SlideShare ist ein Scribd-Unternehmen logo

Web security mit owasp asvs

B
Benedikt Bauer

## Abstract Web applications are getting more and more complex and at the same time serve more people at once than desktop applications. Therefore the security-requirements for web applications are rising to higher levels. Common ways to determine the security of an application are either purely documenting the processes or simulating attacks over the course of a penetration test. The OWASP Application Security Verification Standard promises to have a better solution by checking and documenting actual security features. On the other hand, many modern software projects use frameworks and tried and tested designs to reduce the overhead for security and maintenance during development and when running the application. The goal of this thesis is to find out how good one can assess the security of an application using that standard and if and how it’s possible to automate the security features or at least to include them in the development process. ## Kurzfassung Webanwendungen werden ständig komplexer und bedienen gleichzeitig mehr Menschen auf einmal als Desktop-Anwendungen. Damit steigt auch das Sicherheitsbedürfnis für Webanwendungen. Übliche Wege, um die Sicherheit einer Anwendung festzustellen und zu dokumentieren sind entweder reine Prozessdokumentationen oder simulierte Angriffe im Rahmen eines Penetration Tests. Der OWASP Application Security Verification Standard verspricht hier eine bessere Lösung gefunden zu haben indem konkrete Sicherheitsmaßnahmen geprüft und dokumentiert werden. Auf der anderen Seite setzen viele moderne Softwareprojekte auf die Hilfe von Frameworks und erprobten Architekturen, um den Sicherheits- und Wartungsaufwand während Betrieb und Entwicklung zu minimieren. Ziel dieser Arbeit ist es daher festzustellen inwieweit eine Sicherheitseinschätzung mithilfe des Standards möglich ist und ob und wie sich die Anforderungen entweder automatisieren lassen oder zumindest in den Entwicklungsprozess integriert werden können.

