This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Norway Chapter Forslagskasse

From OWASP
(Redirected from Forslagskasse)
Jump to: navigation, search

Hovedtema

Her kan du komme med forslag til temaer for medlemsmøtene.

  • Sårbarhetsanalyse og penetrasjonstesting
    • En gjennomgang av risikobildet slik det er nå.
  • Enterprise API, JSecurity og Spring Security (ACEGI) - presentasjon av rammeverkene
  • Webgoat live - kjøre live demo og evt. la deltakere forsøke selv
  • Validering av data - hvor/når/typer
  • Cross Site Scripting / SQL-injection
  • Feil i kjente rammeverk - Vise feil som har eksistert i kjente rammeverk
  • Hvordan få gjennomslag for økt fokus på sikkerhet?
    • Lover og regler som kan brukes i argumentasjonen. Hvilke er viktige i forhold til sikkerhetskrav?
    • Sikring som en naturlig del av hver utviklingsoppgave -- utviklernes integritet
  • OWASP-guiden
  • Sikker systemutvikling i praksis - Java/.NET
  • ModSecurity sikrer din webapplikasjon (Hva er en applikasjonsbrannmur?)
  • Sikkerhet i hverdagen: Kan vi bli flinkere?
  • Sikring av webapplikasjoner - mer enn inputvalidering
  • Q Hva med et møte om å sikre utviklere fra seg selv. Dvs hvordan driftere kan sikre web løsninger i størt mulig grad.
    • A Forslag til tiltak:
      • ModSecurity (står alt på forslags listen)
      • Chroot (del av modsecurity...)
      • Apparmor/Selinux
      • Web proxy forran (stripped down Apache uten noe mer enn minium med moduler)
      • Kjøre apache som vanlig bruker ikke root (ikke at det noen gang har vært et problem..). Og når vi ønsker å kjøre den som root (f.eks med cgi-bin, php, ruby etc)
      • Os herding (brukeren som kjører applikasonen får ikke gjort noe som helst, ikke at brukeren har et shell en gang.. noexec filsystemer etc)
      • Host iptables regler med bruker støtte. Brukeren for web applikasoner får ikke nådd noe annet enn de db serverene etc de skal nå på de rette portene...
      • Bruke SSL hele veien. Og ha serfikat uten passord. Skulle maskinen hackes så får de ikke endret på apache moduler etc uten å kjøre en start/stop. Reload/HUP leser bare config filene inn på nytt
      • IPS (f.eks via en host som står som "bridge mode", dvs uten IP og bare dropper pakker den ikke liker, forwrader alt annet)
      • Firewall og vlan (ikke new connections ut fra maskinene f.eks)
      • NAT (Billig sikkerhets sak :) )
      • Bruk av forskjellige produkter for å spre risiko (OpenBSD på proxy'en med lighttpd, og Linux med Apache bak som app servere og FreeBSD firewall)

Tooltip

Små (10-15 min) praktiske foredrag som vi kan med hvert møte

  • Firefox som sikkerhetstestingsverktøy - Erlend Oftedal
  • Paros -
  • Burp suite -


Tilbake til Norway Chapter

Retrieved from "https://wiki.owasp.org/index.php?title=Norway_Chapter_Forslagskasse&oldid=67736"