This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Difference between revisions of "Sikkerhet i hverdagen 1"

From OWASP
Jump to: navigation, search
m
(La inn mine notater i stikkordsform.)
Line 5: Line 5:
 
=== Hva kan jeg som utvikler gjøre for å øke fokuset på sikkerhet i prosjektet? ===
 
=== Hva kan jeg som utvikler gjøre for å øke fokuset på sikkerhet i prosjektet? ===
 
Stilt av: Knut Vidar Siem
 
Stilt av: Knut Vidar Siem
 +
 +
* Må man spørre om å få sikre? Man kan definere det som en del av oppgaven.
 +
* Analogi til TDD
 +
* Awareness/skremsel
 +
* Ikke exploit hull i prod
 +
* FindBugs
 +
* ESAPI
 +
* Vise sparte penger/risikopenger
 +
* Sidestille sikkerhet med funksjonalitet: sikkerhetskrav
 +
* Vise at god praksis hjelper
 +
* Gå gjennom Top 10, ikke bare nevne dem
 +
* Komme igang. Start i det små.
  
 
=== Hvordan kan jeg som utvikler sikre 'midt i applikasjonen'-kode? ===
 
=== Hvordan kan jeg som utvikler sikre 'midt i applikasjonen'-kode? ===
 
Stilt av: Knut Vidar Siem
 
Stilt av: Knut Vidar Siem
 +
 
Spørsmålet stilles altså ikke i kontekst av skjemainput eller databasespørringer, men den store massen av helt ordinær businesskode.
 
Spørsmålet stilles altså ikke i kontekst av skjemainput eller databasespørringer, men den store massen av helt ordinær businesskode.
 +
 +
* Logikk (QA)
 +
* Logging av bad data med sårbar klient
 +
* Kontraktfokus
 +
* Hvor går trust-grensene?
 +
* Tjenestelag
 +
* Hvem får tilgang til å utføre ting?
 +
* Skrivefeil i adgangstabellene
 +
* Don't DIY (kryptering, authn/authz, datoer etc.)
 +
* Bruk sterk typing der man kan
 +
* Cross-cutting-ting auth, cache
 +
* Eksponering av modell
 +
* Redusere mengden tolket kode
  
 
=== Hvordan takle CSRF i Ajax-applikasjoner? ===
 
=== Hvordan takle CSRF i Ajax-applikasjoner? ===
 
Stilt av: Kåre Presttun
 
Stilt av: Kåre Presttun
 +
 +
* Er svaret token frem og tilbake?
 +
* Hva med flere tokens "ute" samtidig i en applikasjon med mange forms?
 +
* Hvorfor sesjonsnøkler???
  
 
=== Hvordan ser det generelle trusselbildet ut for Ajax? ===
 
=== Hvordan ser det generelle trusselbildet ut for Ajax? ===
Stilt av: Kåre Presttun
+
Stilt av: ?
 +
 
 +
* text/plain for å hindre evaluering
 +
* HTML 5 og klientside SQL-injection
 +
* Callbacks
 +
* Avanserte datastrukturer
 +
* Ufullstendig sårbarhetsscan
  
 
=== Hva skal man gjøre om man oppdager et sikkerhetshull som har havnet i produksjon? ===
 
=== Hva skal man gjøre om man oppdager et sikkerhetshull som har havnet i produksjon? ===
 
Stilt av: Baard H. Rehn Johansen
 
Stilt av: Baard H. Rehn Johansen
 +
 +
* Patche best mulig, *raskest* mulig med mulighet for overvåkning
 +
* App.firewall med spesiell signatur kan forhindre exploits
 +
* mod_security kan skrive om requests til sårbare ressurser
 +
* Concurrency-issues gjør det hele vanskeligere
 +
* OWASP-prosjektet har dekket en stor mengde hull i Webgoat med mod_security
 +
* Må ha en planlagt respons på slike hendelser
 +
* Ta vare på beviser (rullende filer) -- ikke shutdown
  
 
=== Hvordan leder man et sikkerhetsprogram i en bedrift ? ===
 
=== Hvordan leder man et sikkerhetsprogram i en bedrift ? ===
 
Stilt av: ?
 
Stilt av: ?
  
 +
* Standarder ISO-270001 (ikke så mye prosess; mer "hva?")
 +
* Noen offentlige forespørsler etterlyser 27001-sert.
 +
* Cobit -- "hvordan?"
 +
* Hvordan møtes sårbarheter og fluff?
 +
* Retningslinjer
 +
* Spesifisering og sikkerhetskrav
 +
* Være pragmatisk og konkret
 +
* Man må selv lage policies og guidelines
 +
* 27k1 kritiseres for å være for ekstrem i krav om målbarhet
 +
* Definere hva som aksepteres
 +
* Se på induistristandard (naboen)
 +
* Være aktiv og diskutere
  
 
== Ikke tatt opp ==
 
== Ikke tatt opp ==

Revision as of 21:43, 30 March 2009

Dette er spørsmål til, og diskusjonen som fulgte på, Medlemsmøte onsdag 25. februar:

Oppe til diskusjon

Hva kan jeg som utvikler gjøre for å øke fokuset på sikkerhet i prosjektet?

