SlideShare une entreprise Scribd logo

Sicurezza Applicatica Dalla Teoria Alla Pratica

Télécharger en tant que KEY, PDF
Paolo Perego
Paolo Perego

[Italian language only, sorry] Presentazione per il security summit dove vengono illustrate le iniziative Owasp per la tematica di code review. Viene data un'overview sulla code review guide, sul progetto Orizon e sul progetto O2

1  sur  20
Sicurezza applicativa: dalla teoria alla pratica Paolo Perego Owasp Italy R&D Director Owasp Orizon Project leader Security thesp0nge@owasp.org Summit, Milan 2010 Copyright 2010 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
Agenda Dalla teoria The Owasp Code Review Guide Alla pratica Owasp Orizon Owasp O2 Platform OWASP 2
$ whoami Owasp Italy R&D director Owasp Orizon Project leader Open source enthusiast since 1996 Developer since 1985 Senior consultant at Reply $&&1)! *"0) 0)()1"&2)3. ! '$($ ! "#$%& ! &6"."7,$&6/! ,$-1% ,)(-)# ! ,+5/! %)*+,-./ ! %%01* .$)4#"30" OWASP 3
Ho un problema... More and More application level issues…… Sept/Oct 2008 – SQL Injection $9,000,000 in 24 Hours (RBS) Business Logic Exploited in US Army Servers – May, 2009 HSBC and Barclays sites were both hit by major XSS vulnerabilities - June 2009 The Telegraph site was exposed by a severe SQL injection vulnerability - June 2009 “In the last five years, approximately 500 million records containing personal identifying information of United States residents stored in government and corporate databases was either lost or stolen.” - “www.identitytheft.info” OWASP 4 Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
... che ricorre da molto tempo ... Eg: XSS was discovered circa 1996 Initially is was a curiosity Evolved to an exploit Further evolution to a worm  MySPACE- SAMMY WORM 2005, first self propagating xss worm Wide scale problem, 13 years later!  Toolkits: Mpack, LuckySploit, ISR-Evilgrade etc  Attacking the client: Phisihing, Malware Upload Ironically easy to fix and detect but 60%-70% of sites are vulnerable.. OWASP 5 Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
... e per il quale la soluzione non è banale. Budget IT // security non adeguati indirizzati alla sicurezza perimetrale dedicati a costose soluzioni commerciali Mentalità eterno conflitto “security guys” vs “developers” passare ad un SSDLC significa cambiare modo di lavorare Know-how mettere in piedi un SSDLC non è banale sono richieste competenze di sviluppo e di security manca la figura dell’application security specialist OWASP 6
Dalla teoria... OWASP 7
The Owasp Code review guide Project leader: Eoin Keary Progetto nato nel 2005 Punto di riferimento per la tematica di sicurezza legata al codice Indirizza come effettuare una revisione del codice quali i pattern da cercare quali i tool da utilizzare Secondo libro Owasp più venduto nel 2008 OWASP 8
Perché fare una code review Perché un controllo a run-time (dicasi penetration test) non valuta bene la business logic dell’applicazione poco efficace di fronte ad applicazioni complesse identifica il sintomo del problema ma non la causa  mi dice che ho la vulnerabilità X  non mi dice in che punto del codice introduco la vulnerabilità X Approccio duplice automatico manuale OWASP 9
Code review automatica Pro accurata nell’identificare anomalie nel codice in grado di evidenziare problemi legati alla qualità del codice Contro non sempre il codice è disponibile  legato all’approccio usato dai tool commerciali  legato all’utilizzo di librerie di terze parti enorme mole di falsi positivi  enorme – enorme » enorme » (no, non mi sono addormentato sulla tastiera :-)) OWASP 10
