• Home

  • Documents

  • OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader)...
9
OWASP Top 10 – 2017 Die 10 kritischsten Sicherheitsrisiken für Webanwendungen – Neuerungen & Hintergründe – Aktuelles (20.11.2018) German OWASP Day 2018 (20.11.2018) von Torsten Gigler

OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

  • Upload
    vokhue

  • View
    216

  • Download
    0

Embed Size (px)

Citation preview

Page 1: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

OWASP Top 10 – 2017 Die 10 kritischsten Sicherheitsrisiken

für Webanwendungen

– Neuerungen & Hintergründe

– Aktuelles (20.11.2018)

German OWASP Day 2018 (20.11.2018) von Torsten Gigler

Page 2: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Über mich

Torsten Gigler: • Interner IT-Sicherheitsberater bei einer Bank

spezialisiert auf IT-Infrastruktur- und Anwendungs-Sicherheit (>20 Jahre)

• In OWASP seit 6 Jahren aktiv:

– OWASP Top 10 – 2017 (Co-Leader)

– OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version)

– OWASP Top 10 für Entwickler (seit 6 Jahren)

– O-Saft – OWASP SSL Advanced Forensic Tool (Co-Entwickler seit 5 Jahren)

– Stammtisch München (Mitglied im Organisations-Team seit 4 Jahren)

– OWASP-Germany (Mitglied im Chapter-Board seit 1 Jahr)

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 2

Page 3: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Unsere Mission (1)

•Awareness Für Entwickler, Anwendungs-Verantwortliche,

Sicherheitstester und Manager:

– Sensibilisierung und kompakter Einstieg

in die Sicherheit für Webanwendungen

– Verstehen von (gefundenen) Schwachstellen und

Hilfe beim Beseitigen

•Security-by-Default – Motivation für das Programmieren von Tools und

Bibliotheken, die bereits mit Standard-Einstellungen

robust gegen Schwachstellen sind.

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 3

Page 4: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Unsere Mission (2)

•Nutzung als ‚De-Facto-Sicherheitsstandard‘ – Meine Meinung: kein Standard

Vermittelt die Fähigkeit Risiken ‚zu sehen‘

‚Good Practices‘ für die 10 kritischsten Risiken

Guter erster Schritt für mehr Anwendungssicherheit

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 4

Page 5: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Neuerungen: Methodik

•Zusammensetzung der 10 Risiken: – 8 Risiken auf Basis einer Datenerhebung [+DAT]

Rückschau

Häufigkeitsrate auf Basis der Anwendungen mit einer

bestimmten Schwachstelle (vorher: Anzahl der Schwachstellen)

Rohdaten und Ergebnisse sind öffentlich abrufbar

– 2 Risiken auf Basis einer Expertenumfrage in der

Community [+DAT]

Vorausschau

•Berechnung der Risiken:

- Faktoren (1-Niedrig … 3-Hoch) (vorher: umgekehrt) [+R]

- Angabe des Werts [+RF]

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 5

https://github.com/OWASP/Top10/tree/master/2017/datacall
https://github.com/OWASP/Top10/tree/master/2017/datacall
Page 6: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Neuerungen: Risiken

OWASP Top 10 - 2017:

OWASP Top 10 - 2013 OWASP Top 10 - 2017

A1 – Injection A1:2017-Injection

A2 – Fehler in Authentifizierung und Session-Mgmt. A2:2017-Fehler in der Authentifizierung

A3 – Cross-Site Scripting (XSS) A3:2017-Verlust der Vertraulichkeit sensibler Daten

A4 – Unsichere direkte Objektreferenzen [mit A7] ∪ A4:2017-XML External Entities (XXE) [NEU]

A5 – Sicherheitsrelevante Fehlkonfiguration A5:2017-Fehler in der Zugriffskontrolle [vereint]

A6 – Verlust der Vertraulichkeit sensibler Daten A6:2017-Sicherheitsrelevante Fehlkonfiguration

A7 – Fehlerhafte Autorisierung auf Anw.-Ebene [mit A4] ∪ A7:2017-Cross-Site Scripting (XSS)

