SlideShare ist ein Scribd-Unternehmen logo

8 robert schneider application security-audit_in_theorie_und_praxis

Digicomp Academy AG
Digicomp Academy AG
Technologie
1 von 53
Downloaden Sie, um offline zu lesen
Hacking Day 2011 Application Security Audit in Theorie und Praxis Jan Alsenz & Robert Schneider © 2011 OneConsult GmbH 16. Juni 2011 www.oneconsult.com
Agenda → Vorstellung → Application Security Audit → Optimaler Zeitpunkt → Testansatz → Schlussbericht → Live Demo → Fragen © 2011 OneConsult GmbH 2 www.oneconsult.com
Vorstellung © 2011 OneConsult GmbH 3 www.oneconsult.com
Referenten Jan Alsenz MSc ETH CS, OPST & OPSA Team Leader Security Audits jan.alsenz@oneconsult.com +41 79 377 15 15 Robert Schneider BSc FH CS, OPST Security Consultant robert.schneider@oneconsult.com +41 79 269 29 29 © 2011 OneConsult GmbH 4 www.oneconsult.com
Unternehmen → OneConsult GmbH ◦ Gründung 2003 ◦ IT Security Consulting & strategische Beratung ◦ Kein Verkauf von Hard- und Software ◦ 11 Mitarbeitende, wovon 9 Consultants ◦ Christoph Baumgartner, CEO & Inhaber ◦ Jan Alsenz, Teamleiter Security Audits & Teilhaber ◦ Dr. Cathrin Senn, Senior Consultant & Teilhaberin → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Österreich: Niederlassung in Wien © 2011 OneConsult GmbH 5 www.oneconsult.com
Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Security Awareness Training → Consulting ◦ Coaching ◦ Strategy & Organisation ◦ Policies & Guidelines → Security as a Service ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2011 OneConsult GmbH 6 www.oneconsult.com
Application Security Audit © 2011 OneConsult GmbH 7 www.oneconsult.com
Definition Gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Systeme aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker». © 2011 OneConsult GmbH 8 www.oneconsult.com
Berücksichtigt beispielsweise → Architektur → Compliance → Infrastruktur → Verantwortlichkeiten ◦ Vertrauensstellungen → User Management ◦ Authentisierungs- → Dokumentationspflege mechanismen → Umgang mit Source Code → Implementation → Patching-Prozess → Source Code © 2011 OneConsult GmbH 9 www.oneconsult.com
Stichwörter → Applikationen → Ansätze ◦ Online-Shops ◦ Client und Server ◦ Interbanking-Portale ◦ Dediziert vs. virtualisiert (Cloud) ◦ Mailserver ◦ Mobile Client ◦ Datenbanken ◦ Web Application vs. Web ◦ Branchenlösungen Service ◦ Mobile Apps ◦ Etc. ◦ Etc. → Environment ◦ Betriebssystem ◦ Programmiersprache ◦ Framework ◦ Etc. © 2011 OneConsult GmbH 10 www.oneconsult.com
Zweck und Nutzen → Qualitätssicherung dank (unabhängiger) IT Security-Analyse → Compliance: Nachweis bezüglich gesetzlicher Rahmenbedingungen und Vorgaben → Prävention: Ermöglicht (in der Zukunft) direkte und indirekte Kosteneinsparungen © 2011 OneConsult GmbH 11 www.oneconsult.com
Zweck und Nutzen → Awareness auf allen Stufen → Know-how Transfer → Argumentationsgrundlage für zukünftige ◦ IT Security-Investitionen ◦ Aktivitäten © 2011 OneConsult GmbH 12 www.oneconsult.com
Knackpunkte → Fach- und Sozialkompetenz der Tester und der am Projekt beteiligten Mitarbeiter → Vergleichbarkeit und Nachvollziehbarkeit von ◦ Offerten ◦ Vorgehen ◦ Resultaten und Dokumentationen → Compliance zu Gesetzen, Standards und Vorgaben erwünscht, aber: ◦ Nur rudimentäre Behandlung von technischen Audits in Standards (z.B. ISO/IEC 2700x) ◦ Keine offiziellen Checklisten oder Guidelines verfügbar © 2011 OneConsult GmbH 13 www.oneconsult.com
Optimaler Zeitpunkt © 2011 OneConsult GmbH 14 www.oneconsult.com
Typische Szenarien → Neuentwicklung → Neuer Release → Bestehende Lösung © 2011 OneConsult GmbH 15 www.oneconsult.com
Typische Zeitpunkte © 2011 OneConsult GmbH 16 www.oneconsult.com
Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review © 2011 OneConsult GmbH 17 www.oneconsult.com
Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review © 2011 OneConsult GmbH 18 www.oneconsult.com
Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-) © 2011 OneConsult GmbH 19 www.oneconsult.com
Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-) → In der Test-Phase: ◦ Nicht finales Umfeld (-) ◦ Teilweise noch nicht alles fertig / komplett funktionierend (-) © 2011 OneConsult GmbH 20 www.oneconsult.com
Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-) © 2011 OneConsult GmbH 21 www.oneconsult.com
Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-) → Live: ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Produktiv (evtl. Ausfälle) (-) © 2011 OneConsult GmbH 22 www.oneconsult.com
Testansatz © 2011 OneConsult GmbH 23 www.oneconsult.com
Typische Phasen → Offerte → Kick-off → Audit → Report (Diskussion/Präsentation) © 2011 OneConsult GmbH 24 www.oneconsult.com
Typische Stolpersteine → Offerte ◦ Kein Geld/Budget eingeplant ◦ Offerte zu früh: genauer Scope noch nicht bekannt ◦ Offerte zu spät: zu wenig Zeit vor Go-Live → Kick-off ◦ Parteien kommunizieren auf unterschiedlichen Ebenen ◦ Zu viele/falsche Personen sind anwesend ◦ Änderung des Scopes → Audit ◦ Verschiebungen ◦ Applikation/Umgebung noch nicht fertig ◦ Kundenseitige Vorbereitungen nicht abgeschlossen © 2011 OneConsult GmbH 25 www.oneconsult.com
OneConsult Testansatz Mischung aus zwei bekannten und verbreiteten Methoden → OSSTMM → OWASP © 2011 OneConsult GmbH 26 www.oneconsult.com
OSSTMM → Open Source Security Testing Methodology Manual → Entwicklung unter der Leitung von ISECOM, Institute for SECurity and Open Methodologies, http://www.osstmm.org → Erstausgabe 2001, aktueller offizieller Release OSSTMM 3.0 → Offene und frei verfügbare Methode zur ◦ Planung ◦ Durchführung ◦ Grobdokumentation von (technischen) Security Audits © 2011 OneConsult GmbH 27 www.oneconsult.com
OSSTMM → Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value) → Umfassender Verhaltenskodex (Rules of Engagement) → Compliant zu ISO/IEC 17799/27001, ITIL, BSI-Standard-100-1/4, SOX, Basel II etc. → Optionale Zertifizierung (Projekte, Personen und Organisationen) durch ISECOM → OneConsult ◦ ISECOM Licensed Auditor (Platinum Level) ◦ ISECOM Partner (akkreditierter Schulungsanbieter) ◦ Aktive Mitarbeit am OSSTMM: 3 Mitarbeiter im ISECOM Core Team ◦ Mehr als 300 Projekte nach OSSTMM seit 2003 © 2011 OneConsult GmbH 28 www.oneconsult.com
Open Web Application Security Project (OWASP) Idee → Unternehmen können mit Hilfe von OWASP-Bordmitteln Applikationen ◦ Entwickeln ◦ Beschaffen und ◦ Pflegen Ziel → Mehr Sicherheit in Applikationen © 2011 OneConsult GmbH 29 www.oneconsult.com
Open Web Application Security Project (OWASP) Gratis und offen für jeden, der den Sicherheitsaspekt von Applikationen verbessern möchte. → OWASP Top 10 → Tools → Dokumente → Foren → Teilnahme an Meetings der Ortsverbände http://www.owasp.org © 2011 OneConsult GmbH 30 www.oneconsult.com
Generischer Ablauf Application Security Audit © 2011 OneConsult GmbH 31 www.oneconsult.com
Schlussbericht © 2011 OneConsult GmbH 32 www.oneconsult.com
Schlussbericht Die Dokumentation sollte mindestens die folgenden Punkte beinhalten: → Kurze und prägnante Zusammenfassung (Management Summary) → Liste mit den detektierten Risiken (inkl. Kategorisierung) → Massnahmen und Empfehlungen (inkl. Priorisierung) © 2011 OneConsult GmbH 33 www.oneconsult.com
Live Demo © 2011 OneConsult GmbH 34 www.oneconsult.com
Live Demo Live-Vorstellung der Beispiel-Applikation Credits → Für die Live Demo wird Hacme Bank v2.0 von McAfee (Foundstone) verwendet. http://www.mcafee.com/ © 2011 OneConsult GmbH 35 www.oneconsult.com
Typische Schwachstellen → Typische Schwachstellen-Liste: ◦ Injection ◦ Cross Site Scripting (XSS) ◦ Broken Authentication and Session Management ◦ Insecure Direct Object References ◦ Cross Site Request Forgery (CSRF) ◦ Security Misconfiguration ◦ Insecure Cryptographic Storage ◦ Failure to Restrict URL Access ◦ Insufficient Transport Layer Protection ◦ Unvalidated Redirects und Forwards © 2011 OneConsult GmbH 36 www.oneconsult.com
SQL Injection → Bedeutung ◦ Applikation wird so angesprochen, dass diese (vom Betreiber nicht gewünschte) Kommandos an die Datenbank weiterleitet. → Datenbank ◦ Führt die eingeschleusten Kommandos aus → Impact ◦ Auslesen und unter Umständen Modifikation der gesamten Datenbank ◦ Voller Datenbank-Schema-, Account- oder sogar OS-Level-Zugriff © 2011 OneConsult GmbH 37 www.oneconsult.com
SQL Injection Inputfeld 1 $id = $_GET['id']; $querry = "SELECT name FROM users WHERE id = '$id'"; 2 Webserver © 2011 OneConsult GmbH 38 www.oneconsult.com
SQL Injection: Abhilfe → Verwendung einer Schnittstelle welche Bind-Variablen unterstützt (Prepared Statements, Stored Procedures) → Encoding der Benutzereingaben vor Übergabe an Datenbank → Inputvalidation anhand einer „White List“ → Minimalberechtigungen für Datenbankuser © 2011 OneConsult GmbH 39 www.oneconsult.com
