SlideShare ist ein Scribd-Unternehmen logo

OWASP Top 10 : Scanning JSF

adesso AG
adesso AG

Diese Präsentation zeigt eine Sicherheitsuntersuchung von JSF anhand der OWASP Top 10 Angriffe.

Technologie
1 von 29
Downloaden Sie, um offline zu lesen
OWASP Top 10: Scanning JSF Andreas Hartmann 22.09.2011
Andreas Hartmann Principal Software Engineer E-Mail hartmann@adesso.de Tätigkeitsschwerpunkte: ► Konzeption und Implementierung von Softwarearchitekturen und Frameworks auf Basis der JEE Plattform ► Serviceorientierte Architekturen und Portaltechnologien im Kontext der Branchen Versicherung und Banken ► Speaker auf Konferenzen ► Betreuung von Projekt-/Bachelor-/Master-/Diplomarbeiten 22.09.2011 2 OWASP Top 10: Scanning JSF
Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 3 OWASP Top 10: Scanning JSF
Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 4 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Was ist Application Security ► Application Security umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische Fehler im Design, der Implementierung, dem Deployment und der Wartung von Software zu verhindern. Schutzziele von Application Security ► Vertraulichkeit & Integrität > der Daten > der Kommunikation ► Authentizität der Kommunikationspartner ► Verfügbarkeit der Services 22.09.2011 5 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung OS Services TCP IP Java Security Server OS 22.09.2011 6 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Filterung Absender & Ziel OS Services ► Absicherung IP- & TCP- TCP Verkehr IP Java Security ► Stateful Packet Inspection Server OS Network Firewall 22.09.2011 7 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Durchführung OS Services Authentifizierung TCP ► Session Management IP Java Security ► Autorisierungsprüfung ► Schutz von Ressourcen Server OS Application Server 22.09.2011 8 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Web Application Firewall Authentifizierung Autorisierung ► Absicherung HTTP OS Services ► Validierung Get- & Post- TCP Parameter IP Java Security ► Ressourcen-Schutz auf URL- Basis Server OS ► Positive vs. Negative Security Model 22.09.2011 9 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Rahmenbedingungen für den WAF-Einsatz ► Abstimmung auf Web Applikation > Start bereits während der Entwicklung > Kontinuierliche Anpassung an Anwendungsänderungen ► Angleichung der Release-Zyklen von WAF und Applikation(en) ► Testaufwand für jedes Update einplanen ► SSL-Terminierung vor der WAF notwendig ► Bei optimaler Abstimmung gute Erkennungsraten möglich 22.09.2011 10 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Probleme beim WAF-Einsatz ► Ansatz negatives Security Model > Abhängigkeit von häufigen Updates > relativ hohe Gefahr von Anwendungsproblemen nach Updates ► Ansatz positive Security Model > lange Lernphase notwendig > optimale Abstimmung auf Applikation notwendig > relativ hohe Gefahr von False Positives ► allgemeines Risiko einer weiteren Infrastrukturkomponente ► Expertenwissen für sinnvollen Einsatz notwendig 22.09.2011 11 OWASP Top 10: Scanning JSF
Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Application Security Komponente Authentifizierung Autorisierung ► Schutz gegen OS Services ► Injection Flaws TCP ► Cross-Site Scripting IP Java Security ► Cross-Site Request Forgery Server OS ► Denial of Service ► Logging von Angriffen 22.09.2011 12 OWASP Top 10: Scanning JSF
Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 13 OWASP Top 10: Scanning JSF
OWASP Open Web Application Security Project (OWASP) Nonprofit Organisation www.owasp.org 22.09.2011 14 OWASP Top 10: Scanning JSF
A1 - Injection Flaws Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker's hostile data tricks the interpreter into executing unintended commands or changing data. ► SQL ► Xpath ► etc. Quelle: http://xkcd.com/327/ Whitelist Validation & Escaping Special Characters & Prepared Statements zum Schutz gegen SQL Injection, … Quelle: https://www.owasp.org 22.09.2011 15 OWASP Top 10: Scanning JSF
A2 – Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack user sessions, deface web sites, possibly introduce worms, etc. ► Session Hijacking ► Fernsteuerung des Browsers Whitelist Validation & Escaping Special Characters & Output Encoding Quelle: https://www.owasp.org 22.09.2011 16 OWASP Top 10: Scanning JSF
