Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen...

OWASP AppSec Germany 2009

The OWASP Foundation

http://www.owasp.org

Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen

Tobias Glemsertglemser@tele-consulting.com

Review: Marco Di Filippo ;-)Appsec Germany Nürnberg 13.10.2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

Die Projektgruppe (alphabetical order)

Marco Di FilippoTobias GlemserAchim HoffmannBarbara SchachnerDennis SchröderFeilang Wu

Um was geht's?

Eine Frage der Definition…

Wie der Kunde es erklärt hat Wie der Projektleiter es verstanden hat Wie der Analyst es auffasst

Wie der Wirtschaftsberater es verkauft Wie das Projekt dokumentiert wurde Wie es dem Kunden berechnet wurde

Was der Kunde wirklich gebraucht hätte

Um was geht's?

Erfahrungswerte von Dienstleistern und KundenWie projektiere ich intern?Wie definiere ich meine Anforderungen?Wie finde ich geeignete Dienstleister?

Projektverlauf

Diskussion am OWASP Stand auf der IT-SA Oktober 08Erste Anfrage an OWASP Mailing-Liste: 26.11.08Erste Antwort: 27.11.08Grober Projektablaufplan: Januar 09Erster Draft: Februar 09

Projektverlauf

Problem: Keine Kunden Lösung: 04.03. - 2 Kunden ☺Zweiter Draft: April 09Dritter Draft: Juni 09 (inkl. ein Ausstieg aus berufl. Gründen)„Kick-Off“ Workshop im AugustFinalisierungs-WS Mitte SeptemberVersion 1.01 auf owasp.org: 9. Oktober

Aufbau des Papers

Einführung und ZielsetzungAnforderungen: KundenseiteAnforderungen: DienstleisterCheckliste: Anforderungen KundenseiteCheckliste: Anforderungen Dienstleister-Angaben

Einführung

Kunde: Betreiber von Webanwendungen auf der Suche nach einem DienstleisterDienstleister (intern oder extern): Abteilung oder Unternehmen mit Expertise bei der Durchführung von Sicherheitsprüfungen von WebanwendungenWebanwendung: Auf Webtechnologien aufsetzende Anwendung

klassische InternetpräsenzWeb-APIWeb-Frontend von Anwendungsservern…

Einführung

Zielgruppe: Betreiber von Webanwendungen(Dienstleister)

Abgrenzung„untechnisch“Technische Erläuterungen, wenn für den Gesamtkontext wichtig

AktualisierungenMal schauen ☺Feedback jederzeit und gerne erwünscht!

Anforderungen: Kundenseite

Art der PrüfungVulnerability-Assessment (VA) / Penetrationstest der Webanwendung

Wahl der Vorgehensmodells– BSI: Durchführungskonzept für Penetrationstests– Open Source Security Testing Methodology Manual (OSSTMM)– OWASP Testing Guide– OWASP Application Security Verification Standard

Blackbox/WhiteboxLasttests/DoSSaaS - Software as a Service

Art der Prüfung IIQuellcode-AnalyseArchitektur-AnalyseProzess- und Dokumentations-Analyse (z. B. auf Basis IT-Grundschutz oder ISO 27001 „native“)

ZielformulierungDefinition der TestzieleBeschreibung der Umgebung, u. A.

ÜberblickZugriffswegeRechteprofileUmfangArchitekturDatenflußdiagramm

Organisatorische Aspekte: Initialisierung

Zieldefinition und ProjektbeschreibungAusgangssituation und BegründungZiele und MeilensteineRandbedingungen und Abgrenzungen

Organisatorische Aspekte: VorbereitungTeilnehmerProjektsteuerung und FeedbackOrt und ZeitScan-FreigabenVertraulichkeitserklärungenHaftung

Organisatorische Aspekte: AusschreibungUnkritische InformationenSo konkret als möglich

Allgemeine Kurzbeschreibungen der Systeme bzw. KomponentenVereinfachte NetzwerkpläneVereinfachte Datenflussdiagramme

Organisatorische Aspekte: Dienstleister AuswahlEigenes Kapitel..

Organisatorische Aspekte: Kick-OffÜbergabe der InformationenAlle Beteiligten an einen TischAbstimmung der Vorgehensweise

Organisatorische Aspekte: DurchführungStändiger Ansprechpartner beim KundenDefinierte EskalationswegeDefinierte Rückmelde-Strategien

Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation

Organisatorische Aspekte: ProjektnachbereitungRisikograd-Einschätzungen verifizierenVerantwortlichkeiten zuweisenBehebung der Schwachstellen prüfen

Anforderungen: Dienstleister-Angaben

Erforderliche Angaben: UnternehmensgeschichteAnhaltspunkte für QualitätVeröffentlichungenAktive Mitgliedschaften

Erforderliche Angaben: ProjektteamSollte von Beginn an feststehen!Mitarbeiterprofile

Erforderliche Angaben: MethodenProjektplan, pro Phase

AufwandMeilensteine

MethodikAutomatisierte TestsManuelle Tests mit „kreativer Komponente“

Individuelle Beschreibung der Vorgehensweise!Nennung der Werkzeuge und Tools, ggf. inkl. Beschreibung

Erforderliche Angaben: BerichtExecutive SummaryZusammenfassung der SchwachstellenAusführliche Beschreibung der Schwachstellen

Kurzbeschreibung,Auswirkung der SchwachstelleRisikoeinschätzungReferenzenggf. genaue Vorgehensweise zur Ausnutzung der Schwachstelle

Reproduzierbarkeit und Transparenz

Weiche Faktoren: ReferenzenFast immer (individuell) möglichPrüfen!