Cross Site Scripting (XSS) → Bedeutung ◦ Rohdaten eines Angreifers werden an den Browser eines Users gesendet → Rohdaten ◦ In Datenbank abgespeichert: Stored XSS ◦ Von Web-Input reflektiert: Reflected XSS › Formularfeld, verstecktes Feld, URL, etc. → Impact ◦ Stehlen von › Aktiven Benutzer-Sessions › Sensitiven Daten › Benutzer-Zugangsdaten (Phishing) ◦ Umschreiben der Webseite (Defacement) ◦ Installation eines XSS-Proxys › Monitoring und Steuerung des Benutzerverhaltens › Umleiten auf andere Seiten © 2011 OneConsult GmbH 40 www.oneconsult.com
Cross Site Scripting (XSS) 1 <script> // Stehlen der aktiven 2 // Benutzer-Sessions </script> 3 Webserver Angreifer Opfer 4 <script> // Stehlen der aktiven // Benutzersessions </script> © 2011 OneConsult GmbH 41 www.oneconsult.com
Cross Site Scripting (XSS): Abhilfe → Unterbinden der Schwachstelle ◦ Keine vom Benutzer gelieferten Eingaben in Seiten einbinden → Schutzmassnahmen ◦ Output Encoding › Benutzereingaben werden vor der Ausgabe encodiert ◦ Inputvalidation › Benutzereingaben werden mittels „White List“-Ansatz validiert © 2011 OneConsult GmbH 42 www.oneconsult.com
Session-Handling → Bedeutung ◦ Session-IDs ermöglichen es aus dem ansonsten statuslosen HTTP, statusorientierte Anfragen zu versenden ◦ Session-IDs können oft an den folgenden Stellen ausgelesen werden: › Netzwerke (WLAN) › Browser (Cookie) › Logs › Etc. → Impact ◦ Session Hijacking › Angreifer gelangt an gültige Session-ID › Im Kontext des betroffen Benutzers agieren © 2011 OneConsult GmbH 43 www.oneconsult.com
Session-Handling 1 Opfer Session-ID Webserver 2 3 4 Session-ID Angreifer © 2011 OneConsult GmbH 44 www.oneconsult.com
Session-Handling: Abhilfe → Session-IDs sollten immer durch SSL geschützt werden → Oder zusätzlich an IP oder Browser-Merkmale gebunden werden → Session-IDs sollten zufällig und nicht vorhersagbar sein → Session-ID sollte bei der Anmeldung ausgetauscht werden → Zerstören der Session bei der Benutzerabmeldung / Timeout © 2011 OneConsult GmbH 45 www.oneconsult.com
Cross Site Request Forgery (CSRF) → Bedeutung ◦ Browser des Opfers führt ungewollt Aktionen auf einer vom Angreifer gewählten verwundbaren Seite aus. ◦ Funktioniert weil Browser automatisch einen Grossteil der Authentisierungsdaten an jede abgesendete Anfrage anhängt › Session-Cookies › Basic Authentication Header › IP-Adresse › Client-seitige SSL Zertifikate › Windows-Domänen-Authentisierung → Impact ◦ Initiieren von Transaktionen › Überweisungen › Benutzerlogout › Etc. ◦ Änderung von Kontendaten ◦ Ausnutzen von XSS © 2011 OneConsult GmbH 46 www.oneconsult.com
Cross Site Request Forgery (CSRF) 2 1 Angreifer Opfer Webserver 3 <script> // Bank: überweise 500 </script> © 2011 OneConsult GmbH 47 www.oneconsult.com
Cross Site Request Forgery (CSRF): Abhilfe → Verwenden eines nicht automatisch übermittelten Tokens für alle Aktions-Anfragen ◦ Z.B. Hidden Post Parameter ◦ Token sollte kryptografisch stark zufällig sein XSS Schwachstelle ermöglicht es diese Massnahme zu umgehen. © 2011 OneConsult GmbH 48 www.oneconsult.com
Web Application Firewall (WAF) → Volle Unterstützung für HTTP: ◦ Der Zugriff auf einzelne Felder (Feldinhalt, Länge, Anzahlfelder, etc.) ◦ Gesamte Transaktion (beide, Anfrage und Antwort) → Kann gewisse Angriffe verhindern ◦ CSRF ◦ Session-Handling → Versucht andere Angriffe zu filtern → Anti-Evasion-Funktionen ◦ Normalisierung ◦ Kanonisierung ◦ Transformation © 2011 OneConsult GmbH 49 www.oneconsult.com
Web Application Firewall (WAF) © 2011 OneConsult GmbH 50 www.oneconsult.com
Web Application Firewall (WAF) Eine WAF kann und wird NICHT alle Angriffe erkennen und verhindern können! © 2011 OneConsult GmbH 51 www.oneconsult.com
Fragen © 2011 OneConsult GmbH 52 www.oneconsult.com
© 2011 OneConsult GmbH www.oneconsult.com OneConsult Ansprechpartner Jan Alsenz Robert Schneider MSc ETH CS, OPST & OPSA BSc FH CS, OPST Team Leader Security Audits Security Consultant jan.alsenz@oneconsult.com robert.schneider@oneconsult.com +41 79 377 15 15 +41 79 269 29 29 Hauptsitz Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Twin Tower, Wienerbergstrasse 11/12A 8800 Thalwil 1100 Wien Schweiz Österreich Tel +41 43 377 22 22 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.at © 2011 OneConsult GmbH www.oneconsult.com

