OWASP ASVS to standard weryfikacji bezpieczeństwa aplikacji. Standard ten popularny zarówno w Polsce jak i na świecie pomaga zarówno w weryfikacji bezpieczeństwa jak i podczas definiowania wymagań dotyczących bezpieczeństwa aplikacji (funkcjonalnych i niefunkcjonalnych). Na etapie weryfikacji umożliwia on sprawdzenie czy są stosowane zasady dobrej praktyki i pozwala audytorowi na wypowiedzenie się o tym co jest poprawne a nie tylko na koncentrowanie się na błędach, jak to ma miejsce przy nieustandaryzowanych testach bezpieczeństwa. Ponadto stosowanie ASVS powoduje sprecyzowanie zakresu testów bezpieczeństwa a co jest istotne przy zlecaniu testów bezpieczeństwa na zewnątrz organizacji. Pod koniec roku 2015 ukazała się nowa wersja OWASP ASVS 3.0. Zmiany w nowej wersji obejmują m.in.: uzupełnienie listy kontrolnej o rozdziały dotyczące konfiguracji, aplikacji mobilnych, WebServices i REST, mapowanie na bazę podatności CWE i standard PCI-DSS, uporządkowanie wielu zapisów. Prezentacja będzie miała na celu omówienie standardu oraz najważniejszych zmian w bieżącej wersji.

1. Wojciech Dworakowski
OWASP ASVS 3.0
Bezpieczeństwo aplikacji
– co nowego?

2. Login:
OWASP Poland Chapter Leader
Kierowanie zespołem testującym bezpieczeństwo aplikacji
Doradztwo dotyczące bezpieczeństwa aplikacji i systemów

4. Bank

5. Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał
się pod koniec stycznia poprzez nieujawniony
błąd wynikający z braku regularnych aktualizacji
oprogramowania.”
„wstawił odwołanie do skryptu JS umieszczonego
na swoim serwerze, dzięki któremu mógł
modyfikować numery rachunków na które
przekazywane były przelewy klientów banku”

6. Co wiemy?
„Razor4 twierdzi, ze do serwerów banku dostał
się pod koniec stycznia poprzez nieujawniony
błąd wynikający z braku regularnych aktualizacji
oprogramowania.”
„wstawił odwołanie do skryptu JS umieszczonego
na swoim serwerze, dzięki któremu mógł
modyfikować numery rachunków na które
przekazywane były przelewy klientów banku”
Przyczyna:
„Dziurawy” komponent
aplikacji

7. Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-
bankowe-klientow-sieci-play/

8. Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-
bankowe-klientow-sieci-play/
Przyczyna:
Do uwierzytelnienia się
do obu aplikacji
wystarczyły tylko login i
hasło

9. Instagram
Źródło: https://www.hackread.com/instagram-hacked-
researcher-gets-admin-panel-access/

10. Przyczyna:
Interfejs administracyjny
dostępny z sieci
publicznej

11. eBay
Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-
attacks

12. eBay
Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-
attacks
Przyczyna:
Serwis umożliwia używanie
JavaScript inline

13. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/

14. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/
Przyczyna:
Przeglądarka nie wykryła
braku HTTPS lub
sfałszowanego certyfikatu

15. Czy w tych wypadkach developerzy nie myśleli o
bezpieczeństwie?
Przecież te instytucje nie zatrudniają jednych z
najlepszych specjalistów!
Czy nie było testów bezpieczeństwa?

16. Bezpieczeństwo aplikacji ?
„Aplikacja ma opierać się
atakom i przetwarzać dane w
sposób bezpieczny, zgodnie
zasadami dobrej praktyki.
Scenariusze testów
bezpieczeństwa mają
odpowiadać współczesnym
zagrożeniom i metodom
ataków”
Czy dobrze określiliśmy
co to znaczy
„bezpieczeństwo”?
Co to w praktyce
znaczy?
Czy da się rozliczyć taką
usługę?