Software
1 von 108
Downloaden Sie, um offline zu lesen
WEB SECURITY MIT DEM OWASP ASVSWEB SECURITY MIT DEM OWASP ASVS Kolloquium zur Masterarbeit "Untersuchung einer Webanwendung nach dem OWASP Application Security Veri cation Standard" von Benedikt Bauer
WARUM?WARUM? (MOTIVATION)(MOTIVATION)
GESETZLICHE VERPFLICHTUNG ZU IT-SICHERHEITGESETZLICHE VERPFLICHTUNG ZU IT-SICHERHEIT
WIE KONNTE DAS PASSIEREN?WIE KONNTE DAS PASSIEREN? OWASP TOP 10 SICHERHEITSRISIKENOWASP TOP 10 SICHERHEITSRISIKEN
OWASP TOP 10 - 2017 (1-5)OWASP TOP 10 - 2017 (1-5)
OWASP TOP 10 - 2017 (6-10)OWASP TOP 10 - 2017 (6-10)
WAS ALSO TUN?WAS ALSO TUN? (ZIELE)(ZIELE)
WAS ALSO TUN?WAS ALSO TUN? (ZIELE)(ZIELE) Sicherheit einschätzen
WAS ALSO TUN?WAS ALSO TUN? (ZIELE)(ZIELE) Sicherheit einschätzen Sicherheitslücken schließen
WAS ALSO TUN?WAS ALSO TUN? (ZIELE)(ZIELE) Sicherheit einschätzen Sicherheitslücken schließen Neuen Sicherheitsproblemen vorbeugen
WIE KÖNNEN ZIELE ERREICHT WERDEN?WIE KÖNNEN ZIELE ERREICHT WERDEN? (STAND DER TECHNIK)(STAND DER TECHNIK) Sicherheitsstandards Best practices / Richtlinien für sichere Softwareentwicklung
SICHERHEITSSTANDARDSSICHERHEITSSTANDARDS ISMS nach ISO27000 Reihe PCI-DSS BSI IT-Grundschutz (Baustein Webanwendungen)
SICHERHEITSSTANDARDSSICHERHEITSSTANDARDS ISMS nach ISO27000 Reihe nur grobe Vorgaben zur Untersuchung, kaum Vorgaben zur eigentlichen Sicherheit PCI-DSS BSI IT-Grundschutz (Baustein Webanwendungen)
SICHERHEITSSTANDARDSSICHERHEITSSTANDARDS ISMS nach ISO27000 Reihe nur grobe Vorgaben zur Untersuchung, kaum Vorgaben zur eigentlichen Sicherheit PCI-DSS Fokus auf persönliche Daten, IT-Sicherheit nur als Nebeneffekt BSI IT-Grundschutz (Baustein Webanwendungen)
SICHERHEITSSTANDARDSSICHERHEITSSTANDARDS ISMS nach ISO27000 Reihe nur grobe Vorgaben zur Untersuchung, kaum Vorgaben zur eigentlichen Sicherheit PCI-DSS Fokus auf persönliche Daten, IT-Sicherheit nur als Nebeneffekt BSI IT-Grundschutz (Baustein Webanwendungen) Viele Vorgaben, aber hauptsächlich Prüfung ob bestimmte Probleme auftreten
BEST PRACTICESBEST PRACTICES Django Mozilla "WebAppSec"
BEST PRACTICESBEST PRACTICES Django XSS, CSRF, Maskierung, SQL Injection HTTP-Schutz, Nutzeruplaods allgemeine Hinweise zu Python (eval, exec, system etc.) Mozilla "WebAppSec"
BEST PRACTICESBEST PRACTICES Django XSS, CSRF, Maskierung, SQL Injection HTTP-Schutz, Nutzeruplaods allgemeine Hinweise zu Python (eval, exec, system etc.) Mozilla "WebAppSec" Angriffsszenarien und Abwehrmöglichkeiten Authenti zierung großes Thema Drittanbieter-Skripte (insb. SSO)
ASVSASVS EINGESCHLAGENER REALISIERUNGSWEGEINGESCHLAGENER REALISIERUNGSWEG
ASVSASVS EINGESCHLAGENER REALISIERUNGSWEGEINGESCHLAGENER REALISIERUNGSWEG Untersuchung nach ASVS
ASVSASVS EINGESCHLAGENER REALISIERUNGSWEGEINGESCHLAGENER REALISIERUNGSWEG Untersuchung nach ASVS Webanwendung "empto" wurde untersucht
ASVSASVS EINGESCHLAGENER REALISIERUNGSWEGEINGESCHLAGENER REALISIERUNGSWEG Untersuchung nach ASVS Webanwendung "empto" wurde untersucht seit September 2018 online
ASVSASVS EINGESCHLAGENER REALISIERUNGSWEGEINGESCHLAGENER REALISIERUNGSWEG Untersuchung nach ASVS Webanwendung "empto" wurde untersucht seit September 2018 online Quellcode und Testsystem untersucht
UNTERSUCHUNGUNTERSUCHUNG ANWENDUNGSSTRUKTURANWENDUNGSSTRUKTUR isolierte Teilsysteme für Frontend, Backend, Datenbank und Nutzerdateien Django im Backend ReactJS im Frontend
UNTERSUCHUNGUNTERSUCHUNG WERKZEUGEWERKZEUGE
UNTERSUCHUNGUNTERSUCHUNG WERKZEUGEWERKZEUGE SSLLabs