Empfohlen

Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...OPITZ CONSULTING Deutschland
 
Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)sebastianschinzel
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineeringhybr1s
 
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1Daniel Niklaus
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 

Empfohlen

Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...
Audit Vault. Auditiert, und dann? - DOAG Regio Essen 2011 - OPITZ CONSULTING ...OPITZ CONSULTING Deutschland
 
Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)Measuring The Security Of Web Applications (Owasp Germany 2008)
Measuring The Security Of Web Applications (Owasp Germany 2008)sebastianschinzel
 
Social Engineering
Social EngineeringSocial Engineering
Social Engineeringhybr1s
 
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1
Computersicherheit im Unternehmen - Was ist Social Engineering Teil 1Daniel Niklaus
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019ConSol Consulting & Solutions Software GmbH
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®pro accessio GmbH & Co. KG
 
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...OPITZ CONSULTING Deutschland
 
Microsoft Azure in der Unternehmenspraxis
Microsoft Azure in der UnternehmenspraxisMicrosoft Azure in der Unternehmenspraxis
Microsoft Azure in der UnternehmenspraxisPOINT. Consulting GmbH
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanBeck et al. GmbH
 
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Pierluigi Pugliese
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2Bernd Rodler
 
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher WegSicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher WegIBsolution GmbH
 
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...Nico Meisenzahl
 
OpenSource Revolution-Evolution
OpenSource Revolution-EvolutionOpenSource Revolution-Evolution
OpenSource Revolution-Evolutionpro accessio GmbH & Co. KG
 
ConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, LösungenConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, LösungenIsabel Baum
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Intranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxIntranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxBrigitte Ilsanker
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean CollaborationChristoph Schumacher
 
Syntegris Unternehmensprofil
Syntegris UnternehmensprofilSyntegris Unternehmensprofil
Syntegris Unternehmensprofilsyntegris information solutions GmbH
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenOPITZ CONSULTING Deutschland
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)OPITZ CONSULTING Deutschland
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 

Weitere ähnliche Inhalte

Ähnlich wie 8 robert schneider application security-audit_in_theorie_und_praxis

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisDigicomp Academy AG
 
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...OPITZ CONSULTING Deutschland
 
Microsoft Azure in der Unternehmenspraxis
Microsoft Azure in der UnternehmenspraxisMicrosoft Azure in der Unternehmenspraxis
Microsoft Azure in der UnternehmenspraxisPOINT. Consulting GmbH
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanBeck et al. GmbH
 
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Pierluigi Pugliese
 
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher WegSicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher WegIBsolution GmbH
 
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...Nico Meisenzahl
 
ConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, LösungenConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, LösungenIsabel Baum
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Intranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxIntranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxBrigitte Ilsanker
 

Ähnlich wie 8 robert schneider application security-audit_in_theorie_und_praxis (20)

Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und PraxisGriffige Informationen Security Policies – Balance zwischen Theorie und Praxis
Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis
 
ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019ConSol Unternehmenspräsentation 2019
ConSol Unternehmenspräsentation 2019
 
Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®Agiles Wissensmanagement im Service mit KCS®
Agiles Wissensmanagement im Service mit KCS®
 
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
ATDD mit Concordion und WebDriver - Berlin Expert Days - OPITZ CONSULTING - T...
 