A3 - Broken Authentication and Session Management Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users' identities. ► Logische Fehler bei der Authentisierung und Autorisierung, z.B. beim Logout die Session nicht invalidiert Durchdachte Konzepte & richtige Konfiguration des Servers Quelle: https://www.owasp.org 22.09.2011 17 OWASP Top 10: Scanning JSF
A4 - Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization. ► Zugriff auf Daten die für den Benutzer nicht erreichbar sein sollen Bei der Entwicklung berücksichtigen und niemals darauf vertrauen, dass Referenzen korrekt sind Quelle: https://www.owasp.org 22.09.2011 18 OWASP Top 10: Scanning JSF
A5 - Cross Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks. ► Vertrauensbruch zwischen Browser und Server (Session Riding) Einsatz eines dynamischen Tokens Quelle: https://www.owasp.org 22.09.2011 19 OWASP Top 10: Scanning JSF
A6 – Security Misconfiguration Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. All these settings should be defined, implemented, and maintained as many are not shipped with secure defaults. This includes ke ► Keine gehärtete Konfiguration der verwendeten Framwork, Server, etc. Härten der Infrastruktur & Security Prozess zur Inbetriebnahme von Anwendungen Quelle: https://www.owasp.org 22.09.2011 20 OWASP Top 10: Scanning JSF
A7 - Insecure Cryptographic Storage Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud. ► Verschlüsselte Ablage von sensitiven Daten Einsatz sicherer Kryptographiemechanismen & Vermeidung proprietärer Lösungen Quelle: https://www.owasp.org 22.09.2011 21 OWASP Top 10: Scanning JSF
A8 - Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly. ► Erraten von URLs URL Pfadzugriff einschränken, nur das was tatsächlich notwendig ist Quelle: https://www.owasp.org 22.09.2011 22 OWASP Top 10: Scanning JSF
A9 – Insufficient Transport Layer Protection Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications. ► Datentransport kann abgehört werden ► Cookies können gestohlen werden Durchgängige Verwendung von SSL & Einsatz von gültigen Zertifikaten & Secure Flag für Cookies Quelle: https://www.owasp.org 22.09.2011 23 OWASP Top 10: Scanning JSF
A10 – Unvalidated Redirects and Forwards Web applications frequently redirect and forward users to other pages and websites, and use untrusteddata to determine the destination pages. Without proper validation, attackers can redirect victims to phishing or malware sites, or use forwards to access unauthorized pages. ► Zugriff auf nicht autorisierte Seiten ► Umleitung des angemeldeten Benutzers auf eine Phishing Seite Nach Möglichkeit kein Redirect oder Forward im eigenen Code & Keine Benutzereingaben als Parameter Quelle: https://www.owasp.org 22.09.2011 24 OWASP Top 10: Scanning JSF
Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 25 OWASP Top 10: Scanning JSF
Application Security Komponente JSF Lifecycle meets Security ► Injection Flaws (z.B. SQL-Injection) ► Cross-Site Scripting ► Cross-Site Request Forgery ► Denial of Service ► Never-Ending Application Usage ► Logging 22.09.2011 26 OWASP Top 10: Scanning JSF
Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 27 OWASP Top 10: Scanning JSF
Application Security Startup Ansatzpunkte zur Einführung von Application Security Maßnahmen ► Definition eines Security Prozesses ► Schaffung von Security Awareness ► Anpassung der Architekturrichtlinien ► Erweiterung der Programmierrichtlinien > Nutzung von Security Infrastrukturcode prüfen > Ein- und Ausgabevalidierung > Sicheres Errorhandling & Logging ► Durchführung von Security Reviews > interne & externe Security Audits einplanen > Betrachtung der zu erstellenden Anwendung hinsichtlich allgemeiner und spezieller Sicherheitsrisiken > Einsatz von Werkzeugen zur statischen Codeanalyse während der Entwicklung 22.09.2011 28 OWASP Top 10: Scanning JSF
Wir suchen Sie als ► Software-Architekt (m/w) ► Projektleiter (m/w) ► Senior Software Engineer (m/w) jobs@adesso.de www.AAAjobs.de

Empfohlen

eBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungeBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungIulius Gutberlet
 
SharePoint Claims und FBA
SharePoint Claims und FBASharePoint Claims und FBA
SharePoint Claims und FBAThomas Stensitzki
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenPhilipp Burgmer
 
