Date post: | 18-Sep-2018 |
Category: |
Documents |
Upload: | truongkhanh |
View: | 214 times |
Download: | 0 times |
OWASP AppSec Germany 2009
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen
Tobias [email protected]
Review: Marco Di Filippo ;-)Appsec Germany Nürnberg 13.10.2009
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
2
Die Projektgruppe (alphabetical order)
Marco Di FilippoTobias GlemserAchim HoffmannBarbara SchachnerDennis SchröderFeilang Wu
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
3
Um was geht's?
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
4
Eine Frage der Definition…
Wie der Kunde es erklärt hat Wie der Projektleiter es verstanden hat Wie der Analyst es auffasst
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
5
Eine Frage der Definition…
Wie der Wirtschaftsberater es verkauft Wie das Projekt dokumentiert wurde Wie es dem Kunden berechnet wurde
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
6
Eine Frage der Definition…
Was der Kunde wirklich gebraucht hätte
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
7
Um was geht's?
Erfahrungswerte von Dienstleistern und KundenWie projektiere ich intern?Wie definiere ich meine Anforderungen?Wie finde ich geeignete Dienstleister?
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
8
Projektverlauf
Diskussion am OWASP Stand auf der IT-SA Oktober 08Erste Anfrage an OWASP Mailing-Liste: 26.11.08Erste Antwort: 27.11.08Grober Projektablaufplan: Januar 09Erster Draft: Februar 09
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
9
Projektverlauf
Problem: Keine Kunden Lösung: 04.03. - 2 Kunden ☺Zweiter Draft: April 09Dritter Draft: Juni 09 (inkl. ein Ausstieg aus berufl. Gründen)„Kick-Off“ Workshop im AugustFinalisierungs-WS Mitte SeptemberVersion 1.01 auf owasp.org: 9. Oktober
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
10
Aufbau des Papers
Einführung und ZielsetzungAnforderungen: KundenseiteAnforderungen: DienstleisterCheckliste: Anforderungen KundenseiteCheckliste: Anforderungen Dienstleister-Angaben
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
11
Einführung
Kunde: Betreiber von Webanwendungen auf der Suche nach einem DienstleisterDienstleister (intern oder extern): Abteilung oder Unternehmen mit Expertise bei der Durchführung von Sicherheitsprüfungen von WebanwendungenWebanwendung: Auf Webtechnologien aufsetzende Anwendung
klassische InternetpräsenzWeb-APIWeb-Frontend von Anwendungsservern…
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
12
Einführung
Zielgruppe: Betreiber von Webanwendungen(Dienstleister)
Abgrenzung„untechnisch“Technische Erläuterungen, wenn für den Gesamtkontext wichtig
AktualisierungenMal schauen ☺Feedback jederzeit und gerne erwünscht!
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
13
Anforderungen: Kundenseite
Art der PrüfungVulnerability-Assessment (VA) / Penetrationstest der Webanwendung
Wahl der Vorgehensmodells– BSI: Durchführungskonzept für Penetrationstests– Open Source Security Testing Methodology Manual (OSSTMM)– OWASP Testing Guide– OWASP Application Security Verification Standard
Blackbox/WhiteboxLasttests/DoSSaaS - Software as a Service
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
14
Anforderungen: Kundenseite
Art der Prüfung IIQuellcode-AnalyseArchitektur-AnalyseProzess- und Dokumentations-Analyse (z. B. auf Basis IT-Grundschutz oder ISO 27001 „native“)
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
15
Anforderungen: Kundenseite
ZielformulierungDefinition der TestzieleBeschreibung der Umgebung, u. A.
ÜberblickZugriffswegeRechteprofileUmfangArchitekturDatenflußdiagramm
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
16
Anforderungen: Kundenseite
Organisatorische Aspekte: Initialisierung
Zieldefinition und ProjektbeschreibungAusgangssituation und BegründungZiele und MeilensteineRandbedingungen und Abgrenzungen
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
17
Anforderungen: Kundenseite
Organisatorische Aspekte: VorbereitungTeilnehmerProjektsteuerung und FeedbackOrt und ZeitScan-FreigabenVertraulichkeitserklärungenHaftung
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
18
Anforderungen: Kundenseite
Organisatorische Aspekte: AusschreibungUnkritische InformationenSo konkret als möglich
Allgemeine Kurzbeschreibungen der Systeme bzw. KomponentenVereinfachte NetzwerkpläneVereinfachte Datenflussdiagramme
Organisatorische Aspekte: Dienstleister AuswahlEigenes Kapitel..
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
19
Anforderungen: Kundenseite
Organisatorische Aspekte: Kick-OffÜbergabe der InformationenAlle Beteiligten an einen TischAbstimmung der Vorgehensweise
Organisatorische Aspekte: DurchführungStändiger Ansprechpartner beim KundenDefinierte EskalationswegeDefinierte Rückmelde-Strategien
Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
20
Anforderungen: Kundenseite
Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation
Organisatorische Aspekte: ProjektnachbereitungRisikograd-Einschätzungen verifizierenVerantwortlichkeiten zuweisenBehebung der Schwachstellen prüfen
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
21
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: UnternehmensgeschichteAnhaltspunkte für QualitätVeröffentlichungenAktive Mitgliedschaften
Erforderliche Angaben: ProjektteamSollte von Beginn an feststehen!Mitarbeiterprofile
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
22
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: MethodenProjektplan, pro Phase
AufwandMeilensteine
MethodikAutomatisierte TestsManuelle Tests mit „kreativer Komponente“
Individuelle Beschreibung der Vorgehensweise!Nennung der Werkzeuge und Tools, ggf. inkl. Beschreibung
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
23
Anforderungen: Dienstleister-Angaben
Erforderliche Angaben: BerichtExecutive SummaryZusammenfassung der SchwachstellenAusführliche Beschreibung der Schwachstellen
Kurzbeschreibung,Auswirkung der SchwachstelleRisikoeinschätzungReferenzenggf. genaue Vorgehensweise zur Ausnutzung der Schwachstelle
Reproduzierbarkeit und Transparenz
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
24
Anforderungen: Dienstleister-Angaben
Weiche Faktoren: ReferenzenFast immer (individuell) möglichPrüfen!
Weiche Faktoren: VeröffentlichungenFachartikelVorträge
Weiche Faktoren: MitgliedschaftenIT-Sicherheitsrelevante OrganisationenAktiv/passiv
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
25
Anforderungen: Dienstleister-Angaben
Weiche Faktoren: Zertifizierungenz. B. ISO/IEC 27001 oder ISO 9001
Weiche Faktoren: Umgang mit DatenVerschlüsselter TransferSichere Speicherung
Weiche Faktoren: HaftpflichtGreift nur bei Fahrlässigkeit
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
26
Fazit
IT-Sicherheit ist kein VoodooGemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes GebotWiederholbarkeit der PrüfungenNachvollziehbarkeit der ErgebnisseInterne Nachbereitung
OWASP AppSec Germany 2009
OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser
27
Danke
Alle Infos und Download auf http://www.owasp.org/index.php/Projektierung_der_Sicherheitspr%C3%BCfung_von_WebanwendungenKonstruktive Kritik an einen der Autoren per MailMorgen (14.10.) OWASP Stand auf der IT-SAAus ☺