Code review manuale Pro rileva  problemi di business logic  backdoor  problemi legati alla privacy e come i dati sono trattati efficace a livello tecnologico tanto quanto la code review automatica mitiga il numero di falsi positivi Contro attività time-consuming e costosa  spesso si fa una revisione manuale solo di applicazioni business critical necessita di skill adeguate codice scritto male può essere difficile o impossibile da rivedere OWASP 11
Ehi... ma ho comprato un tool di analisi statica che... La sola analisi dinamica è debole verso applicazioni senza i dovuti controlli di security  niente controlli = niente codice da revisionare  niente codice = nessun finding da parte del tool  nessun finding = applicazione sicura controlli di tipo matematico  gestione degli overflow numerici  conversione tra unità di misura differenti funzionalità con precisi vincoli di policy  password policy OWASP 12
... alla pratica OWASP 13
Owasp Orizon Project 2.0 Project leader: Paolo Perego Progetto nato nel 2006 revisionato profondamente nel 2009 in attesa di definitiva incarnazione nel 2010 La versione 2.0 “dovrebbe” essere rilasciata a Giugno durante l’Owasp AppSEC conference a Stoccolma Highlight scritto in Java +29.000 linee di codice (commenti inclusi) per la versione 1.39 svn co https://orizon.svn.sourceforge.net/svnroot/orizon orizon  download it  read it  love it OWASP 14
Owasp Orizon Project 2.0 osh web gui Owasp Orizon SkyLine Owasp orizon library Owasp Orizon core (candlekeep database backend OWASP 15
Owasp Orizon Project 2.0 Pro analizza il codice sorgente  (i tool commerciali analizzano l’equivalente compilato)  l’analisi non è influenzata dalle scelte di ottimizzazione del compilatore  la mancata presenza di librerie di terze parti non inficia l’analisi supporto per vari linguaggi di programmazione Contro difficile da utilizzare limitata libreria di pattern di programmazione insicura scarsa documentazione OWASP 16
Owasp O2 Platform Project Project leader: Dinis Cruz Progetto nato nel 2008 Si appoggia su diversi motori di scansione commerciali  IBM Rational AppScan Source edition (aka Ounce)  Fortify opensource  codecrawler  yasca  CAT.NET  Findbugs Ha lo scopo di aiutare un revisore di codice a tener traccia del flusso delle variabili e dell’esecuzione del programma della propagazione dei pattern d’attacco all’interno della logica applicativa OWASP 17
Owasp O2 Platform Project Insieme di moduli Sviluppato in C# O2 MODULES - DEVELOPMENT STATE ACTIVE LEGACY • O2 Scanners • O2 Tool - Findings Viewer • O2 Tool - DotNet Callbacks Maker • O2 Tool - CirViewer • O2 Tool - Findings Query • O2 Tool - Rules Manager • O2 Tool - Search Assessment Run • O2 Cmd - Findings Filter • O2 Tool - View Assessment Run • O2 Cmd - Spring MVC • O2 Tool - WebInspect Converter • O2 Tool - Join Traces • O2 Debugger Mdbg • O2 Tool - CSharpScripts • O2 Scanner - MsCatNet • O2 Tool - Host Local Website • O2 Tool - Java Execution • O2 Tool - O2 Scripts • O2 Tool - Python • O2 Tool - Search Engine O2 developer senior consultant • O2 Tool - Filter Assessment Files security consultant • O2 Tool - O2 Reflector analyst manager GEEK-O-METER Wednesday, 19 August 2009 OWASP 18 Courtesy by Dinis Cruz, first appeared in O2 presentation in Ottawa, Canada, August 2009
Qualche link Owasp Code review guide:http://svel.to/v2 Owasp Orizon blog: http://svel.to/cw Owasp Orizon@twitter: http://svel.to/cx Owasp O2 Platform project: http://svel.to/v1 Mail me: thesp0nge@owasp.org OWASP 19
Thanks! OWASP 20