Token statt Cookies dank JWT - #ETKA16
Token statt Cookies dank JWT - #ETKA16Token statt Cookies dank JWT - #ETKA16
Token statt Cookies dank JWT - #ETKA16Markus Schlichting
 
dotnet Cologne 2013 - Windows Azure Mobile Services
dotnet Cologne 2013 - Windows Azure Mobile Servicesdotnet Cologne 2013 - Windows Azure Mobile Services
dotnet Cologne 2013 - Windows Azure Mobile ServicesSascha Dittmann
 
Windows Azure Mobile Services
Windows Azure Mobile ServicesWindows Azure Mobile Services
Windows Azure Mobile ServicesJan Hentschel
 
Basta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudBasta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudMarc Müller
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 

Empfohlen

eBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungeBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungIulius Gutberlet
 
SharePoint Claims und FBA
SharePoint Claims und FBASharePoint Claims und FBA
SharePoint Claims und FBAThomas Stensitzki
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenPhilipp Burgmer
 
Token statt Cookies dank JWT - #ETKA16
Token statt Cookies dank JWT - #ETKA16Token statt Cookies dank JWT - #ETKA16
Token statt Cookies dank JWT - #ETKA16Markus Schlichting
 
dotnet Cologne 2013 - Windows Azure Mobile Services
dotnet Cologne 2013 - Windows Azure Mobile Servicesdotnet Cologne 2013 - Windows Azure Mobile Services
dotnet Cologne 2013 - Windows Azure Mobile ServicesSascha Dittmann
 
Windows Azure Mobile Services
Windows Azure Mobile ServicesWindows Azure Mobile Services
Windows Azure Mobile ServicesJan Hentschel
 
Basta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudBasta 2016 - Test- und Releaseumgebungen in der Cloud
Basta 2016 - Test- und Releaseumgebungen in der CloudMarc Müller
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Markus Schlichting
 
HTTP und Java Servlets Programmierung
HTTP und Java Servlets ProgrammierungHTTP und Java Servlets Programmierung
HTTP und Java Servlets ProgrammierungChristian Baranowski
 
MEAN SCS in der Cloud
MEAN SCS in der CloudMEAN SCS in der Cloud
MEAN SCS in der CloudTorsten Fink
 
iOS Network Extensions
iOS Network ExtensionsiOS Network Extensions
iOS Network ExtensionsMark Zimmermann
 
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011eEvolution GmbH & Co. KG
 
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)dmc digital media center GmbH
 
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10Ralf Sigmund
 
Rails goes SOA
Rails goes SOARails goes SOA
Rails goes SOADirk Breuer
 
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemachtNico Orschel
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenPeter Affolter
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa SuitePredrag61
 
Echtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisierenEchtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisierenMT AG
 
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAXDaniel Fisher
 
Operational Vm Ware Management
Operational Vm Ware ManagementOperational Vm Ware Management
Operational Vm Ware Managementhoernerf
 
Azure Bootcamp Hamburg
Azure Bootcamp Hamburg Azure Bootcamp Hamburg
Azure Bootcamp Hamburg Lennart Passig
 
Oracle WebLogic for DevOps
Oracle WebLogic for DevOpsOracle WebLogic for DevOps
Oracle WebLogic for DevOpsAndreas Koop
 
Oracle WebLogic for DevOps
Oracle WebLogic for DevOpsOracle WebLogic for DevOps
Oracle WebLogic for DevOpsenpit GmbH & Co. KG
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
Webinar SharePoint auf AWS
Webinar SharePoint auf AWSWebinar SharePoint auf AWS
Webinar SharePoint auf AWSAWS Germany
 
Laurent strauss app dna
Laurent strauss app dnaLaurent strauss app dna
Laurent strauss app dnaDigicomp Academy AG
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)adesso AG
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPSNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPadesso AG
 

Weitere ähnliche Inhalte

Ähnlich wie OWASP Top 10 : Scanning JSF

Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Markus Schlichting
 
HTTP und Java Servlets Programmierung
HTTP und Java Servlets ProgrammierungHTTP und Java Servlets Programmierung
HTTP und Java Servlets ProgrammierungChristian Baranowski
 
MEAN SCS in der Cloud
MEAN SCS in der CloudMEAN SCS in der Cloud
MEAN SCS in der CloudTorsten Fink
 