Microsoft Azure in der Unternehmenspraxis
Microsoft Azure in der UnternehmenspraxisMicrosoft Azure in der Unternehmenspraxis
Microsoft Azure in der Unternehmenspraxis
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplan
 
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)Large-Scale Product Owner @ XPDays Germany (5.10.2023)
Large-Scale Product Owner @ XPDays Germany (5.10.2023)
 
Br fra-v1.2
Br fra-v1.2Br fra-v1.2
Br fra-v1.2
 
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher WegSicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
Sicherheit und Effizienz für SAP Berechtigungen - Ihr persönlicher Weg
 
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
Agile, DevOps, Continuous Delivery: Was ist das und wie betrifft es mich als ...
 
OpenSource Revolution-Evolution
OpenSource Revolution-EvolutionOpenSource Revolution-Evolution
OpenSource Revolution-Evolution
 
ConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, LösungenConSol: Unternehmen, Leistungen, Lösungen
ConSol: Unternehmen, Leistungen, Lösungen
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Intranet Implementierung mit Intrexx
Intranet Implementierung mit IntrexxIntranet Implementierung mit Intrexx
Intranet Implementierung mit Intrexx
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean Collaboration
 
Syntegris Unternehmensprofil
Syntegris UnternehmensprofilSyntegris Unternehmensprofil
Syntegris Unternehmensprofil
 
Agile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles TestenAgile BI in der Praxis - Agiles Testen
Agile BI in der Praxis - Agiles Testen
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