UNTERSUCHUNGUNTERSUCHUNG WERKZEUGEWERKZEUGE SSLLabs Python Taint (statische Codeanalyse)
UNTERSUCHUNGUNTERSUCHUNG WERKZEUGEWERKZEUGE SSLLabs Python Taint (statische Codeanalyse) Linter (Flake8, ESLint) für CodeQualität
ASVS AUDITASVS AUDIT ÜBERBLICKÜBERBLICK
ASVS AUDITASVS AUDIT ÜBERBLICKÜBERBLICK ASVS schlägt Sicherheitsstufen vor
ASVS AUDITASVS AUDIT ÜBERBLICKÜBERBLICK ASVS schlägt Sicherheitsstufen vor Eigene Auswahl von Regeln empfohlen
ASVS AUDITASVS AUDIT ÜBERBLICKÜBERBLICK ASVS schlägt Sicherheitsstufen vor Eigene Auswahl von Regeln empfohlen Abschnitte IoT und Mobil mangels Untersuchungsgegenstand ausgelassen
ASVS AUDITASVS AUDIT ÜBERBLICKÜBERBLICK ASVS schlägt Sicherheitsstufen vor Eigene Auswahl von Regeln empfohlen Abschnitte IoT und Mobil mangels Untersuchungsgegenstand ausgelassen Wird gerade aktualisiert (ASVS v4, Release Feb `19)
ASVS AUDITASVS AUDIT ARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSEARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSE
ASVS AUDITASVS AUDIT ARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSEARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSE Alle internen Anwendungsteile identi zieren (L1) Struktur de nieren (L1)
ASVS AUDITASVS AUDIT ARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSEARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSE Alle internen Anwendungsteile identi zieren (L1) Struktur de nieren (L1) Externe Abhängigkeiten nden (L2) Nach Funktion für Sicherheit oder Geschäftslogik ordnen (L3)
ASVS AUDITASVS AUDIT ARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSEARCHITEKTUR, ENTWURF UND BEDROHUNGSANALYSE Alle internen Anwendungsteile identi zieren (L1) Struktur de nieren (L1) Externe Abhängigkeiten nden (L2) Nach Funktion für Sicherheit oder Geschäftslogik ordnen (L3) Bedrohungsanalyse nach STRIDE (L3)
ASVS AUDITASVS AUDIT AUTHENTIFIZIERUNGAUTHENTIFIZIERUNG
ASVS AUDITASVS AUDIT AUTHENTIFIZIERUNGAUTHENTIFIZIERUNG Anmeldung als Standardfall, öffentliche Bereiche als Ausnahme (L1) Zentrale Anmelde-Abmeldelogik (L1) Sicheres Fehlerverhalten (L1)
ASVS AUDITASVS AUDIT AUTHENTIFIZIERUNGAUTHENTIFIZIERUNG Anmeldung als Standardfall, öffentliche Bereiche als Ausnahme (L1) Zentrale Anmelde-Abmeldelogik (L1) Sicheres Fehlerverhalten (L1) Starke Hashfunktion verwenden (L2) Mehrfaktoranmeldung (L2)
ASVS AUDITASVS AUDIT AUTHENTIFIZIERUNGAUTHENTIFIZIERUNG Anmeldung als Standardfall, öffentliche Bereiche als Ausnahme (L1) Zentrale Anmelde-Abmeldelogik (L1) Sicheres Fehlerverhalten (L1) Starke Hashfunktion verwenden (L2) Mehrfaktoranmeldung (L2) API-Zugänge nicht speichern (L3) Zeit für erfolgreiches und fehlgeschlagenes Login identisch (L3)
ASVS AUDITASVS AUDIT SESSIONMANAGEMENTSESSIONMANAGEMENT
ASVS AUDITASVS AUDIT SESSIONMANAGEMENTSESSIONMANAGEMENT Sitzungen ansehen und beenden (L1) Passwortänderung = Invalidierung (L1) Laufzeitbegrenzung (L1)
ASVS AUDITASVS AUDIT ZUGANGSKONTROLLE / BERECHTIGUNGENZUGANGSKONTROLLE / BERECHTIGUNGEN
ASVS AUDITASVS AUDIT ZUGANGSKONTROLLE / BERECHTIGUNGENZUGANGSKONTROLLE / BERECHTIGUNGEN Prinzip der gerningsten Privilegien (L1) Keine Rechteausweitung im Fehlerfall (L1)
ASVS AUDITASVS AUDIT ZUGANGSKONTROLLE / BERECHTIGUNGENZUGANGSKONTROLLE / BERECHTIGUNGEN Prinzip der gerningsten Privilegien (L1) Keine Rechteausweitung im Fehlerfall (L1) Zugriffsentscheidungen protokollieren (L2) Parameter für Entscheidungen nicht durch Nutzer beein ussbar (L2)