Weiche Faktoren: VeröffentlichungenFachartikelVorträge

Weiche Faktoren: MitgliedschaftenIT-Sicherheitsrelevante OrganisationenAktiv/passiv

Weiche Faktoren: Zertifizierungenz. B. ISO/IEC 27001 oder ISO 9001

Weiche Faktoren: Umgang mit DatenVerschlüsselter TransferSichere Speicherung

Weiche Faktoren: HaftpflichtGreift nur bei Fahrlässigkeit

IT-Sicherheit ist kein VoodooGemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes GebotWiederholbarkeit der PrüfungenNachvollziehbarkeit der ErgebnisseInterne Nachbereitung

Alle Infos und Download auf http://www.owasp.org/index.php/Projektierung_der_Sicherheitspr%C3%BCfung_von_WebanwendungenKonstruktive Kritik an einen der Autoren per MailMorgen (14.10.) OWASP Stand auf der IT-SAAus ☺

Best Practice: Projektierung der Sicherheitsprüfung von ... · Wiederholbarkeit der Prüfungen...

Documents

Fachzeitschrift KPMG Österreich · • Wiederholbarkeit der Bewertung und Ergebnisse • Nachvollziehbarkeit Abbildung 2: Scoring Methodik Entwicklung Mapping Score-Skala gering

Leitfaden für innovative, wissenschaftliche Projektarbeiten · Nachvollziehbarkeit . ... Das gilt auch dann, wenn die Wiederholbarkeit schwierig ist, z. B. bei Befragungen in den

Land- oder forstwirtschaftliche Fahrzeuge im … · Fahrerlaubnisverordnung Sicherheitsprüfung Vorschriften über Sicherheit ... FZV StPO zG Fahrzeugzulassungs- Strafprozessordnung

Eine Einführung in die elektrische Sicherheitsprüfung ...Die folgende Grafik zeigt die verschiedenen Wirkungen des elektrischen Stroms auf den menschlichen Körper nach Dr. Howard

G 7856 - User Manual Search Engine · 5 year extended warranty ... Es wird empfohlen das Gerät über eine Steckvorrichtung anzuschließen, damit eine elektrische Sicherheitsprüfung

2-dimensional laufzeitrekonfigurierbares System … · Wiederholbarkeit, Nachvollziehbarkeit, Regressionstests Testfall = Stimulation + erwartete Ergebnisse Modellnahe Syntax von

Terminplanung - Vorlesung · Sicherheit Nutzung der richtigen Materialen zur Verhinderungen von Lecks und Zerstörungen Wiederholbarkeit bzw. Nachvollziehbarkeit Nutzung bereits

Die neuen Temperierkammern Made by Zwick · Nachvollziehbarkeit Reproduzierbarkeit Wiederholbarkeit . Plug & Play Eine Kammer auch an mehreren Maschinen verwendbar . Chamber temperature

Instrumentalanalytik von Lebensmitteln - BFH: Gesundheit · Repeatability (Wiederholbarkeit, Wiederholpräzision) Reproducibility (Nachvollziehbarkeit , Vergleichspräzision)

Vision2u · • Wiederholpräzision/Wiederholbarkeit (Repeatability) • Vergleichspräzision/Nachvollziehbarkeit (Reproducibility) • Stabilität (Stability)

Bundesministerium des Innern Fragenkatalog der SPD ... · der Nachvollziehbarkeit und „Wiederholbarkeit“ bei der Online-Durchsuchung ist durch die Tatsache gegeben, dass eine

Erstellt von: Musketier Systemhaus AGrapidfiretools.de/reports/Security/Login-Failure-by-Computer Protokoll… · Anmeldefehler gruppiert nach Computer SICHERHEITSPRÜFUNG PROPRIETARY

Arzneimitteltherapie- sicherheitsprüfung – Stand …Die Prüfung der AMTS im Krankenhaus stellt besondere Anforderungen in Bezug auf die vorhandenen Akteure, Systeme und Informationen

Methodenmanagement in der Unternehmensberatung …agis- · Methodenwissens liegt demnach in der Wiederholbarkeit und der Nachvollziehbarkeit bei der Entwicklung von Lösungen. Zusätzlich

umschlag Leitfaden Masterarbeit - tugraz.at · Nachvollziehbarkeit muss dahingehend gegeben sein, dass Argu-mentationen logisch aufgebaut sind, ... Zuverlässigkeit in Form von Wiederholbarkeit

Testmanagement – effizent und einfach - GQ-Solutionsgq-solutions.de/wp-content/uploads/140328_GQ-_Testmanagement1.pdf · „Wiederholbarkeit“ und „Nachvollziehbarkeit“ eine

Normdaten Formatkonkordanz PICA+ PICA3 · 1 PICA+‐Feld 2 PICA3‐Feld 3 Wiederholbarkeit des Feldes (* = Feld ist whb.) 4 Unterfeld 5 Wiederholbarkeit des Unterfeldes (* = Unterfeld

Modellbasiertes Testen Subjektivbewertung vs. … · • Dabei ist auf Vergleichbarkeit, Nachvollziehbarkeit und Wiederholbarkeit zu achten. • Durch tiefes Systemverständnis ist

IT IST NICHT GLEICH IT: EIN PLÄDOYER FÜR EINE ... · liegt der Fokus auf Wiederholbarkeit und Nachvollziehbarkeit. Durch eine gezielte Optimierung von Einzelschritten werden die

Newsletter für Partner und Zuweiser - stgag.ch · Insbesondere die Wiederholbarkeit und Nachvollziehbarkeit der Biopsien sind dabei ein wichtiger Schritt in die Zukunft, gewinnt