A8 – Cross-Site Request Forgery (CSRF) A8:2017-Unsichere Deserialisierung [NEU, Community]

A9 – Nutzung von Komponenten mit bekannten Schwachstellen

A9:2017-Nutzung von Komponenten mit bekannten Schwachstellen

A10 – Ungeprüfte Um- und Weiterleitungen A10:2017-Unzureichendes Logging & Moniting [NEU, Community]

NEU, Community

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 6

NEU, Community

NEU

Page 7: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Empfehlung: Nächste Schritte für…

• ‚Rollenbezogene‘ Seiten: – Software-Entwickler [+E]

– Sicherheitstester [+T]

– Organisationen [+O]

– Anwendungs-Verantwortliche [+A]

•Geben Hinweise auf – weitere Vorgehensweise

– Prozesse

– weitere Sicherheitsmaßnahmen und ‚Best Practices‘

– zusätzliche Dokumente und Tools von OWASP

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 7

NEU

Page 8: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Aktuelles: Deutsche Version

Deutschsprachiges Top 10-Team: • Christian Dresen • Alexios Fakos • Louisa Frick • Torsten Gigler • Tobias Glemser • Dr. Frank Gut • Dr. Ingo Hanke • Dr. Thomas Herzog • Dr. Markus Koegel • Sebastian Klipper • Jens Liebau • Ralf Reinhardt • Martin Riedel • Michael Schaefer

Hier beim German OWASP Day und als Download: https://www.owasp.org/index.php/Germany/Projekte/Top_10

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 8

NEU

https://www.owasp.org/index.php/Germany/Projekte/Top_10
https://www.owasp.org/index.php/Germany/Projekte/Top_10
Page 9: OWASP Top 10 - 2017 · •In OWASP seit 6 Jahren aktiv: –OWASP Top 10 – 2017 (Co-Leader) –OWASP Top 10 – 2013 (Contributor und Mitarbeit bei der deutschen Version) –OWASP

Dein/Ihr Einsatz

Nächste Schritte

OWASP Top 10

German OWASP Day 2018: OWASP Top 10-2017: Neuerungen & Hintergründe, Aktuelles Seite 9


ng-owasp: OWASP Top 10 for AngularJS Applications

ng-owasp: OWASP Top 10 for AngularJS Applications

Software
OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

Documents
OWASP Top 10 Threats

OWASP Top 10 Threats

Documents
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)

OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)

Technology
Owasp Top 10 -_2010_korean

Owasp Top 10 -_2010_korean

Education
Mobile security, OWASP Mobile Top 10, OWASP Seraphimdroid

Mobile security, OWASP Mobile Top 10, OWASP Seraphimdroid

Software
OWASP TOP 10 vs OWASP ASVS - owasp-stl.orgowasp-stl.org/decks/Top10vsASVS.pdf · The OWASP Top Ten •The OWASP Top 10 provides a list of the 10 Most Critical Web Application Security

OWASP TOP 10 vs OWASP ASVS - owasp-stl.orgowasp-stl.org/decks/Top10vsASVS.pdf · The OWASP Top Ten •The OWASP Top 10 provides a list of the 10 Most Critical Web Application Security

Documents
Owasp Top 10 - Owasp Pune Chapter - January 2008

Owasp Top 10 - Owasp Pune Chapter - January 2008

Technology
OWASP Top 10 - 2010

OWASP Top 10 - 2010

Documents
OWASP Top 10 Schulung › ... › 2018 › OWASP_Top_10_Homepage.pdfEntwicklung der OWASP Top 10 OWASP Top Ten - 2010 OWASP Top Ten - 2013 OWASP Top Ten –2017 A1 –Injection Flaws

OWASP Top 10 Schulung › ... › 2018 › OWASP_Top_10_Homepage.pdfEntwicklung der OWASP Top 10 OWASP Top Ten - 2010 OWASP Top Ten - 2013 OWASP Top Ten –2017 A1 –Injection Flaws