ASVS AUDITASVS AUDIT ZUGANGSKONTROLLE / BERECHTIGUNGENZUGANGSKONTROLLE / BERECHTIGUNGEN Prinzip der gerningsten Privilegien (L1) Keine Rechteausweitung im Fehlerfall (L1) Zugriffsentscheidungen protokollieren (L2) Parameter für Entscheidungen nicht durch Nutzer beein ussbar (L2) Zentraler Mechanismus für Zugangskontrolle (L3)
ASVS AUDITASVS AUDIT VALIDIERUNGVALIDIERUNG
ASVS AUDITASVS AUDIT VALIDIERUNGVALIDIERUNG XSS, SQL-Injection, Buffer Over ow vermeiden (L1) Protokollierung aller Entscheidungen (L1)
ASVS AUDITASVS AUDIT VALIDIERUNGVALIDIERUNG XSS, SQL-Injection, Buffer Over ow vermeiden (L1) Protokollierung aller Entscheidungen (L1) Eingabevalidierung im Client nur zusätzlich zu Server (L2) semantische Validierung (L2)
ASVS AUDITASVS AUDIT VALIDIERUNGVALIDIERUNG XSS, SQL-Injection, Buffer Over ow vermeiden (L1) Protokollierung aller Entscheidungen (L1) Eingabevalidierung im Client nur zusätzlich zu Server (L2) semantische Validierung (L2) Nur eine Validierungsmethode pro Datentyp (L3)
ASVS AUDITASVS AUDIT KRYPTOGRAFIEKRYPTOGRAFIE
ASVS AUDITASVS AUDIT KRYPTOGRAFIEKRYPTOGRAFIE sicheres Fehlerverhalten und Fehlermeldungen (L1) FIPS-Zerti ziert oder vergleichbar (L1)
ASVS AUDITASVS AUDIT KRYPTOGRAFIEKRYPTOGRAFIE sicheres Fehlerverhalten und Fehlermeldungen (L1) FIPS-Zerti ziert oder vergleichbar (L1) sichere Zufallszahlen (L2)
ASVS AUDITASVS AUDIT KRYPTOGRAFIEKRYPTOGRAFIE sicheres Fehlerverhalten und Fehlermeldungen (L1) FIPS-Zerti ziert oder vergleichbar (L1) sichere Zufallszahlen (L2) Passworte und Schlüssel bei Installation generieren / ersetzen (L2) Hardware Sicherheits Modul (L3)
ASVS AUDITASVS AUDIT FEHLERBEHANDLUNG / LOGSFEHLERBEHANDLUNG / LOGS
ASVS AUDITASVS AUDIT FEHLERBEHANDLUNG / LOGSFEHLERBEHANDLUNG / LOGS Keien sensiblen Daten in Fehlermeldungen / Logs (L1) Nicht-Abstreitbarkeit (L1)
ASVS AUDITASVS AUDIT FEHLERBEHANDLUNG / LOGSFEHLERBEHANDLUNG / LOGS Keien sensiblen Daten in Fehlermeldungen / Logs (L1) Nicht-Abstreitbarkeit (L1) Sichere Fehlerbehandlung (L2) Zugriff auf Logs beschränken, Datenschutz einhalten (L2)
ASVS AUDITASVS AUDIT FEHLERBEHANDLUNG / LOGSFEHLERBEHANDLUNG / LOGS Keien sensiblen Daten in Fehlermeldungen / Logs (L1) Nicht-Abstreitbarkeit (L1) Sichere Fehlerbehandlung (L2) Zugriff auf Logs beschränken, Datenschutz einhalten (L2) Kennzeichnung der Quelle für Logeinträge (L3)
ASVS AUDITASVS AUDIT DATENSCHUTZDATENSCHUTZ
ASVS AUDITASVS AUDIT DATENSCHUTZDATENSCHUTZ Vertraulichkeit (Con dentiality), Integrität (Integrity) und Verfügbarkeit (Availability) - CIA
ASVS AUDITASVS AUDIT DATENSCHUTZDATENSCHUTZ Vertraulichkeit (Con dentiality), Integrität (Integrity) und Verfügbarkeit (Availability) - CIA Keine sensiblen Daten in Cache und Cookies (L1)
ASVS AUDITASVS AUDIT DATENSCHUTZDATENSCHUTZ Vertraulichkeit (Con dentiality), Integrität (Integrity) und Verfügbarkeit (Availability) - CIA Keine sensiblen Daten in Cache und Cookies (L1) HTTP-Anfragen so klein wie möglich halten (L2) Zugriff auf sensible Daten protokollieren (L2) Sensible Datentypen erfassen und Zugriff darauf einschränken (L2)
ASVS AUDITASVS AUDIT DATENSCHUTZDATENSCHUTZ Vertraulichkeit (Con dentiality), Integrität (Integrity) und Verfügbarkeit (Availability) - CIA Keine sensiblen Daten in Cache und Cookies (L1) HTTP-Anfragen so klein wie möglich halten (L2) Zugriff auf sensible Daten protokollieren (L2) Sensible Datentypen erfassen und Zugriff darauf einschränken (L2) Vorhaltefristen (L3)
ASVS AUDITASVS AUDIT KOMMUNIKATIONSSICHERHEITKOMMUNIKATIONSSICHERHEIT
