain that may help protect against developing mental illness and improve symptoms for those who already suffer from conditions like anxiety and depression.
[OPD 2019] Trusted types and the end of DOM XSSOWASP
Trusted Types is a new web platform feature that aims to prevent DOM-based cross-site scripting (DOM XSS) vulnerabilities. It does so by introducing a strong typing system for values assigned to risky DOM sinks, requiring developers to use dedicated object types like TrustedHTML instead of untrusted strings. Content Security Policies can then enforce these types, validating input and rejecting unsafe values. The goal is to isolate security-sensitive code and reduce the attack surface for DOM XSS bugs, while still allowing flexibility through custom validation rules and policies. The feature is currently being developed collaboratively between browser vendors and is available as a polyfill for early testing.
[Wroclaw #9] The purge - dealing with secrets in Opera SoftwareOWASP
This document discusses Opera Software's process for preventing secrets and sensitive information from being committed to code repositories. It describes the problem of secrets in codebases, various tools for identifying and managing secrets like HashiCorp Vault and detect-secrets, and Opera's implementation which uses Vault for secret storage and detect-secrets for identifying secrets in code. The process involves creating a secrets baseline, enabling detect-secrets hooks to prevent pushes with new secrets, auditing the codebase history, and updating the baseline over time.
[Wroclaw #9] To be or Not To Be - Threat Modeling in Security WorldOWASP
The document discusses threat modeling and provides 10 hints for making threat modeling practical and valuable for project teams. The hints include realizing who the audience is, making threat modeling fun, showing the value it provides, understanding different points of view, allowing choices in the approach, asking questions and listening, using it in different ways such as red team/blue team, taking on a watchmaker mindset, constantly improving the process, and finding the right balance between proactive and passive approaches.
OWASP Poland 13 November 2018 - Martin Knobloch - Building Secure SoftwareOWASP
Presentation of OWASP Global Chairman of the Board - Martin Knobloch at OWASP Poland meeting in Warsaw on 13 November 2018. Great review of important OWASP Projects.
OWASP Poland Day 2018 - Amir Shladovsky - Crypto-miningOWASP
This document discusses how crypto-mining malware has become a popular payload for remote code execution (RCE) attacks. It describes how RCE vulnerabilities allow attackers to install crypto-mining software that uses the victim's computing resources to generate cryptocurrency profits without their consent. Specifically, it outlines the evolution of a crypto-mining malware called CryptoM that uses evasion techniques to infect systems and spread. The document warns that nearly 90% of RCE attacks now contain crypto-mining malware payloads and provides recommendations on how to mitigate these threats through monitoring, securing systems, and patching vulnerabilities.
3. Czym jest OWASP
OWASP jest to internetowa organizacja, która
skupia wokół siebie otwartą społeczność tworzącą
bezstronne, praktyczne i opłacalne narzędzia oraz
informacje na temat bezpieczeństwa aplikacji.
Projekt istnieje od 2001 roku, a w 2004 powstała
charytatywna fundacja działająca na terenie USA.
4. Czym jest OWASP ASVS
ASVS (Application Security Verification Standard)
Standard Weryfikacji Bezpieczeństwa Aplikacji jest
to lista wymagań jakie powinno się stawiać
aplikacjom aby podwyższyć ich poziom
bezpieczeństwa oraz jest to lista testów, jakie
należy zrealizować, aby sprawdzić rzeczywisty
poziom bezpieczeństwa danej aplikacji.
5. Poziomy OWASP ASVS
Poziom 1
Poziom 2
Poziom 3
Poziom 0
Pobieżny - poziom bezpieczeństwa został zweryfikowany
pośpiesznie a podejście do zakresu jest dość elastyczne i w każdej
organizacji może się znacząco różnić. Poziom ten nie został ujęty w
OWASP ASVS.
Oportunistyczny - poziom bezpieczeństwa, który zapewnia ochronę
przed standardowymi atakami, które są łatwe do wykrycia i można
je znaleźć na różnych listach np.: OWASP TOP 10.
Standardowy - poziom bezpieczeństwa, zalecany dla każdej
aplikacji, która przetwarza istotne transakcje biznesowe. Poziom ten
oznacza, że mechanizmy bezpieczeństwa są wdrożone oraz są
skuteczne.
Zaawansowany - poziom bezpieczeństwa zalecany dla aplikacji,
które realizują funkcje krytyczne, w przypadkach, gdy awaria może
mieć znaczący wpływ na działalność organizacji, a nawet na jej
6. ASVS - Testowanie i
weryfikacja
Poziom 3
Na poziomie najwyższym,
powinno się mieć dostęp do
konfiguracji systemu,
architektury rozwiązania
pomiędzy użytkownikiem a
aplikacją oraz szczegółowej
dokumentacji
uwzględniającej
modelowanie zagrożeń.