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011eEvolution GmbH & Co. KG
 
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)dmc digital media center GmbH
 
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10Ralf Sigmund
 
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemachtNico Orschel
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenPeter Affolter
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa SuitePredrag61
 
Echtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisierenEchtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisierenMT AG
 
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAXDaniel Fisher
 
Operational Vm Ware Management
Operational Vm Ware ManagementOperational Vm Ware Management
Operational Vm Ware Managementhoernerf
 
Azure Bootcamp Hamburg
Azure Bootcamp Hamburg Azure Bootcamp Hamburg
Azure Bootcamp Hamburg Lennart Passig
 
Oracle WebLogic for DevOps
Oracle WebLogic for DevOpsOracle WebLogic for DevOps
Oracle WebLogic for DevOpsAndreas Koop
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtBATbern
 
Webinar SharePoint auf AWS
Webinar SharePoint auf AWSWebinar SharePoint auf AWS
Webinar SharePoint auf AWSAWS Germany
 

Ähnlich wie OWASP Top 10 : Scanning JSF (20)

Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)Token statt Cookies dank JWT (Java Land 2016)
Token statt Cookies dank JWT (Java Land 2016)
 
HTTP und Java Servlets Programmierung
HTTP und Java Servlets ProgrammierungHTTP und Java Servlets Programmierung
HTTP und Java Servlets Programmierung
 
MEAN SCS in der Cloud
MEAN SCS in der CloudMEAN SCS in der Cloud
MEAN SCS in der Cloud
 
iOS Network Extensions
iOS Network ExtensionsiOS Network Extensions
iOS Network Extensions
 
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
ERP-System eEvolution - ein Ausblick auf kommende Entwicklungen 2011
 
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
ECM-Webinar: Effektives Viren Scannen mit Alfresco (Norman Network Protection)
 
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
Wjax integrationsprojekte auf dem weg zur continuous delivery 2011 11-10
 
Rails goes SOA
Rails goes SOARails goes SOA
Rails goes SOA
 
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
95 Prozent brauchen es, 5 Prozent machen es: Load Testing mit VS leicht gemacht
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
 
Ivory Soa Suite
Ivory Soa SuiteIvory Soa Suite
Ivory Soa Suite
 
Echtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisierenEchtes Single Sign-On mit APEX realisieren
Echtes Single Sign-On mit APEX realisieren
 
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
2010 - Basta!: REST mit WCF 4, Silverlight und AJAX
 
Operational Vm Ware Management
Operational Vm Ware ManagementOperational Vm Ware Management
Operational Vm Ware Management
 
Azure Bootcamp Hamburg
Azure Bootcamp Hamburg Azure Bootcamp Hamburg
Azure Bootcamp Hamburg
 
Oracle WebLogic for DevOps
Oracle WebLogic for DevOpsOracle WebLogic for DevOps
Oracle WebLogic for DevOps
 
Oracle WebLogic for DevOps
Oracle WebLogic for DevOpsOracle WebLogic for DevOps
Oracle WebLogic for DevOps
 
Compliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-AchtCompliance und Governance in der DevOps-Acht
Compliance und Governance in der DevOps-Acht
 
Webinar SharePoint auf AWS
Webinar SharePoint auf AWSWebinar SharePoint auf AWS
Webinar SharePoint auf AWS
 
Laurent strauss app dna
Laurent strauss app dnaLaurent strauss app dna
Laurent strauss app dna
 

Mehr von adesso AG

SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)adesso AG
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPSNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPadesso AG
 
Mythos High Performance Teams
Mythos High Performance TeamsMythos High Performance Teams
Mythos High Performance Teamsadesso AG
 
A Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGA Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGadesso AG
 
Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!adesso AG
 
Continuous Delivery praktisch
Continuous Delivery praktischContinuous Delivery praktisch
Continuous Delivery praktischadesso AG
 
Agilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous DeliveryAgilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous Deliveryadesso AG
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?adesso AG
 
Getriebene Anwendungslandschaften
Getriebene AnwendungslandschaftenGetriebene Anwendungslandschaften
Getriebene Anwendungslandschaftenadesso AG
 
Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013adesso AG
 
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)adesso AG
 
OOP 2013 NoSQL Suche
OOP 2013 NoSQL SucheOOP 2013 NoSQL Suche
OOP 2013 NoSQL Sucheadesso AG
 
NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?adesso AG
 
Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.adesso AG
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDIadesso AG
 
Zehn Hinweise für Architekten
Zehn Hinweise für ArchitektenZehn Hinweise für Architekten
Zehn Hinweise für Architektenadesso AG
 
Agile Praktiken
Agile PraktikenAgile Praktiken
Agile Praktikenadesso AG
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS adesso AG
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5adesso AG
 
CloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App EngineCloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App Engineadesso AG
 

Mehr von adesso AG (20)

SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP (Kurzversion)
 
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMPSNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
SNMP Applied - Sicheres Anwendungs-Monitoring mit SNMP
 
Mythos High Performance Teams
Mythos High Performance TeamsMythos High Performance Teams
Mythos High Performance Teams
 
A Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AGA Business-Critical SharePoint Solution From adesso AG
A Business-Critical SharePoint Solution From adesso AG
 
Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!Was Sie über NoSQL Datenbanken wissen sollten!
Was Sie über NoSQL Datenbanken wissen sollten!
 
Continuous Delivery praktisch
Continuous Delivery praktischContinuous Delivery praktisch
Continuous Delivery praktisch
 
Agilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous DeliveryAgilität, Snapshots und Continuous Delivery
Agilität, Snapshots und Continuous Delivery
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
 
Getriebene Anwendungslandschaften
Getriebene AnwendungslandschaftenGetriebene Anwendungslandschaften
Getriebene Anwendungslandschaften
 
Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013Google App Engine JAX PaaS Parade 2013
Google App Engine JAX PaaS Parade 2013
 
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
Wartbare Web-Anwendungen mit Knockout.js und Model-View-ViewModel (MVVM)
 
OOP 2013 NoSQL Suche
OOP 2013 NoSQL SucheOOP 2013 NoSQL Suche
OOP 2013 NoSQL Suche
 
NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?NoSQL in der Cloud - Why?
NoSQL in der Cloud - Why?
 
Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.Lean web architecture mit jsf 2.0, cdi & co.
Lean web architecture mit jsf 2.0, cdi & co.
 
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDISchlanke Webarchitekturen nicht nur mit JSF 2 und CDI
Schlanke Webarchitekturen nicht nur mit JSF 2 und CDI
 
Zehn Hinweise für Architekten
Zehn Hinweise für ArchitektenZehn Hinweise für Architekten
Zehn Hinweise für Architekten
 
Agile Praktiken
Agile PraktikenAgile Praktiken
Agile Praktiken
 
Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS Java und Cloud - nicht nur mit PaaS
Java und Cloud - nicht nur mit PaaS
 
Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5Neue EBusiness Perspektiven durch HTML5
Neue EBusiness Perspektiven durch HTML5
 
CloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App EngineCloudConf2011 Introduction to Google App Engine
CloudConf2011 Introduction to Google App Engine
 