ASVS AUDITASVS AUDIT KOMMUNIKATIONSSICHERHEITKOMMUNIKATIONSSICHERHEIT TLS / HTTPS für sensible Daten, auch intern (L1) Starke Algorithmen / Protokolle einsetzen (L1) Strict Transport Security einsetzen um HTTPS zu erzwingen (L1)
ASVS AUDITASVS AUDIT KOMMUNIKATIONSSICHERHEITKOMMUNIKATIONSSICHERHEIT TLS / HTTPS für sensible Daten, auch intern (L1) Starke Algorithmen / Protokolle einsetzen (L1) Strict Transport Security einsetzen um HTTPS zu erzwingen (L1) Externe Verbindungen authenti zieren (L2) Key-Pinning einsetzen gegen Man in the Middle (L2)
ASVS AUDITASVS AUDIT KOMMUNIKATIONSSICHERHEITKOMMUNIKATIONSSICHERHEIT TLS / HTTPS für sensible Daten, auch intern (L1) Starke Algorithmen / Protokolle einsetzen (L1) Strict Transport Security einsetzen um HTTPS zu erzwingen (L1) Externe Verbindungen authenti zieren (L2) Key-Pinning einsetzen gegen Man in the Middle (L2) Verbindungsfehler protokollieren (L3)
ASVS AUDITASVS AUDIT HTTP-SICHERHEITHTTP-SICHERHEIT
ASVS AUDITASVS AUDIT HTTP-SICHERHEITHTTP-SICHERHEIT Content-Security-Policy/X-XSS Header (L1) Nur notwendige HTTP-Methoden erlauben (bspw. TRACE blocken) (L1) Content-Type snif ng abschalten (L1) Kopfzeilen sollen keine Versionsinfos enthalten (L1)
ASVS AUDITASVS AUDIT HTTP-SICHERHEITHTTP-SICHERHEIT Content-Security-Policy/X-XSS Header (L1) Nur notwendige HTTP-Methoden erlauben (bspw. TRACE blocken) (L1) Content-Type snif ng abschalten (L1) Kopfzeilen sollen keine Versionsinfos enthalten (L1) Framing der Anwendung von extern verbieten (L2) Proxy/SSO Header prüfen (L2)
ASVS AUDITASVS AUDIT SCHADCODESCHADCODE
ASVS AUDITASVS AUDIT SCHADCODESCHADCODE Ausreichende Isolierung um Ausbreitung zu verhindern/behindern (L3) Keine Easter Eggs in Produktivsystemen (L3)
ASVS AUDITASVS AUDIT BUSINESS LOGICBUSINESS LOGIC
ASVS AUDITASVS AUDIT BUSINESS LOGICBUSINESS LOGIC Ausführung von Schritten nur in festgelegter Reihenfolge (L2) Beschränkungen für Geschäfte (Umsatz, Häu gkeit etc.) (L2)
ASVS AUDITASVS AUDIT DATEIEN UND RESSOURCENDATEIEN UND RESSOURCEN
ASVS AUDITASVS AUDIT DATEIEN UND RESSOURCENDATEIEN UND RESSOURCEN HTTP-Umleitungen nur zu Whitelist Zielen (L1) Uploads auf Viren untersuchen (L1) Uploads nicht in Code einbinden (Local File Inclusion) (L1) Kein Flash, ActiveX und Co verwenden (L1)
ASVS AUDITASVS AUDIT DATEIEN UND RESSOURCENDATEIEN UND RESSOURCEN HTTP-Umleitungen nur zu Whitelist Zielen (L1) Uploads auf Viren untersuchen (L1) Uploads nicht in Code einbinden (Local File Inclusion) (L1) Kein Flash, ActiveX und Co verwenden (L1) Dateiuploads außerhalb des Webroot speichern (L2)
ASVS AUDITASVS AUDIT WEBDIENSTE UND APIWEBDIENSTE UND API
ASVS AUDITASVS AUDIT WEBDIENSTE UND APIWEBDIENSTE UND API Administrative Funktionen nur Administratoren zugänglich machen (L1) XML/JSON Schema bereitstellen und prüfen (L1) Keine statischen API-Keys verwenden (L1)
ASVS AUDITASVS AUDIT WEBDIENSTE UND APIWEBDIENSTE UND API Administrative Funktionen nur Administratoren zugänglich machen (L1) XML/JSON Schema bereitstellen und prüfen (L1) Keine statischen API-Keys verwenden (L1) Eingehenden Content-Type bei API-Aufruf prüfen (L2)
ASVS AUDITASVS AUDIT KONFIGURATIONKONFIGURATION
ASVS AUDITASVS AUDIT KONFIGURATIONKONFIGURATION Alle Software und Kon guration aktuell halten (L1)
ASVS AUDITASVS AUDIT KONFIGURATIONKONFIGURATION Alle Software und Kon guration aktuell halten (L1) Verschlüsselte Kommunikation zwischen Teilen der Anwendung (L2)