3
Poziom 2
Wymaga, aby osoby
wykonujące testy i
weryfikujące poziom
bezpieczeństwa, miały
dostęp do programistów
aplikacji, dokumentacji,
kodu źródłowego oraz
bezpośredniego dostępu do
aplikacji do każdej z ról.
2
Poziom 1
Do weryfikacji można użyć
narzędzi automatycznych
bez wykonywania testów
manualnych i bez dostępu
do kodu źródłowego.
1
7. ASVS 3.1 - Pełen zakres
1: Architektura, projektowanie i modelowanie zagrożeń
2: Weryfikacja Wymagań Autoryzacji
3: Weryfikacja Wymagań Zarządzania Sesją
4: Weryfikacja Kontroli dostępu
5: Weryfikacja Obsługi Złośliwych Danych Wejściowych
7: Kryptografia
8: Weryfikacja Obsługi i Rejestrowania Błędów
9: Weryfikacja Ochrony Danych
10: Weryfikacja Komunikacji
13: Złośliwy Kod
15: Weryfikacja Logiki Biznesowej
16: Weryfikacja plików i zasobów
17: Weryfikacja wersji mobilnej
18: API
19: Weryfikacja Konfiguracji
20: Wymagania weryfikacji Internetu Rzeczy
8. ASVS 3.1 - Słownik
Pierwszy problem z jakim należy
się uporać, to wieloznaczność
słów.
10. OWASP ASVS 3.1 - Poziomy
Na poziomie 1
Elementy aplikacji są
zidentyfikowane i mają rację
bytu w aplikacji
Na poziomie 3
Architektura i design są
gotowe, używane, i
efektywne
Na poziomie 2
Architektura jest
zdefiniowana, a kod jest
zgodny z architekturą
03
01 02
11. ASVS 3.1 - 1: Architektura, projektowanie i
modelowanie zagrożeń
1.1: Upewnij się, że wszystkie elementy aplikacji są zidentyfikowane i konieczne.
1.2: Kontrola bezpieczeństwa nigdy nie jest egzekwowana tylko po stronie klienta, ale na odpowiednich zdalnych
punktach końcowych.
1.3: Architektura wysokiego poziomu dla aplikacji i wszystkich połączonych usług zdalnych została zdefiniowana,
a bezpieczeństwo zostało rozwiązane w tej architekturze.
1.4: Dane uważane za poufne w kontekście aplikacji są jasno określone.
1.5: Wszystkie składniki aplikacji są definiowane pod względem funkcji biznesowych i / lub funkcji
bezpieczeństwa, które zapewniają.
1.6: Opracowano model zagrożenia dla aplikacji i powiązanych usług zdalnych, który identyfikuje potencjalne
zagrożenia i środki zapobiegawcze.
1.7: Wszystkie kontrole bezpieczeństwa mają scentralizowaną implementację.
1.8: Upewnij się, że elementy są oddzielone od siebie za pomocą określonej kontroli bezpieczeństwa, np
segmentacji sieci, reguł zapory lub grup zabezpieczeń opartych na chmurze.
1.9: Istnieje mechanizm wymuszania aktualizacji aplikacji.
1.10: Bezpieczeństwo jest adresowane we wszystkich częściach cyklu rozwoju oprogramowania.
1.11: Wszystkie komponenty aplikacji, biblioteki, moduły, frameworki, platformy i systemy operacyjne są wolne od
znanych luk bezpieczeństwa.
1.12: Istnieją wyraźne zasady dotyczące zarządzania kluczami kryptograficznymi (jeśli istnieją) i egzekwowaniem
cyklu życia kluczy kryptograficznych. Najlepiej postępuj zgodnie ze standardami
zarządzania kluczami, takimi jak NIST SP 800-57.
12. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.1: Upewnij się, że wszystkie elementy aplikacji są zidentyfikowane i
konieczne.
Architektura i design są gotowe,
używane, i efektywne03
● Identyfikacja wszystkich ekranów[??]
● Stworzenie tablicy [macierzy] łączącej ekrany z
elementami aplikacji.
● Czy potrzebna jest tablica [macierz] elementów
aplikacji na kod [konkretne foldery/pliki] [??]
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Przełożenie zidentyfikowanych elementów
bezpośrednio do narzędzia służącego do
modelowania
● Weryfikacja kodu pod względem zgodności z
architekturą.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Stworzenie pełnej listy elementów aplikacji i ich
opisanie.
● Opisanie każdego elementu biznesowo [cel,
zastosowanie, powiązanie z innymi elementami]
13. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.2: Kontrola bezpieczeństwa nigdy nie jest egzekwowana tylko po
stronie klienta, ale na odpowiednich zdalnych punktach końcowych.
Architektura i design są gotowe,
używane, i efektywne03
● Stworzenie tablicy w której mapujemy ekrany na
sposoby kontroli dla każdego z ekranów.
