https://wiki.owasp.org/index.php?action=history&feed=atom&title=Sikkerhet_i_hverdagen_2Sikkerhet i hverdagen 2 - Revision history2026-04-26T14:44:12ZRevision history for this page on the wikiMediaWiki 1.27.2https://wiki.owasp.org/index.php?title=Sikkerhet_i_hverdagen_2&diff=60474&oldid=prevHarald mne: New page: == Notater fra møtet == === Hvordan finner man ut om et sikkerhetshull har blitt utnyttet? === * Et forslag var at man kunne sjekke i VG[http://www.vg.no/teknologi/artikkel.php?artid=56...2009-05-11T07:18:19Z<p>New page: == Notater fra møtet == === Hvordan finner man ut om et sikkerhetshull har blitt utnyttet? === * Et forslag var at man kunne sjekke i VG[http://www.vg.no/teknologi/artikkel.php?artid=56...</p>
<p><b>New page</b></p><div>== Notater fra møtet ==<br />
<br />
=== Hvordan finner man ut om et sikkerhetshull har blitt utnyttet? ===<br />
<br />
* Et forslag var at man kunne sjekke i VG[http://www.vg.no/teknologi/artikkel.php?artid=562816] :-)<br />
* Søke på google etter kjente utnyttede feil på egne sider<br />
* Passe på å logge informasjon på ulike nivåer.<br />
* Sjekke logger (web, app, database).<br />
* Sjekke data i database.<br />
* Sjekke oversiktssider med informasjon om nettsteder som er utnyttet/utnyttbare: zone-h/xssed.com/google-serversidefeilmeldingssøking/<br />
* Benytte IDS for å overvåke trafikk til og fra nettstedet.<br />
* Ta sjekksummer (MD5, SHA-256 el) av viktige komponenter (filer, databaseobjeker etc) når systemet har "kjent sikker tilstand" og jevnlig sjekke nåtilstand opp mot referansesjekksummen.<br />
<br />
<br />
=== Er det noen forebyggende ting man kan gjøre slik at man lettere kan finne ut om sårbarheter blir utnyttet? ===<br />
* Sjekksummer av filer/objekter i database når man har "kjent sikker tilstand"<br />
* Lage applikasjonsnær-IPS/IDS... Vær forsiktig... Mye jobb. Vanskelig å få treffsikkert.<br />
<br />
=== Når i utviklingsprosjektet bør sikkerheten i analyseres/testes? ===<br />
* ofte<br />
* viktig at det er ressurser til å ta tak i de feilene som oppdages<br />
* ved viktige endringer bør det gjøres en sikkerhetsvurdering<br />
* MS-sdlc for smidig utvikling (trusselmodellering på all ny funksjonalitet + fuzzing av filgrensenitt sjeldnerer)<br />
* sikkerhet i smidig-prosjekter (affi syntes å huske en presentasjon )<br />
* Dave Wichers: http://video.google.com/videoplay?docid=-8287209466278543377<br />
<br />
=== Hvordan kan man som tredjepart gi råd om hvilke sårbarheter som må fjernes før applikasjonen settes i produksjon? ===<br />
* sette krav på forhånd. Da er det lett å håndtere funn i etterkant.<br />
* klassifisere utnyttbarheten til sårbarheter<br />
** lett - kan utnyttes direkte fra nettleseren<br />
** vanskelig - kan bare gjøres med ekstra verktøy (plugins, standalone proxy...)<br />
<br />
=== Kan automatiske verktøy for sikkerhetssjekking brukes som en del av f.eks. CI? ===<br />
* ja, men viktig at informasjonen tas tak i og ikke bare blir "arkivert"<br />
* Selenium - http://seleniumhq.org/<br />
* Watir - http://wtr.rubyforge.org/<br />
* cucumber - (business driven development test verktøy) http://cukes.info/<br />
* MS har noen verktøy i siste versjon av Visual Studio <br />
* OWASP Testing guide har en oversikt over verktøy...</div>Harald mne