ASVS AUDITASVS AUDIT KONFIGURATIONKONFIGURATION Alle Software und Kon guration aktuell halten (L1) Verschlüsselte Kommunikation zwischen Teilen der Anwendung (L2) JS, CSS und Schriftarten vom eigenen Server ausliefern statt auf CDN zu vertrauen (L3)
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS Django ORM schützt vor SQL Injection
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS Django ORM schützt vor SQL Injection Sichere Passwortspeicher in Django eingebaut
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS Django ORM schützt vor SQL Injection Sichere Passwortspeicher in Django eingebaut File Inclusion wird von Python verhidnert
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS Django ORM schützt vor SQL Injection Sichere Passwortspeicher in Django eingebaut File Inclusion wird von Python verhidnert ReactJS JSX zwischenkompilat, standardmäßig escaped
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR FRAMEWORKSFRAMEWORKS Django ORM schützt vor SQL Injection Sichere Passwortspeicher in Django eingebaut File Inclusion wird von Python verhidnert ReactJS JSX zwischenkompilat, standardmäßig escaped Redux und React Props für Datenaustausch statt direkter DOM Manipulation
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR ARCHITEKTURARCHITEKTUR
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR ARCHITEKTURARCHITEKTUR Docker für Isolation
SICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTURSICHERHEIT DURCH FRAMEWORKS UND ARCHITEKTUR ARCHITEKTURARCHITEKTUR Docker für Isolation HTTPS und Loadbalancer für SEO und Sicherheit
WIE HAT EMPTO ABGESCHNITTEN UND WIEWIE HAT EMPTO ABGESCHNITTEN UND WIE GEHTS WEITER?GEHTS WEITER? (ZUSAMMENFASSUNG UND AUSBLICK)(ZUSAMMENFASSUNG UND AUSBLICK)
ZUSAMMENFASSUNGZUSAMMENFASSUNG
ZUSAMMENFASSUNGZUSAMMENFASSUNG Klassi zierung in Stufen funktioniert nicht
ZUSAMMENFASSUNGZUSAMMENFASSUNG Klassi zierung in Stufen funktioniert nicht Sicheres Verhalten schützt vor unbekannten Problemen
ZUSAMMENFASSUNGZUSAMMENFASSUNG Klassi zierung in Stufen funktioniert nicht Sicheres Verhalten schützt vor unbekannten Problemen Anwendung erfüllt 80% der Anforderungen insgesamt
ZUSAMMENFASSUNGZUSAMMENFASSUNG Klassi zierung in Stufen funktioniert nicht Sicheres Verhalten schützt vor unbekannten Problemen Anwendung erfüllt 80% der Anforderungen insgesamt Scheitert an Stufe 2 im Abschnitt Authenti zierung, an Stufe 1 im Abschnitt Berechtigungen De zite vor allem bei Datenschutz und HTTP- Kopfzeilen
ZUSAMMENFASSUNGZUSAMMENFASSUNG Klassi zierung in Stufen funktioniert nicht Sicheres Verhalten schützt vor unbekannten Problemen Anwendung erfüllt 80% der Anforderungen insgesamt Scheitert an Stufe 2 im Abschnitt Authenti zierung, an Stufe 1 im Abschnitt Berechtigungen De zite vor allem bei Datenschutz und HTTP- Kopfzeilen Übliche Probleme durch Frameworks und Architektur abgefangen
AUSBLICKAUSBLICK
AUSBLICKAUSBLICK ASVS v4 wird große Überarbeitung
AUSBLICKAUSBLICK ASVS v4 wird große Überarbeitung Vergleich der Vorgehensweisen von ASVS zu lose strukturierten Pentests
AUSBLICKAUSBLICK ASVS v4 wird große Überarbeitung Vergleich der Vorgehensweisen von ASVS zu lose strukturierten Pentests Mobile Anwendungen und IoT
AUSBLICKAUSBLICK ASVS v4 wird große Überarbeitung Vergleich der Vorgehensweisen von ASVS zu lose strukturierten Pentests Mobile Anwendungen und IoT Sicherheit bei Anwendungen in der Entwicklung
AUSBLICKAUSBLICK ASVS v4 wird große Überarbeitung Vergleich der Vorgehensweisen von ASVS zu lose strukturierten Pentests Mobile Anwendungen und IoT Sicherheit bei Anwendungen in der Entwicklung Automatisierung