8 robert schneider application security-audit_in_theorie_und_praxis

  • 1. Hacking Day 2011 Application Security Audit in Theorie und Praxis Jan Alsenz & Robert Schneider © 2011 OneConsult GmbH 16. Juni 2011 www.oneconsult.com
  • 2. Agenda → Vorstellung → Application Security Audit → Optimaler Zeitpunkt → Testansatz → Schlussbericht → Live Demo → Fragen © 2011 OneConsult GmbH 2 www.oneconsult.com
  • 3. Vorstellung © 2011 OneConsult GmbH 3 www.oneconsult.com
  • 4. Referenten Jan Alsenz MSc ETH CS, OPST & OPSA Team Leader Security Audits jan.alsenz@oneconsult.com +41 79 377 15 15 Robert Schneider BSc FH CS, OPST Security Consultant robert.schneider@oneconsult.com +41 79 269 29 29 © 2011 OneConsult GmbH 4 www.oneconsult.com
  • 5. Unternehmen → OneConsult GmbH ◦ Gründung 2003 ◦ IT Security Consulting & strategische Beratung ◦ Kein Verkauf von Hard- und Software ◦ 11 Mitarbeitende, wovon 9 Consultants ◦ Christoph Baumgartner, CEO & Inhaber ◦ Jan Alsenz, Teamleiter Security Audits & Teilhaber ◦ Dr. Cathrin Senn, Senior Consultant & Teilhaberin → Standorte ◦ Schweiz: Hauptsitz in Thalwil ◦ Österreich: Niederlassung in Wien © 2011 OneConsult GmbH 5 www.oneconsult.com
  • 6. Dienstleistungen → Security Audits → Incident Response ◦ Security Scan ◦ Emergency Response ◦ Penetration Test ◦ Computer Forensics ◦ Application Security Audit ◦ Ethical Hacking → Training & Coaching ◦ Conceptual Security Audit ◦ OSSTMM Zertifizierungskurse ◦ Security Awareness Training → Consulting ◦ Coaching ◦ Strategy & Organisation ◦ Policies & Guidelines → Security as a Service ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management © 2011 OneConsult GmbH 6 www.oneconsult.com
  • 7. Application Security Audit © 2011 OneConsult GmbH 7 www.oneconsult.com
  • 8. Definition Gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Systeme aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker». © 2011 OneConsult GmbH 8 www.oneconsult.com
  • 9. Berücksichtigt beispielsweise → Architektur → Compliance → Infrastruktur → Verantwortlichkeiten ◦ Vertrauensstellungen → User Management ◦ Authentisierungs- → Dokumentationspflege mechanismen → Umgang mit Source Code → Implementation → Patching-Prozess → Source Code © 2011 OneConsult GmbH 9 www.oneconsult.com
  • 10. Stichwörter → Applikationen → Ansätze ◦ Online-Shops ◦ Client und Server ◦ Interbanking-Portale ◦ Dediziert vs. virtualisiert (Cloud) ◦ Mailserver ◦ Mobile Client ◦ Datenbanken ◦ Web Application vs. Web ◦ Branchenlösungen Service ◦ Mobile Apps ◦ Etc. ◦ Etc. → Environment ◦ Betriebssystem ◦ Programmiersprache ◦ Framework ◦ Etc. © 2011 OneConsult GmbH 10 www.oneconsult.com
  • 11. Zweck und Nutzen → Qualitätssicherung dank (unabhängiger) IT Security-Analyse → Compliance: Nachweis bezüglich gesetzlicher Rahmenbedingungen und Vorgaben → Prävention: Ermöglicht (in der Zukunft) direkte und indirekte Kosteneinsparungen © 2011 OneConsult GmbH 11 www.oneconsult.com
  • 12. Zweck und Nutzen → Awareness auf allen Stufen → Know-how Transfer → Argumentationsgrundlage für zukünftige ◦ IT Security-Investitionen ◦ Aktivitäten © 2011 OneConsult GmbH 12 www.oneconsult.com
  • 13. Knackpunkte → Fach- und Sozialkompetenz der Tester und der am Projekt beteiligten Mitarbeiter → Vergleichbarkeit und Nachvollziehbarkeit von ◦ Offerten ◦ Vorgehen ◦ Resultaten und Dokumentationen → Compliance zu Gesetzen, Standards und Vorgaben erwünscht, aber: ◦ Nur rudimentäre Behandlung von technischen Audits in Standards (z.B. ISO/IEC 2700x) ◦ Keine offiziellen Checklisten oder Guidelines verfügbar © 2011 OneConsult GmbH 13 www.oneconsult.com
  • 14. Optimaler Zeitpunkt © 2011 OneConsult GmbH 14 www.oneconsult.com
  • 15. Typische Szenarien → Neuentwicklung → Neuer Release → Bestehende Lösung © 2011 OneConsult GmbH 15 www.oneconsult.com
  • 16. Typische Zeitpunkte © 2011 OneConsult GmbH 16 www.oneconsult.com
  • 17. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review © 2011 OneConsult GmbH 17 www.oneconsult.com
  • 18. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review © 2011 OneConsult GmbH 18 www.oneconsult.com
  • 19. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-) © 2011 OneConsult GmbH 19 www.oneconsult.com
  • 20. Typische Zeitpunkte → Frühe Entwicklung: Eher Konzept-Review → In der Entwicklung: Eher Code-Review → Gegen Ende der Entwicklung: ◦ Häufig noch nicht alles fertig oder nicht funktionierend (-) ◦ Nicht finales Umfeld (-) → In der Test-Phase: ◦ Nicht finales Umfeld (-) ◦ Teilweise noch nicht alles fertig / komplett funktionierend (-) © 2011 OneConsult GmbH 20 www.oneconsult.com