Documents
OWASP top 10-2013

OWASP top 10-2013

Technology
OWASP TOP 10 Proactive

OWASP TOP 10 Proactive

Technology
OWASP Top-10 2013

OWASP Top-10 2013

Documents
Owasp top 10

Owasp top 10

Technology
OWASP – Top 10 · • OWASP Code Review Guide • OWASP Testing Guide • OWASP Top Ten Project . OWASP – TOP 10 • OWASP Top 10 Web Application Security Risks for 2010 are:

OWASP – Top 10 · • OWASP Code Review Guide • OWASP Testing Guide • OWASP Top Ten Project . OWASP – TOP 10 • OWASP Top 10 Web Application Security Risks for 2010 are:

Documents
OWASP Top 10 · OWASP Top 10 from a developer’s perspective John Wilander, OWASP/Omegapoint, ... Certified Java Programmer. OWASP Top 10 Top web application security risks 2010

OWASP Top 10 · OWASP Top 10 from a developer’s perspective John Wilander, OWASP/Omegapoint, ... Certified Java Programmer. OWASP Top 10 Top web application security risks 2010

Documents
Owasp top 10 - 2013

Owasp top 10 - 2013

Education
OWASP Top 10 webbsäkerhet

OWASP Top 10 webbsäkerhet

Internet
2013 OWASP Top 10

2013 OWASP Top 10

Technology
OWASP Top 10 - 2017 Korean Translation - …...OWASP Top 10 - 2017 가장위험한웹애플리케이션보안위험10가지 이문서는아래라이센스의보호를받습니다

OWASP Top 10 - 2017 Korean Translation - …...OWASP Top 10 - 2017 가장위험한웹애플리케이션보안위험10가지 이문서는아래라이센스의보호를받습니다

Documents
OWASP Top 10 Risk

OWASP Top 10 Risk

Documents
OWASP Top 10 Review

OWASP Top 10 Review

Documents
OWASP Top 10 - 2013OWASP_Top_10... · owasp top 10 –2010 (이전) owasp top 10 –2013 (신규) a1 –인젝션 a1 –인젝션 a3 –인증및세션관리취약점 a2 –인증및세션관리취약점

OWASP Top 10 - 2013OWASP_Top_10... · owasp top 10 –2010 (이전) owasp top 10 –2013 (신규) a1 –인젝션 a1 –인젝션 a3 –인증및세션관리취약점 a2 –인증및세션관리취약점

Documents
OWASP Top 10 - 2010 rc1 The OWASP Top 10 is dead, long live the OWASP Top 10 ! Sebastien Deleersnyder OWASP Foundation Board Member seba@owasp.org

OWASP Top 10 - 2010 rc1 The OWASP Top 10 is dead, long live the OWASP Top 10 ! Sebastien Deleersnyder OWASP Foundation Board Member [email protected]

Documents
OWASP Top-10 2013 · OWASP Top-10 2013 Dave Wichers OWASP Top 10 Project Lead OWASP Board Member ... 2013-A5 – Security Misconfiguration ... Thailand Open Web Application Security

OWASP Top-10 2013 · OWASP Top-10 2013 Dave Wichers OWASP Top 10 Project Lead OWASP Board Member ... 2013-A5 – Security Misconfiguration ... Thailand Open Web Application Security

Documents
Owasp mobile top 10

Owasp mobile top 10

Technology
OWASP @ ISCTE-IUL, OWASP Top 10 2010

OWASP @ ISCTE-IUL, OWASP Top 10 2010

Technology
OWASP OWASP top 10 - Agenda Background Risk based Top 10 items 1 – 6 Live demo Top 10 items 7 – 10 OWASP resources

OWASP OWASP top 10 - Agenda Background Risk based Top 10 items 1 – 6 Live demo Top 10 items 7 – 10 OWASP resources

Documents
Owasp top 10 2013

Owasp top 10 2013

Technology
OWASP Top 10 · OWASP Top 10 from a developer’s perspective John Wilander, OWASP/Omegapoint, IBWAS’10

OWASP Top 10 · OWASP Top 10 from a developer’s perspective John Wilander, OWASP/Omegapoint, IBWAS’10

Documents