Recommandé

Infosecurity 2008
Infosecurity 2008Infosecurity 2008
Infosecurity 2008
Antonio Parata
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
claudiodigiovanni
 
Owasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi FiOwasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi Fi
Paolo Perego
 
Picking gem ruby for penetration testers
Picking gem ruby for penetration testersPicking gem ruby for penetration testers
Picking gem ruby for penetration testers
Paolo Perego
 
The Art Of Code Reviewing
The Art Of Code ReviewingThe Art Of Code Reviewing
The Art Of Code Reviewing
Paolo Perego
 
I tool owasp per la sicurezza del software 20110315
I tool owasp per la sicurezza del software 20110315I tool owasp per la sicurezza del software 20110315
I tool owasp per la sicurezza del software 20110315
Paolo Perego
 
Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)
Paolo Perego
 
Nelinet
NelinetNelinet
Nelinet
trzecia
 

Recommandé

Infosecurity 2008
Infosecurity 2008Infosecurity 2008
Infosecurity 2008
Antonio Parata
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
claudiodigiovanni
 
Owasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi FiOwasp Orizon New Static Analysis In Hi Fi
Owasp Orizon New Static Analysis In Hi Fi
Paolo Perego
 
Picking gem ruby for penetration testers
Picking gem ruby for penetration testersPicking gem ruby for penetration testers
Picking gem ruby for penetration testers
Paolo Perego
 
The Art Of Code Reviewing
The Art Of Code ReviewingThe Art Of Code Reviewing
The Art Of Code Reviewing
Paolo Perego
 
I tool owasp per la sicurezza del software 20110315
I tool owasp per la sicurezza del software 20110315I tool owasp per la sicurezza del software 20110315
I tool owasp per la sicurezza del software 20110315
Paolo Perego
 
Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)Road towards Owasp Orizon 2.0 (November 2009 update)
Road towards Owasp Orizon 2.0 (November 2009 update)
Paolo Perego
 
Nelinet
NelinetNelinet
Nelinet
trzecia
 
Exponential Change
Exponential ChangeExponential Change
Exponential Change
trzecia
 
John Edwards
John EdwardsJohn Edwards
John Edwards
guest71e874
 
El Frigorifico Perdido
El Frigorifico PerdidoEl Frigorifico Perdido
El Frigorifico Perdido
pelisurta
 
Netwerk
NetwerkNetwerk
Netwerk
rubenvandoorne
 
Ego Defensive and Ego Prmotional Responding
Ego Defensive and Ego Prmotional RespondingEgo Defensive and Ego Prmotional Responding
Ego Defensive and Ego Prmotional Responding
iamjleeds
 
Cts Europa Accessibilità Del Web
Cts Europa Accessibilità Del WebCts Europa Accessibilità Del Web
Cts Europa Accessibilità Del Web
ctseuropa
 
Convegno Cts Europa
Convegno Cts EuropaConvegno Cts Europa
Convegno Cts Europa
ctseuropa
 
Exponential change
Exponential changeExponential change
Exponential change
trzecia
 
Icare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazioneIcare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazione
ctseuropa
 
Topfeminin
TopfemininTopfeminin
Topfeminin
guest278ed7
 
Seguretat en aplicacions web
Seguretat en aplicacions webSeguretat en aplicacions web
Seguretat en aplicacions web
Jordi Planadecursach
 
Exponential Change
Exponential ChangeExponential Change
Exponential Change
trzecia
 
OWASP Top Ten in Practice
OWASP Top Ten in PracticeOWASP Top Ten in Practice
OWASP Top Ten in Practice
Security Innovation
 
Cts Europa Il Web Ed I Suoi Utenti
Cts Europa Il Web Ed I Suoi UtentiCts Europa Il Web Ed I Suoi Utenti
Cts Europa Il Web Ed I Suoi Utenti
ctseuropa
 
Owasp top 10 2013 - 정다운 -
Owasp top 10 2013 - 정다운 -Owasp top 10 2013 - 정다운 -
Owasp top 10 2013 - 정다운 -
Darion Kim
 
El Despertador
El DespertadorEl Despertador
El Despertador
pelisurta
 
OWASP Top 10 Mobile Risks
OWASP Top 10 Mobile RisksOWASP Top 10 Mobile Risks
OWASP Top 10 Mobile Risks
Beau Woods
 
security framework2.20
security framework2.20security framework2.20
security framework2.20
skccsocial
 
Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)
Marco Balduzzi
 
Infosecurity 2007
Infosecurity 2007Infosecurity 2007
Infosecurity 2007
Antonio Parata
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3
Antonio Parata
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 

Contenu connexe

En vedette

Exponential Change
Exponential ChangeExponential Change
Exponential Change
trzecia
 
El Frigorifico Perdido
El Frigorifico PerdidoEl Frigorifico Perdido
El Frigorifico Perdido
pelisurta
 
Exponential change
Exponential changeExponential change
Exponential change
trzecia
 
Icare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazioneIcare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazione
ctseuropa
 
Seguretat en aplicacions web
Seguretat en aplicacions webSeguretat en aplicacions web
Seguretat en aplicacions web
Jordi Planadecursach
 
Exponential Change
Exponential ChangeExponential Change
Exponential Change
trzecia
 
El Despertador
El DespertadorEl Despertador
El Despertador
pelisurta
 
security framework2.20
security framework2.20security framework2.20
security framework2.20
skccsocial
 
Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)
Marco Balduzzi
 

En vedette (20)

Exponential Change
Exponential ChangeExponential Change
Exponential Change
 
John Edwards
John EdwardsJohn Edwards
John Edwards
 
El Frigorifico Perdido
El Frigorifico PerdidoEl Frigorifico Perdido
El Frigorifico Perdido
 