● Weryfikacja, czy wstępnie dla każdego ekranu
kontrola jest poprawna [??]
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Przełożenie zidentyfikowanych miejsc w których
otrzymujemy dane od klienta do narzędzia służącego
do modelowania systemu.
● Dodanie sposobów kontroli bezpieczeństwa, dla
każdego z tych miejsc i stworzenie wspólnej tablicy
[matrix]
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Opisanie elementów w których następuje
przekazywanie danych przez klienta.
● Opisanie sposobu kontroli danych dla każdego
miejsca w którym przyjmuje się dane - weryfikacja,
czy w każdym miejscu następuje na pewno
weryfikacja danych po stronie aplikacji.
14. OWASP ASVS 3.1 [Interpretacja YetiForce]
1. 3 Architektura wysokiego poziomu dla aplikacji i wszystkich
połączonych usług zdalnych została zdefiniowana, a bezpieczeństwo
zostało rozwiązane w tej architekturze.
Architektura i design są gotowe,
używane, i efektywne03
● Uzupełnienie w narzędziu do modelowania ekranów,
opisów dla usług i poszczególnych elementów
architektury a następnie weryfikacja poprawności
działania każdego z elementów względem architektury.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Przełożenie architektury wysokiego poziomu do
narzędzia służącego modelowaniu.
● Stworzenie tablicy [matrix] mapującej usługi,
architekturę i bezpieczeństwo aby zdefiniować pokrycie
tego co jest w kodzie na to co jest w architekturze..
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Opisanie każdego elementu architektury wysokiego
poziomu oraz opisanie wszystkich elementów
zewnętrznych łączących się z aplikacją
● Opisanie mechanizmów bezpieczeństwa które
występują na wysokim poziomie [np. szyfrowanie].
15. OWASP ASVS 3.1 [Interpretacja YetiForce]
1. 4 Dane uważane za poufne w kontekście aplikacji są jasno określone.
Architektura i design są gotowe,
używane, i efektywne03
● Weryfikacja ekranów i miejsc w których użytkownik ma
dostęp do danych poufnych, weryfikacja, czy dane te są
prawidłowo chronione.
● Stworzenie tablicy [matrix] miejsc gdzie dane poufne są
wyświetlane i sposobu ich ochrony.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Przełożenie wszystkich zidentyfikowanych elementów
[danych poufnych] do narzędzia modelowania i
weryfikacja tych elementów na poziomie zgodności z
kodem.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Opisanie elementów które są poufne.
16. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.5 Wszystkie składniki aplikacji są definiowane pod względem funkcji
biznesowych i / lub funkcji bezpieczeństwa, które zapewniają.
Architektura i design są gotowe,
używane, i efektywne03
● Weryfikacja ekranów i miejsc w których użytkownik ma
dostęp do funkcji biznesowych, sprawdzenie ich pod
kątem praktycznym oraz weryfikacja czy są realizowane
funkcje biznesowe.
● Stworzenie tablicy [matrix] ekranów i funkcji
biznesowych jakie są realizowane w ramach ekranu.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Uzupełnienie wszystkich opisów biznesowych w
narzędziu modelującym.
● Uzupełnienie wszystkich funkcji bezpieczeństwa w
narzędziu modelującym.
● Stworzenie tablicy [matrix] jakie funkcje bezpieczeństwa
występują dla jakich elementów biznesowych.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Opisanie elementów aplikacji pod względem
biznesowym [czyli jaką pełnią rolę biznesową w tym
również powiązania do innych elementów o ile
występują]
● Opisanie funkcji bezpieczeństwa dla każdego z
elementów aplikacji.
17. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.6: Opracowano model zagrożenia dla aplikacji i powiązanych usług
zdalnych, który identyfikuje potencjalne zagrożenia i środki
zapobiegawcze.
Architektura i design są gotowe,
używane, i efektywne03
● Stworzenie tablicy [matrix] ryzyk dla każdego ekranu,
oraz weryfikacja środków zapobiegawczych czy działają
skutecznie w opisanym zakresie.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Wprowadzenie ryzyk i środków zapobiegawczych do
narzędzia modelującego i stworzenie tablicy [matrix] dla
elementów aplikacji oraz usług zewnętrznych.
● Weryfikacja ryzyk na warstwie kodu [czy kod jest
tworzony zgodnie z dobrymi praktykami]
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Opisanie ryzyk dla elementów aplikacji oraz
zdefiniowanie środków zapobiegawczych.
● Opisanie ryzyk dla usług zdalnych oraz zdefiniowanie
środków zapobiegawczych.
18. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.7: Wszystkie kontrole bezpieczeństwa mają scentralizowaną
implementację.