Stilt av: Knut Vidar Siem

  • Må man spørre om å få sikre? Man kan definere det som en del av oppgaven.
  • Analogi til TDD
  • Awareness/skremsel
  • Ikke exploit hull i prod
  • FindBugs
  • ESAPI
  • Vise sparte penger/risikopenger
  • Sidestille sikkerhet med funksjonalitet: sikkerhetskrav
  • Vise at god praksis hjelper
  • Gå gjennom Top 10, ikke bare nevne dem
  • Komme igang. Start i det små.

Hvordan kan jeg som utvikler sikre 'midt i applikasjonen'-kode?

Stilt av: Knut Vidar Siem

Spørsmålet stilles altså ikke i kontekst av skjemainput eller databasespørringer, men den store massen av helt ordinær businesskode.

  • Logikk (QA)
  • Logging av bad data med sårbar klient
  • Kontraktfokus
  • Hvor går trust-grensene?
  • Tjenestelag
  • Hvem får tilgang til å utføre ting?
  • Skrivefeil i adgangstabellene
  • Don't DIY (kryptering, authn/authz, datoer etc.)
  • Bruk sterk typing der man kan
  • Cross-cutting-ting auth, cache
  • Eksponering av modell
  • Redusere mengden tolket kode

Hvordan takle CSRF i Ajax-applikasjoner?

Stilt av: Kåre Presttun

  • Er svaret token frem og tilbake?
  • Hva med flere tokens "ute" samtidig i en applikasjon med mange forms?
  • Hvorfor sesjonsnøkler???

Hvordan ser det generelle trusselbildet ut for Ajax?

Stilt av: ?

  • text/plain for å hindre evaluering
  • HTML 5 og klientside SQL-injection
  • Callbacks
  • Avanserte datastrukturer
  • Ufullstendig sårbarhetsscan

Hva skal man gjøre om man oppdager et sikkerhetshull som har havnet i produksjon?

Stilt av: Baard H. Rehn Johansen

  • Patche best mulig, *raskest* mulig med mulighet for overvåkning
  • App.firewall med spesiell signatur kan forhindre exploits
  • mod_security kan skrive om requests til sårbare ressurser
  • Concurrency-issues gjør det hele vanskeligere
  • OWASP-prosjektet har dekket en stor mengde hull i Webgoat med mod_security
  • Må ha en planlagt respons på slike hendelser
  • Ta vare på beviser (rullende filer) -- ikke shutdown

Hvordan leder man et sikkerhetsprogram i en bedrift ?

Stilt av: ?

  • Standarder ISO-270001 (ikke så mye prosess; mer "hva?")
  • Noen offentlige forespørsler etterlyser 27001-sert.
  • Cobit -- "hvordan?"
  • Hvordan møtes sårbarheter og fluff?
  • Retningslinjer
  • Spesifisering og sikkerhetskrav
  • Være pragmatisk og konkret
  • Man må selv lage policies og guidelines
  • 27k1 kritiseres for å være for ekstrem i krav om målbarhet
  • Definere hva som aksepteres
  • Se på induistristandard (naboen)
  • Være aktiv og diskutere

Ikke tatt opp

Hvordan finner man ut om et sikkerhetshull har blitt utnyttet?

Stilt av: Baard H. Rehn Johansen

Er det noen forebyggende ting man kan gjøre slik at man lettere kan finne ut om sårbarheter blir utnyttet?

Stilt av: Baard H. Rehn Johansen

Hva kan vi/OWASP gjøre for bedre sikkerhet i norske utviklingsprosjekt?

Stilt av: Markus Harboe

Når i utviklingsprosjektet bør sikkerheten i analyseres/testes?

Stilt av: Markus Harboe

Hvordan håndterer man sårbarheter som finnes dagene før driftsetting?

Stilt av: Markus Harboe

Hvordan håndterer man sårbarheter i applikasjoner i full drift

Stilt av: Markus Harboe (ref. Baards forsalg)

Hvordan kan man som tredjepart gi råd om hvilke sårbarheter som fjernes før applikasjonen settes i produksjon?

Stilt av: Markus Harboe

Hvordan presentere sårbarhetsfunn for hhv. leveranse og mottakersiden?

Stilt av: Markus Harboe

Hva finnes av verktøy for å automatisk sjekke sikkerhet?

Stilt av: Erik Drolshammer

Kan automatiske verktøy for sikkerhetssjekking brukes som en del av f.eks. CI?

Stilt av: Erik Drolshammer