Netwerk
NetwerkNetwerk
Netwerk
 
Ego Defensive and Ego Prmotional Responding
Ego Defensive and Ego Prmotional RespondingEgo Defensive and Ego Prmotional Responding
Ego Defensive and Ego Prmotional Responding
 
Cts Europa Accessibilità Del Web
Cts Europa Accessibilità Del WebCts Europa Accessibilità Del Web
Cts Europa Accessibilità Del Web
 
Convegno Cts Europa
Convegno Cts EuropaConvegno Cts Europa
Convegno Cts Europa
 
Exponential change
Exponential changeExponential change
Exponential change
 
Icare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazioneIcare - Una piattaforma per l'integrazione
Icare - Una piattaforma per l'integrazione
 
Topfeminin
TopfemininTopfeminin
Topfeminin
 
Seguretat en aplicacions web
Seguretat en aplicacions webSeguretat en aplicacions web
Seguretat en aplicacions web
 
Exponential Change
Exponential ChangeExponential Change
Exponential Change
 
OWASP Top Ten in Practice
OWASP Top Ten in PracticeOWASP Top Ten in Practice
OWASP Top Ten in Practice
 
Cts Europa Il Web Ed I Suoi Utenti
Cts Europa Il Web Ed I Suoi UtentiCts Europa Il Web Ed I Suoi Utenti
Cts Europa Il Web Ed I Suoi Utenti
 
Owasp top 10 2013 - 정다운 -
Owasp top 10 2013 - 정다운 -Owasp top 10 2013 - 정다운 -
Owasp top 10 2013 - 정다운 -
 
El Despertador
El DespertadorEl Despertador
El Despertador
 
OWASP Top 10 Mobile Risks
OWASP Top 10 Mobile RisksOWASP Top 10 Mobile Risks
OWASP Top 10 Mobile Risks
 
security framework2.20
security framework2.20security framework2.20
security framework2.20
 
Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)Attacking the Privacy of Social Network users (HITB 2011)
Attacking the Privacy of Social Network users (HITB 2011)
 
Infosecurity 2007
Infosecurity 2007Infosecurity 2007
Infosecurity 2007
 

Similaire à Sicurezza Applicatica Dalla Teoria Alla Pratica

Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2016
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Fullone
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Miriade Spa
 
Meet no Neet: presentazione del progetto App per organizzare eventi
Meet no Neet: presentazione del progetto App per organizzare eventiMeet no Neet: presentazione del progetto App per organizzare eventi
Meet no Neet: presentazione del progetto App per organizzare eventi
Fondazione Mondo Digitale
 
Cloud – l’ecosistema platform
Cloud – l’ecosistema platformCloud – l’ecosistema platform
Cloud – l’ecosistema platform
VMEngine
 

Similaire à Sicurezza Applicatica Dalla Teoria Alla Pratica (20)

Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web ApplicationsProgetti Open Source Per La Sicurezza Delle Web Applications
Progetti Open Source Per La Sicurezza Delle Web Applications
 
Software Testing Forum 2012 - Polarion e TRS SpA
Software Testing Forum 2012 - Polarion e TRS SpASoftware Testing Forum 2012 - Polarion e TRS SpA
Software Testing Forum 2012 - Polarion e TRS SpA
 
Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...Owasp italy day sparql injection attacking triple store semantic web applicat...
Owasp italy day sparql injection attacking triple store semantic web applicat...
 
La logisitca del Software OSS
La logisitca del Software OSSLa logisitca del Software OSS
La logisitca del Software OSS
 
La logisitca del software oss
La logisitca del software ossLa logisitca del software oss
La logisitca del software oss
 
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduinofestival ICT 2013: Vivere open source dalle applicazioni ad arduino
festival ICT 2013: Vivere open source dalle applicazioni ad arduino
 
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open SourceFrancesco Trucchia: Rapid Application Developement con strumenti Open Source
Francesco Trucchia: Rapid Application Developement con strumenti Open Source
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platformAngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
AngularJs, Bootstrap e Cordova: il connubio per app mobile cross-platform
 
Meet no Neet: presentazione del progetto App per organizzare eventi
Meet no Neet: presentazione del progetto App per organizzare eventiMeet no Neet: presentazione del progetto App per organizzare eventi
Meet no Neet: presentazione del progetto App per organizzare eventi
 
Cloud, l’ecosistema platform
Cloud, l’ecosistema platformCloud, l’ecosistema platform
Cloud, l’ecosistema platform
 
Continuous Integration e High Quality Code
Continuous Integration e High Quality CodeContinuous Integration e High Quality Code
Continuous Integration e High Quality Code
 
Emerasoft Day 2012 - TRS "Uso del metodo Cosmic e di Polarion per la gestione...
Emerasoft Day 2012 - TRS "Uso del metodo Cosmic e di Polarion per la gestione...Emerasoft Day 2012 - TRS "Uso del metodo Cosmic e di Polarion per la gestione...
Emerasoft Day 2012 - TRS "Uso del metodo Cosmic e di Polarion per la gestione...
 