Architektura i design są gotowe,
używane, i efektywne03
● Stworzenie tablicy [matrix] który weryfikuje, czy cały
system [elementy aplikacji, usługi zewnętrzne, ekrany]
przechodzą przez scentralizowany mechanizm kontroli.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Wprowadzenie mechanizmu kontroli na widok niskiego
poziomu razem z opisem jego działania.
● Weryfikacja mechanizmu na warstwie kodu
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Opisanie scentralizowanego mechanizmu kontroli
bezpieczeństwa
19. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.8: Upewnij się, że elementy są oddzielone od siebie za pomocą
określonej kontroli bezpieczeństwa, np.: segmentacji sieci, reguł
zapory lub grup zabezpieczeń opartych na chmurze.
Architektura i design są gotowe,
używane, i efektywne03
● Stworzenie tablicy [matrix] która weryfikuje czy elementy
kontroli bezpieczeństwa mają zastosowanie dla każdego
elementu aplikacji, usługi zewnętrznej, ekranu.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Wprowadzenie wszystkich elementów infrastruktury do
narzędzia modelującego i wizualizacja ich z
uwzględnieniem rzeczywistej konfiguracji.
● Wprowadzenie do narzędzia modelującego reguł
bezpieczeństwa i stworzenie tablicy [matrix] pokrycia
reguł dla każdego elementu infrastruktury.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01
● Opisanie wszystkich elementów sieci, serwerów,
systemów które są konieczne do poprawnego
uruchomienia aplikacji.
● Opisanie reguł bezpieczeństwa dla każdego
elementu infrastruktury.
20. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.9: Istnieje mechanizm wymuszania aktualizacji aplikacji.
Architektura i design są gotowe,
używane, i efektywne03
● Wdrożenie centralnego monitorowania dla wszystkich
komponentów z informacją o bieżącej wersji i aktualnie
dostępnej wersji.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Wdrożenie mechanizmów, które pozwolą w sposób
automatyczny informować o nowej wersji systemu.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Opisanie mechanizmu aktualizacji oprogramowania.
21. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.10: Bezpieczeństwo jest adresowane we wszystkich częściach cyklu
rozwoju oprogramowania.
Architektura i design są gotowe,
używane, i efektywne03 ● Monitorowanie i wizualizacja testów bezpieczeństwa,
jakości wydajności za pomocą automatycznych narzędzi.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Dodanie do narzędzia służącego do modelowania, listę
cyklu oprogramowania i zaadresowanie dla każdego z
nich reguł bezpieczeństwa jakie mają być realizowane.
● Wdrażanie efektów [audyty, testy jednostkowe,
wydajność] w kod systemu przed wydaniem kolejnej
wersji systemu.
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Opisanie reguł bezpieczeństwa dla danego cyklu
rozwoju oprogramowania.
22. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.11: Wszystkie komponenty aplikacji, biblioteki, moduły, frameworki,
platformy i systemy operacyjne są wolne od znanych luk
bezpieczeństwa.
Architektura i design są gotowe,
używane, i efektywne03
● Zbudowanie centralnego monitorowania dla aplikacji,
które będzie weryfikować informacje o istniejących
lukach na poziomie aplikacji i środowiska w którym
aplikacja jest uruchomiona.
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02
● Centralizacja komponentów np. za pomocą Composer,
Yarn, i automatyczna weryfikacja podatności za pomocą
zewnętrznych narzędzi np. https://snyk.io/
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Stworzenie listy wszystkich komponentów i ręczne
monitorowanie aktualności każdego z nich.
23. OWASP ASVS 3.1 [Interpretacja YetiForce]
1.12: Istnieją wyraźne zasady dotyczące zarządzania kluczami kryptograficznymi
(jeśli istnieją) i egzekwowaniem cyklu życia kluczy kryptograficznych. Najlepiej
postępuj zgodnie ze standardami zarządzania kluczami, takimi jak NIST SP 800-
57.
Architektura i design są gotowe,
używane, i efektywne03 ● S
Architektura jest zdefiniowana, a kod
jest zgodny z architekturą02 ● Wprowadź mechanizm do narzędzia modelującego
Elementy aplikacji są zidentyfikowane
i mają rację bytu w aplikacji01 ● Opisanie logiki działania mechanizmów szyfrujących
oraz zasad przechowywania kluczy.
25. Czas na pytania :)
YetiForce Sp. z o.o.
ul. Marszałkowska 111
00-102 Warszawa, Polska
www.yetiforce.com
info@yetiforce.com
+48 22 2742937
Editor's Notes
ASVS ma dwa główne cele:
pomoc organizacjom w rozwoju i utrzymaniu bezpiecznych aplikacji
umożliwienie podmiotom oferującym usługi bezpieczeństwa, dostawcom narzędzi w zakresie bezpieczeństwa oraz użytkownikom dostosowania wzajemnych wymagań oraz ofert