  • 21. Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-) © 2011 OneConsult GmbH 21 www.oneconsult.com
  • 22. Typische Zeitpunkte → In Produktiv-Umgebung vor Go-Live: optimal ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Noch nicht produktiv (+) ◦ Meistens dedizierte Testingzeit nötig (-) → Live: ◦ Funktion komplett (+) ◦ In Zielumgebung (+) ◦ Produktiv (evtl. Ausfälle) (-) © 2011 OneConsult GmbH 22 www.oneconsult.com
  • 23. Testansatz © 2011 OneConsult GmbH 23 www.oneconsult.com
  • 24. Typische Phasen → Offerte → Kick-off → Audit → Report (Diskussion/Präsentation) © 2011 OneConsult GmbH 24 www.oneconsult.com
  • 25. Typische Stolpersteine → Offerte ◦ Kein Geld/Budget eingeplant ◦ Offerte zu früh: genauer Scope noch nicht bekannt ◦ Offerte zu spät: zu wenig Zeit vor Go-Live → Kick-off ◦ Parteien kommunizieren auf unterschiedlichen Ebenen ◦ Zu viele/falsche Personen sind anwesend ◦ Änderung des Scopes → Audit ◦ Verschiebungen ◦ Applikation/Umgebung noch nicht fertig ◦ Kundenseitige Vorbereitungen nicht abgeschlossen © 2011 OneConsult GmbH 25 www.oneconsult.com
  • 26. OneConsult Testansatz Mischung aus zwei bekannten und verbreiteten Methoden → OSSTMM → OWASP © 2011 OneConsult GmbH 26 www.oneconsult.com
  • 27. OSSTMM → Open Source Security Testing Methodology Manual → Entwicklung unter der Leitung von ISECOM, Institute for SECurity and Open Methodologies, http://www.osstmm.org → Erstausgabe 2001, aktueller offizieller Release OSSTMM 3.0 → Offene und frei verfügbare Methode zur ◦ Planung ◦ Durchführung ◦ Grobdokumentation von (technischen) Security Audits © 2011 OneConsult GmbH 27 www.oneconsult.com
  • 28. OSSTMM → Sicherheitsniveau als neutraler Zahlenwert (Risk Assessment Value) → Umfassender Verhaltenskodex (Rules of Engagement) → Compliant zu ISO/IEC 17799/27001, ITIL, BSI-Standard-100-1/4, SOX, Basel II etc. → Optionale Zertifizierung (Projekte, Personen und Organisationen) durch ISECOM → OneConsult ◦ ISECOM Licensed Auditor (Platinum Level) ◦ ISECOM Partner (akkreditierter Schulungsanbieter) ◦ Aktive Mitarbeit am OSSTMM: 3 Mitarbeiter im ISECOM Core Team ◦ Mehr als 300 Projekte nach OSSTMM seit 2003 © 2011 OneConsult GmbH 28 www.oneconsult.com
  • 29. Open Web Application Security Project (OWASP) Idee → Unternehmen können mit Hilfe von OWASP-Bordmitteln Applikationen ◦ Entwickeln ◦ Beschaffen und ◦ Pflegen Ziel → Mehr Sicherheit in Applikationen © 2011 OneConsult GmbH 29 www.oneconsult.com
  • 30. Open Web Application Security Project (OWASP) Gratis und offen für jeden, der den Sicherheitsaspekt von Applikationen verbessern möchte. → OWASP Top 10 → Tools → Dokumente → Foren → Teilnahme an Meetings der Ortsverbände http://www.owasp.org © 2011 OneConsult GmbH 30 www.oneconsult.com
  • 31. Generischer Ablauf Application Security Audit © 2011 OneConsult GmbH 31 www.oneconsult.com
  • 32. Schlussbericht © 2011 OneConsult GmbH 32 www.oneconsult.com
  • 33. Schlussbericht Die Dokumentation sollte mindestens die folgenden Punkte beinhalten: → Kurze und prägnante Zusammenfassung (Management Summary) → Liste mit den detektierten Risiken (inkl. Kategorisierung) → Massnahmen und Empfehlungen (inkl. Priorisierung) © 2011 OneConsult GmbH 33 www.oneconsult.com
  • 34. Live Demo © 2011 OneConsult GmbH 34 www.oneconsult.com
  • 35. Live Demo Live-Vorstellung der Beispiel-Applikation Credits → Für die Live Demo wird Hacme Bank v2.0 von McAfee (Foundstone) verwendet. http://www.mcafee.com/ © 2011 OneConsult GmbH 35 www.oneconsult.com
  • 36. Typische Schwachstellen → Typische Schwachstellen-Liste: ◦ Injection ◦ Cross Site Scripting (XSS) ◦ Broken Authentication and Session Management ◦ Insecure Direct Object References ◦ Cross Site Request Forgery (CSRF) ◦ Security Misconfiguration ◦ Insecure Cryptographic Storage ◦ Failure to Restrict URL Access ◦ Insufficient Transport Layer Protection ◦ Unvalidated Redirects und Forwards © 2011 OneConsult GmbH 36 www.oneconsult.com
  • 37. SQL Injection → Bedeutung ◦ Applikation wird so angesprochen, dass diese (vom Betreiber nicht gewünschte) Kommandos an die Datenbank weiterleitet. → Datenbank ◦ Führt die eingeschleusten Kommandos aus → Impact ◦ Auslesen und unter Umständen Modifikation der gesamten Datenbank ◦ Voller Datenbank-Schema-, Account- oder sogar OS-Level-Zugriff © 2011 OneConsult GmbH 37 www.oneconsult.com
  • 38. SQL Injection Inputfeld 1 $id = $_GET['id']; $querry = "SELECT name FROM users WHERE id = '$id'"; 2 Webserver © 2011 OneConsult GmbH 38 www.oneconsult.com
  • 39. SQL Injection: Abhilfe → Verwendung einer Schnittstelle welche Bind-Variablen unterstützt (Prepared Statements, Stored Procedures) → Encoding der Benutzereingaben vor Übergabe an Datenbank → Inputvalidation anhand einer „White List“ → Minimalberechtigungen für Datenbankuser © 2011 OneConsult GmbH 39 www.oneconsult.com