Quando SOA Incontra Enterprise 2.0
Quando SOA Incontra Enterprise 2.0Quando SOA Incontra Enterprise 2.0
Quando SOA Incontra Enterprise 2.0
 
IBM Softwareland 2008 - Rational
IBM Softwareland 2008 - RationalIBM Softwareland 2008 - Rational
IBM Softwareland 2008 - Rational
 
Cloud – l’ecosistema platform
Cloud – l’ecosistema platformCloud – l’ecosistema platform
Cloud – l’ecosistema platform
 
Aglea Presentazione Sa It
Aglea Presentazione Sa ItAglea Presentazione Sa It
Aglea Presentazione Sa It
 

Sicurezza Applicatica Dalla Teoria Alla Pratica

  • 1. Sicurezza applicativa: dalla teoria alla pratica Paolo Perego Owasp Italy R&D Director Owasp Orizon Project leader Security thesp0nge@owasp.org Summit, Milan 2010 Copyright 2010 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation http://www.owasp.org
  • 2. Agenda Dalla teoria The Owasp Code Review Guide Alla pratica Owasp Orizon Owasp O2 Platform OWASP 2
  • 3. $ whoami Owasp Italy R&D director Owasp Orizon Project leader Open source enthusiast since 1996 Developer since 1985 Senior consultant at Reply $&&1)! *"0) 0)()1"&2)3. ! '$($ ! "#$%& ! &6"."7,$&6/! ,$-1% ,)(-)# ! ,+5/! %)*+,-./ ! %%01* .$)4#"30" OWASP 3
  • 4. Ho un problema... More and More application level issues…… Sept/Oct 2008 – SQL Injection $9,000,000 in 24 Hours (RBS) Business Logic Exploited in US Army Servers – May, 2009 HSBC and Barclays sites were both hit by major XSS vulnerabilities - June 2009 The Telegraph site was exposed by a severe SQL injection vulnerability - June 2009 “In the last five years, approximately 500 million records containing personal identifying information of United States residents stored in government and corporate databases was either lost or stolen.” - “www.identitytheft.info” OWASP 4 Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
  • 5. ... che ricorre da molto tempo ... Eg: XSS was discovered circa 1996 Initially is was a curiosity Evolved to an exploit Further evolution to a worm  MySPACE- SAMMY WORM 2005, first self propagating xss worm Wide scale problem, 13 years later!  Toolkits: Mpack, LuckySploit, ISR-Evilgrade etc  Attacking the client: Phisihing, Malware Upload Ironically easy to fix and detect but 60%-70% of sites are vulnerable.. OWASP 5 Courtesy by Eoin Keary, first appeared in Owasp Belgium Day 2009
  • 6. ... e per il quale la soluzione non è banale. Budget IT // security non adeguati indirizzati alla sicurezza perimetrale dedicati a costose soluzioni commerciali Mentalità eterno conflitto “security guys” vs “developers” passare ad un SSDLC significa cambiare modo di lavorare Know-how mettere in piedi un SSDLC non è banale sono richieste competenze di sviluppo e di security manca la figura dell’application security specialist OWASP 6
  • 7. Dalla teoria... OWASP 7
  • 8. The Owasp Code review guide Project leader: Eoin Keary Progetto nato nel 2005 Punto di riferimento per la tematica di sicurezza legata al codice Indirizza come effettuare una revisione del codice quali i pattern da cercare quali i tool da utilizzare Secondo libro Owasp più venduto nel 2008 OWASP 8
  • 9. Perché fare una code review Perché un controllo a run-time (dicasi penetration test) non valuta bene la business logic dell’applicazione poco efficace di fronte ad applicazioni complesse identifica il sintomo del problema ma non la causa  mi dice che ho la vulnerabilità X  non mi dice in che punto del codice introduco la vulnerabilità X Approccio duplice automatico manuale OWASP 9
  • 10. Code review automatica Pro accurata nell’identificare anomalie nel codice in grado di evidenziare problemi legati alla qualità del codice Contro non sempre il codice è disponibile  legato all’approccio usato dai tool commerciali  legato all’utilizzo di librerie di terze parti enorme mole di falsi positivi  enorme – enorme » enorme » (no, non mi sono addormentato sulla tastiera :-)) OWASP 10