OWASP Top 10 : Scanning JSF

  • 1. OWASP Top 10: Scanning JSF Andreas Hartmann 22.09.2011
  • 2. Andreas Hartmann Principal Software Engineer E-Mail hartmann@adesso.de Tätigkeitsschwerpunkte: ► Konzeption und Implementierung von Softwarearchitekturen und Frameworks auf Basis der JEE Plattform ► Serviceorientierte Architekturen und Portaltechnologien im Kontext der Branchen Versicherung und Banken ► Speaker auf Konferenzen ► Betreuung von Projekt-/Bachelor-/Master-/Diplomarbeiten 22.09.2011 2 OWASP Top 10: Scanning JSF
  • 3. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 3 OWASP Top 10: Scanning JSF
  • 4. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 4 OWASP Top 10: Scanning JSF
  • 5. Web Application Security Kick Start Was ist Application Security ► Application Security umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische Fehler im Design, der Implementierung, dem Deployment und der Wartung von Software zu verhindern. Schutzziele von Application Security ► Vertraulichkeit & Integrität > der Daten > der Kommunikation ► Authentizität der Kommunikationspartner ► Verfügbarkeit der Services 22.09.2011 5 OWASP Top 10: Scanning JSF
  • 6. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung OS Services TCP IP Java Security Server OS 22.09.2011 6 OWASP Top 10: Scanning JSF
  • 7. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Filterung Absender & Ziel OS Services ► Absicherung IP- & TCP- TCP Verkehr IP Java Security ► Stateful Packet Inspection Server OS Network Firewall 22.09.2011 7 OWASP Top 10: Scanning JSF
  • 8. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Authentifizierung Autorisierung ► Durchführung OS Services Authentifizierung TCP ► Session Management IP Java Security ► Autorisierungsprüfung ► Schutz von Ressourcen Server OS Application Server 22.09.2011 8 OWASP Top 10: Scanning JSF
  • 9. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Web Application Firewall Authentifizierung Autorisierung ► Absicherung HTTP OS Services ► Validierung Get- & Post- TCP Parameter IP Java Security ► Ressourcen-Schutz auf URL- Basis Server OS ► Positive vs. Negative Security Model 22.09.2011 9 OWASP Top 10: Scanning JSF
  • 10. Web Application Security Kick Start Rahmenbedingungen für den WAF-Einsatz ► Abstimmung auf Web Applikation > Start bereits während der Entwicklung > Kontinuierliche Anpassung an Anwendungsänderungen ► Angleichung der Release-Zyklen von WAF und Applikation(en) ► Testaufwand für jedes Update einplanen ► SSL-Terminierung vor der WAF notwendig ► Bei optimaler Abstimmung gute Erkennungsraten möglich 22.09.2011 10 OWASP Top 10: Scanning JSF
  • 11. Web Application Security Kick Start Probleme beim WAF-Einsatz ► Ansatz negatives Security Model > Abhängigkeit von häufigen Updates > relativ hohe Gefahr von Anwendungsproblemen nach Updates ► Ansatz positive Security Model > lange Lernphase notwendig > optimale Abstimmung auf Applikation notwendig > relativ hohe Gefahr von False Positives ► allgemeines Risiko einer weiteren Infrastrukturkomponente ► Expertenwissen für sinnvollen Einsatz notwendig 22.09.2011 11 OWASP Top 10: Scanning JSF
  • 12. Web Application Security Kick Start Anwendungsschnittstelle Implementierung HTTP Application Security Komponente Authentifizierung Autorisierung ► Schutz gegen OS Services ► Injection Flaws TCP ► Cross-Site Scripting IP Java Security ► Cross-Site Request Forgery Server OS ► Denial of Service ► Logging von Angriffen 22.09.2011 12 OWASP Top 10: Scanning JSF
  • 13. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 13 OWASP Top 10: Scanning JSF
  • 14. OWASP Open Web Application Security Project (OWASP) Nonprofit Organisation www.owasp.org 22.09.2011 14 OWASP Top 10: Scanning JSF
  • 15. A1 - Injection Flaws Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker's hostile data tricks the interpreter into executing unintended commands or changing data. ► SQL ► Xpath ► etc. Quelle: http://xkcd.com/327/ Whitelist Validation & Escaping Special Characters & Prepared Statements zum Schutz gegen SQL Injection, … Quelle: https://www.owasp.org 22.09.2011 15 OWASP Top 10: Scanning JSF
  • 16. A2 – Cross Site Scripting (XSS) XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack user sessions, deface web sites, possibly introduce worms, etc. ► Session Hijacking ► Fernsteuerung des Browsers Whitelist Validation & Escaping Special Characters & Output Encoding Quelle: https://www.owasp.org 22.09.2011 16 OWASP Top 10: Scanning JSF
  • 17. A3 - Broken Authentication and Session Management Account credentials and session tokens are often not properly protected. Attackers compromise passwords, keys, or authentication tokens to assume other users' identities. ► Logische Fehler bei der Authentisierung und Autorisierung, z.B. beim Logout die Session nicht invalidiert Durchdachte Konzepte & richtige Konfiguration des Servers Quelle: https://www.owasp.org 22.09.2011 17 OWASP Top 10: Scanning JSF