17. APPLICATION SECURITY
VERIFICATION STANDARD

18. OWASP ASVS
• Lista wymagań lub testów dotyczących
bezpieczeństwa aplikacji
• Może być używana przez architektów,
programistów, testerów, specjalistów
bezpieczeństwa, użytkowników końcowych w
celu zdefiniowania czym jest bezpieczna
aplikacja

19. Historia
• 2009: V 1.0 przetłumaczona na polski
• 2014: V 2.0 przetłumaczona (tylko lista)
• 2015: V 3.0

20. Możliwości użycia ASVS

21. ASVS Level
Level 1:
Minimum
Wszystkie aplikacje Podatności które są
łatwe do wykrycia,
z listy OWASP Top
10 lub podobnych.
Level 2:
Standard
Aplikacje
przetwarzające dane
wrażliwe
Większość ryzyk
związanych z
aplikacjami
Level 3:
Enchanced
Naruszenie może
powodować b.duże
straty
j.w. + zasady
bezpiecznego
projektowania

22. Str 14 „Applying ASVS in Practice”
• Finance and Insurance
• Manufacturing, professional,
transportation, technology,
utilities, infrastructure, and
defense
• Healthcare
• Retail, food, hospitality

23. • Podstawa do stworzenia listy zasad
bezpieczeństwa uwzględniającej specyfikę
aplikacji, organizacji i platformy.
• Przed zastosowaniem wskazana jest analiza
bezpieczeństwa aplikacji / procesu
• Deklaracja stosowania + rozszerzenia
img src: http://www.rmgnetworks.com/blog/bid/365859/Internal-communications-is-not-one-size-fits-all

24. CO NOWEGO W ASVS 3.0

25. Najważniejsze zmiany
• Uporządkowanie i deduplikacja
• Usunięcie wymagań/testów które miały znikomy
wpływ na bezpieczeństwo
• Dostosowanie do nowych technologii (REST,
HTML5, itp.)
• Nowe sekcje: WebServices, Configuration
• Promuje użycie zabezpieczeń, które są dostępne
od dłuższego czasu (2FA, CSP, HSTS)
• Mapowanie na PCI-DSS i CVE*
* TBD

27. Uwierzytelnianie

28. Kontrola dostępu

29. Obsługa niezaufanych danych
wejściowych

30. Szyfrowanie danych

31. Obsługa błędów i logowanie

32. Komunikacja

33. Konfiguracja HTTP

34. Web Services (nowy rozdział)

35. Konfiguracja (nowy rozdział)

36. • Wszystkie zmiany  Appendix A
• Mapowanie na PCI-DSS  Appendix D
• Projekty OWASP, które używają ASVS  str 22

37. PODSUMOWANIE

38. Bank

39. Bank + Telekom
Źródło: https://zaufanatrzeciastrona.pl/post/jak-zlodzieje-okradali-konta-
bankowe-klientow-sieci-play/

40. Instagram
Źródło: https://www.hackread.com/instagram-hacked-
researcher-gets-admin-panel-access/

41. eBay
Źródło: http://www.securityweek.com/xss-flaw-exposed-ebay-users-phishing-
attacks

42. Połączenia SSL do Facebooka
Źródło: https://www.facebook.com/notes/protect-the-
graph/analyzing-forged-ssl-certificates-in-the-
wild/1451429791763834/

43. Podsumowanie
• ASVS 3.0:
• Wywołanie zmian
– Stosowanie mechanizmów od dawna istniejących
w przeglądarkach
– Dobre praktyki dotyczące architektury i
konfiguracji
• Uporządkowanie wielu kwestii

44. Standaryzacja jest potrzebna …
… ale nie rozwiązuje wszystkich problemów

45. Q & A

46. Czy można uzyskać certyfikat
zgodności z ASVS?

47. Automatyzacja testów

48. Metodyka testów
(blackbox vs whitebox)

49. • Kiedy będzie polska wersja?
Zapraszamy wolontariuszy do współpracy
• Gdzie mogę zgłaszać zmiany, błędy, itp?
Jak mogę się włączyć w tworzenie ASVS?
https://www.owasp.org/index.php/Category:OWASP_Applica
tion_Security_Verification_Standard_Project
– Email list
– Github: https://github.com/OWASP/ASVS -> Issues

50. wojciech.dworakowski@owasp.org
WWW: https://www.owasp.org/index.php/Poland
Mailing list: https://lists.owasp.org/mailman/listinfo/owasp-poland
50
http://www.meetup.com/owasp-poland/
https://www.linkedin.com/groups/OWASP-Poland-8179731
@owasppoland
https://www.facebook.com/pages/OWASP-Poland-Local-Chapter