  • 11. Code review manuale Pro rileva  problemi di business logic  backdoor  problemi legati alla privacy e come i dati sono trattati efficace a livello tecnologico tanto quanto la code review automatica mitiga il numero di falsi positivi Contro attività time-consuming e costosa  spesso si fa una revisione manuale solo di applicazioni business critical necessita di skill adeguate codice scritto male può essere difficile o impossibile da rivedere OWASP 11
  • 12. Ehi... ma ho comprato un tool di analisi statica che... La sola analisi dinamica è debole verso applicazioni senza i dovuti controlli di security  niente controlli = niente codice da revisionare  niente codice = nessun finding da parte del tool  nessun finding = applicazione sicura controlli di tipo matematico  gestione degli overflow numerici  conversione tra unità di misura differenti funzionalità con precisi vincoli di policy  password policy OWASP 12
  • 13. ... alla pratica OWASP 13
  • 14. Owasp Orizon Project 2.0 Project leader: Paolo Perego Progetto nato nel 2006 revisionato profondamente nel 2009 in attesa di definitiva incarnazione nel 2010 La versione 2.0 “dovrebbe” essere rilasciata a Giugno durante l’Owasp AppSEC conference a Stoccolma Highlight scritto in Java +29.000 linee di codice (commenti inclusi) per la versione 1.39 svn co https://orizon.svn.sourceforge.net/svnroot/orizon orizon  download it  read it  love it OWASP 14
  • 15. Owasp Orizon Project 2.0 osh web gui Owasp Orizon SkyLine Owasp orizon library Owasp Orizon core (candlekeep database backend OWASP 15
  • 16. Owasp Orizon Project 2.0 Pro analizza il codice sorgente  (i tool commerciali analizzano l’equivalente compilato)  l’analisi non è influenzata dalle scelte di ottimizzazione del compilatore  la mancata presenza di librerie di terze parti non inficia l’analisi supporto per vari linguaggi di programmazione Contro difficile da utilizzare limitata libreria di pattern di programmazione insicura scarsa documentazione OWASP 16
  • 17. Owasp O2 Platform Project Project leader: Dinis Cruz Progetto nato nel 2008 Si appoggia su diversi motori di scansione commerciali  IBM Rational AppScan Source edition (aka Ounce)  Fortify opensource  codecrawler  yasca  CAT.NET  Findbugs Ha lo scopo di aiutare un revisore di codice a tener traccia del flusso delle variabili e dell’esecuzione del programma della propagazione dei pattern d’attacco all’interno della logica applicativa OWASP 17
  • 18. Owasp O2 Platform Project Insieme di moduli Sviluppato in C# O2 MODULES - DEVELOPMENT STATE ACTIVE LEGACY • O2 Scanners • O2 Tool - Findings Viewer • O2 Tool - DotNet Callbacks Maker • O2 Tool - CirViewer • O2 Tool - Findings Query • O2 Tool - Rules Manager • O2 Tool - Search Assessment Run • O2 Cmd - Findings Filter • O2 Tool - View Assessment Run • O2 Cmd - Spring MVC • O2 Tool - WebInspect Converter • O2 Tool - Join Traces • O2 Debugger Mdbg • O2 Tool - CSharpScripts • O2 Scanner - MsCatNet • O2 Tool - Host Local Website • O2 Tool - Java Execution • O2 Tool - O2 Scripts • O2 Tool - Python • O2 Tool - Search Engine O2 developer senior consultant • O2 Tool - Filter Assessment Files security consultant • O2 Tool - O2 Reflector analyst manager GEEK-O-METER Wednesday, 19 August 2009 OWASP 18 Courtesy by Dinis Cruz, first appeared in O2 presentation in Ottawa, Canada, August 2009
  • 19. Qualche link Owasp Code review guide:http://svel.to/v2 Owasp Orizon blog: http://svel.to/cw Owasp Orizon@twitter: http://svel.to/cx Owasp O2 Platform project: http://svel.to/v1 Mail me: thesp0nge@owasp.org OWASP 19
  • 20. Thanks! OWASP 20

Notes de l'éditeur