  • 18. A4 - Insecure Direct Object Reference A direct object reference occurs when a developer exposes a reference to an internal implementation object, such as a file, directory, database record, or key, as a URL or form parameter. Attackers can manipulate those references to access other objects without authorization. ► Zugriff auf Daten die für den Benutzer nicht erreichbar sein sollen Bei der Entwicklung berücksichtigen und niemals darauf vertrauen, dass Referenzen korrekt sind Quelle: https://www.owasp.org 22.09.2011 18 OWASP Top 10: Scanning JSF
  • 19. A5 - Cross Site Request Forgery (CSRF) A CSRF attack forces a logged-on victim's browser to send a pre-authenticated request to a vulnerable web application, which then forces the victim's browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks. ► Vertrauensbruch zwischen Browser und Server (Session Riding) Einsatz eines dynamischen Tokens Quelle: https://www.owasp.org 22.09.2011 19 OWASP Top 10: Scanning JSF
  • 20. A6 – Security Misconfiguration Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, and platform. All these settings should be defined, implemented, and maintained as many are not shipped with secure defaults. This includes ke ► Keine gehärtete Konfiguration der verwendeten Framwork, Server, etc. Härten der Infrastruktur & Security Prozess zur Inbetriebnahme von Anwendungen Quelle: https://www.owasp.org 22.09.2011 20 OWASP Top 10: Scanning JSF
  • 21. A7 - Insecure Cryptographic Storage Web applications rarely use cryptographic functions properly to protect data and credentials. Attackers use weakly protected data to conduct identity theft and other crimes, such as credit card fraud. ► Verschlüsselte Ablage von sensitiven Daten Einsatz sicherer Kryptographiemechanismen & Vermeidung proprietärer Lösungen Quelle: https://www.owasp.org 22.09.2011 21 OWASP Top 10: Scanning JSF
  • 22. A8 - Failure to Restrict URL Access Frequently, an application only protects sensitive functionality by preventing the display of links or URLs to unauthorized users. Attackers can use this weakness to access and perform unauthorized operations by accessing those URLs directly. ► Erraten von URLs URL Pfadzugriff einschränken, nur das was tatsächlich notwendig ist Quelle: https://www.owasp.org 22.09.2011 22 OWASP Top 10: Scanning JSF
  • 23. A9 – Insufficient Transport Layer Protection Applications frequently fail to encrypt network traffic when it is necessary to protect sensitive communications. ► Datentransport kann abgehört werden ► Cookies können gestohlen werden Durchgängige Verwendung von SSL & Einsatz von gültigen Zertifikaten & Secure Flag für Cookies Quelle: https://www.owasp.org 22.09.2011 23 OWASP Top 10: Scanning JSF
  • 24. A10 – Unvalidated Redirects and Forwards Web applications frequently redirect and forward users to other pages and websites, and use untrusteddata to determine the destination pages. Without proper validation, attackers can redirect victims to phishing or malware sites, or use forwards to access unauthorized pages. ► Zugriff auf nicht autorisierte Seiten ► Umleitung des angemeldeten Benutzers auf eine Phishing Seite Nach Möglichkeit kein Redirect oder Forward im eigenen Code & Keine Benutzereingaben als Parameter Quelle: https://www.owasp.org 22.09.2011 24 OWASP Top 10: Scanning JSF
  • 25. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 25 OWASP Top 10: Scanning JSF
  • 26. Application Security Komponente JSF Lifecycle meets Security ► Injection Flaws (z.B. SQL-Injection) ► Cross-Site Scripting ► Cross-Site Request Forgery ► Denial of Service ► Never-Ending Application Usage ► Logging 22.09.2011 26 OWASP Top 10: Scanning JSF
  • 27. Agenda Web Application Security Kick Start OWASP Top Ten meets JSF Application Security Komponente Application Security Startup 22.09.2011 27 OWASP Top 10: Scanning JSF
  • 28. Application Security Startup Ansatzpunkte zur Einführung von Application Security Maßnahmen ► Definition eines Security Prozesses ► Schaffung von Security Awareness ► Anpassung der Architekturrichtlinien ► Erweiterung der Programmierrichtlinien > Nutzung von Security Infrastrukturcode prüfen > Ein- und Ausgabevalidierung > Sicheres Errorhandling & Logging ► Durchführung von Security Reviews > interne & externe Security Audits einplanen > Betrachtung der zu erstellenden Anwendung hinsichtlich allgemeiner und spezieller Sicherheitsrisiken > Einsatz von Werkzeugen zur statischen Codeanalyse während der Entwicklung 22.09.2011 28 OWASP Top 10: Scanning JSF
  • 29. Wir suchen Sie als ► Software-Architekt (m/w) ► Projektleiter (m/w) ► Senior Software Engineer (m/w) jobs@adesso.de www.AAAjobs.de