Empfohlen

Cyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice ShopCyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice Shop
Martin Abraham
 
Internet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device HackingInternet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device Hacking
M2M Alliance e.V.
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-Pipeline
OPEN KNOWLEDGE GmbH
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
Philipp Burgmer
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben
OPITZ CONSULTING Deutschland
 
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
sebastianschinzel
 
Apex testen wird überschaetzt
Apex testen wird überschaetztApex testen wird überschaetzt
Apex testen wird überschaetzt
Trivadis
 
LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)
Rainer Gerhards
 

Empfohlen

Cyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice ShopCyber Security / OWASP Juice Shop
Cyber Security / OWASP Juice Shop
Martin Abraham
 
Internet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device HackingInternet of Dangerous Things - IoT Device Hacking
Internet of Dangerous Things - IoT Device Hacking
M2M Alliance e.V.
 
Integration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-PipelineIntegration von Security-Checks in die CI-Pipeline
Integration von Security-Checks in die CI-Pipeline
OPEN KNOWLEDGE GmbH
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
Philipp Burgmer
 
Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben Die SOA Suite in der Amazon Cloud sicher betreiben
Die SOA Suite in der Amazon Cloud sicher betreiben
OPITZ CONSULTING Deutschland
 
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
Schwachstellen In Sap Web Anwendungen (OWASP Germany 2009)
sebastianschinzel
 
Apex testen wird überschaetzt
Apex testen wird überschaetztApex testen wird überschaetzt
Apex testen wird überschaetzt
Trivadis
 
LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)LogFile Auswertung (log analysis)
LogFile Auswertung (log analysis)
Rainer Gerhards
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
Stephan Kaps
 
Sich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der PraxisSich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der Praxis
Alexander Papaspyrou
 
Sicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop SystemeSicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop Systeme
Peter Haase
 
Schnittstellen und Webservices
Schnittstellen und WebservicesSchnittstellen und Webservices
Schnittstellen und Webservices
Jakob .
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
Marc Müller
 
Übersicht über Tubewarder | Template-basiertes Message Gateway
Übersicht über Tubewarder | Template-basiertes Message GatewayÜbersicht über Tubewarder | Template-basiertes Message Gateway
Übersicht über Tubewarder | Template-basiertes Message Gateway
weweave GbR
 
Web 2.0 revisited
Web 2.0 revisitedWeb 2.0 revisited
Web 2.0 revisited
Johann-Peter Hartmann
 

Weitere ähnliche Inhalte

Ähnlich wie Web security mit owasp asvs

DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
Stephan Kaps
 
Sich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der PraxisSich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der Praxis
Alexander Papaspyrou
 
Schnittstellen und Webservices
Schnittstellen und WebservicesSchnittstellen und Webservices
Schnittstellen und Webservices
Jakob .
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
Marc Müller
 

Ähnlich wie Web security mit owasp asvs (7)

DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 
Sich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der PraxisSich selbst verstehen – der ELK-Stack in der Praxis
Sich selbst verstehen – der ELK-Stack in der Praxis
 
Sicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop SystemeSicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop Systeme
 
Schnittstellen und Webservices
Schnittstellen und WebservicesSchnittstellen und Webservices
Schnittstellen und Webservices
 
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
DWX 2016 - Monitoring 2.0 - Monitoring 2.0: Alles im Lot?
 
Übersicht über Tubewarder | Template-basiertes Message Gateway
Übersicht über Tubewarder | Template-basiertes Message GatewayÜbersicht über Tubewarder | Template-basiertes Message Gateway
Übersicht über Tubewarder | Template-basiertes Message Gateway
 
Web 2.0 revisited
Web 2.0 revisitedWeb 2.0 revisited
Web 2.0 revisited
 

Web security mit owasp asvs