  • 40. Cross Site Scripting (XSS) → Bedeutung ◦ Rohdaten eines Angreifers werden an den Browser eines Users gesendet → Rohdaten ◦ In Datenbank abgespeichert: Stored XSS ◦ Von Web-Input reflektiert: Reflected XSS › Formularfeld, verstecktes Feld, URL, etc. → Impact ◦ Stehlen von › Aktiven Benutzer-Sessions › Sensitiven Daten › Benutzer-Zugangsdaten (Phishing) ◦ Umschreiben der Webseite (Defacement) ◦ Installation eines XSS-Proxys › Monitoring und Steuerung des Benutzerverhaltens › Umleiten auf andere Seiten © 2011 OneConsult GmbH 40 www.oneconsult.com
  • 41. Cross Site Scripting (XSS) 1 <script> // Stehlen der aktiven 2 // Benutzer-Sessions </script> 3 Webserver Angreifer Opfer 4 <script> // Stehlen der aktiven // Benutzersessions </script> © 2011 OneConsult GmbH 41 www.oneconsult.com
  • 42. Cross Site Scripting (XSS): Abhilfe → Unterbinden der Schwachstelle ◦ Keine vom Benutzer gelieferten Eingaben in Seiten einbinden → Schutzmassnahmen ◦ Output Encoding › Benutzereingaben werden vor der Ausgabe encodiert ◦ Inputvalidation › Benutzereingaben werden mittels „White List“-Ansatz validiert © 2011 OneConsult GmbH 42 www.oneconsult.com
  • 43. Session-Handling → Bedeutung ◦ Session-IDs ermöglichen es aus dem ansonsten statuslosen HTTP, statusorientierte Anfragen zu versenden ◦ Session-IDs können oft an den folgenden Stellen ausgelesen werden: › Netzwerke (WLAN) › Browser (Cookie) › Logs › Etc. → Impact ◦ Session Hijacking › Angreifer gelangt an gültige Session-ID › Im Kontext des betroffen Benutzers agieren © 2011 OneConsult GmbH 43 www.oneconsult.com
  • 44. Session-Handling 1 Opfer Session-ID Webserver 2 3 4 Session-ID Angreifer © 2011 OneConsult GmbH 44 www.oneconsult.com
  • 45. Session-Handling: Abhilfe → Session-IDs sollten immer durch SSL geschützt werden → Oder zusätzlich an IP oder Browser-Merkmale gebunden werden → Session-IDs sollten zufällig und nicht vorhersagbar sein → Session-ID sollte bei der Anmeldung ausgetauscht werden → Zerstören der Session bei der Benutzerabmeldung / Timeout © 2011 OneConsult GmbH 45 www.oneconsult.com
  • 46. Cross Site Request Forgery (CSRF) → Bedeutung ◦ Browser des Opfers führt ungewollt Aktionen auf einer vom Angreifer gewählten verwundbaren Seite aus. ◦ Funktioniert weil Browser automatisch einen Grossteil der Authentisierungsdaten an jede abgesendete Anfrage anhängt › Session-Cookies › Basic Authentication Header › IP-Adresse › Client-seitige SSL Zertifikate › Windows-Domänen-Authentisierung → Impact ◦ Initiieren von Transaktionen › Überweisungen › Benutzerlogout › Etc. ◦ Änderung von Kontendaten ◦ Ausnutzen von XSS © 2011 OneConsult GmbH 46 www.oneconsult.com
  • 47. Cross Site Request Forgery (CSRF) 2 1 Angreifer Opfer Webserver 3 <script> // Bank: überweise 500 </script> © 2011 OneConsult GmbH 47 www.oneconsult.com
  • 48. Cross Site Request Forgery (CSRF): Abhilfe → Verwenden eines nicht automatisch übermittelten Tokens für alle Aktions-Anfragen ◦ Z.B. Hidden Post Parameter ◦ Token sollte kryptografisch stark zufällig sein XSS Schwachstelle ermöglicht es diese Massnahme zu umgehen. © 2011 OneConsult GmbH 48 www.oneconsult.com
  • 49. Web Application Firewall (WAF) → Volle Unterstützung für HTTP: ◦ Der Zugriff auf einzelne Felder (Feldinhalt, Länge, Anzahlfelder, etc.) ◦ Gesamte Transaktion (beide, Anfrage und Antwort) → Kann gewisse Angriffe verhindern ◦ CSRF ◦ Session-Handling → Versucht andere Angriffe zu filtern → Anti-Evasion-Funktionen ◦ Normalisierung ◦ Kanonisierung ◦ Transformation © 2011 OneConsult GmbH 49 www.oneconsult.com
  • 50. Web Application Firewall (WAF) © 2011 OneConsult GmbH 50 www.oneconsult.com
  • 51. Web Application Firewall (WAF) Eine WAF kann und wird NICHT alle Angriffe erkennen und verhindern können! © 2011 OneConsult GmbH 51 www.oneconsult.com
  • 52. Fragen © 2011 OneConsult GmbH 52 www.oneconsult.com
  • 53. © 2011 OneConsult GmbH www.oneconsult.com OneConsult Ansprechpartner Jan Alsenz Robert Schneider MSc ETH CS, OPST & OPSA BSc FH CS, OPST Team Leader Security Audits Security Consultant jan.alsenz@oneconsult.com robert.schneider@oneconsult.com +41 79 377 15 15 +41 79 269 29 29 Hauptsitz Büro Österreich OneConsult GmbH Niederlassung der OneConsult GmbH Schützenstrasse 1 Twin Tower, Wienerbergstrasse 11/12A 8800 Thalwil 1100 Wien Schweiz Österreich Tel +41 43 377 22 22 Tel +43 1 99460 64 69 Fax +41 43 377 22 77 Fax +43 1 99460 50 00 info@oneconsult.com info@oneconsult.at © 2011 OneConsult GmbH www.oneconsult.com