Om OWASP projektet och generellt om webbsäkerhet. Framfördes under GeekMeet Västerås Feb 2017

1. OWASP Top 10
Jonas Lejon
Triop
Geek Meet VST
Feb 2017

2. $ whoami
• FRA, Försvarsmakten
• Triop AB - Eget företag sedan 2013
• Styrelseledamot IIS, ISOC-SE
• Advisory board Holm Security
• Bloggar på kryptera.se
– Och penetrationstest.se

3. MEN FÖRST..

4. GDPR
• Dataskyddsreformen
• General Data Protection Regulation
• Ersätter PUL (personuppgiftslagen)
• Gäller från 25 maj 2018

5. GDPR
• Användare ska ges enkel tillgång till sina egna
uppgifter
• Tydligare hur personuppgifter samlas in och vad
som anses vara ett samtycke
• Användare kan få sina uppgifter flyttade från en
organisation till en annan
• Användare kan få sina uppgifter borttagna
• Organisationer som drabbats av en incident
måste anmäla detta inom 72 timmar från det att
dataintrånget upptäcks

6. GDPR
• Böter på upp till €20 miljoner eller 4 % av
globala omsättningen
• Rekommendationer:
– Var finns personlig data
– Kontroll av läsning
– Övervaka nätverk
– Testa säkerheten med ett penetrationstest

7. WEBBSÄKERHET

8. Erfarenheter och trender
• System har sårbarheter
– God separation mellan system
– Loggning + detektion
– Höj ribban
– Använd låga behörigheter
• Se till att säkerhet inte blir en teknisk skuld
• Utför oberoende granskningar

9. Erfarenheter och trender
• Utför code reviews
• Automatiska tester
– Qualys
– Detectify
– Nessus
– Holm Security
• Hur lagras hemligheter såsom API-nycklar
• Best practices för SSH-nycklar

10. OWASP
The Open Web Application Security Project

11. Om organisationen
• Ideell förening som grundades 2001
– 42k medlemmar
• Transparens, öppenhet, integritet och innovation
• Events i form av AppSec
• Finns i Sverige på flertalet ställen:
– Stockholm
– North Sweden (Umeå)
– East Sweden (Linköping)
– Göteborg
• Kommunikation i Sverige via E-postlista

12. Globala projekt
• OWASP Top 10
• OWASP Zed Attack Proxy Project (ZAP)
• OWASP Testing Guide v4

13. OWASP Top Ten Project
• Topp 10 kategorier av webbsårbarheter
– Senaste versionen utkom 2013
– Ny version 2017
– Licensierad under CC Attribution-ShareAlike
3.0
• Refereras till
– PCI DSS
– Upphandlingar, krav

14. OWASP Top Ten Project
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities
A10 Unvalidated Redirects and Forwards

15. ZAP
• Verktyg för att automatisera attacker
• Utvecklat i java
• Modulärt
• Proxy för din webbläsare
• Alternativ: Burp Suite

16. ZAP

17. ZAP

18. OWASP Testing Guide v4
https://owasp.org/index.php/Category:OWASP_Top_Ten_Project

19. Lär dig mer om webbsäkerhet
• Bugcrowd
• HackerOne
• DVWA - Damn Vulnerable Web Application

20. Twitter: @kryptera
jonas@triop.se