software freedom day serbia - owasp - informaciona bezbednost u srbiji open source resenja
DESCRIPTION
OWASP presentation from Software Freedom day Serbia (15.09.2012).TRANSCRIPT
Informaciona bezbednost u Srbiji i open source rešenja
Nikola Milošević [email protected]
About Me
• OWASP Serbia local chapter leader
• OWASP anti-malware project contributor
• OWASP LC Srbija postoji od februara 2012
• Jednom mesecno predavanja na ETF
• Mailing lista
• https://www.owasp.org/index.php/Serbia
Informaciona bezbednost u Srbiji
• Ne obraća se pažnja na bezbednost
• Porast napada u poslednjih nekoliko godina
• Napadačke tehnike su u razvoju
• Ranjivi veliki sistemi (državne institucije, banke)
Informaciona bezbednost u Srbiji
Informaciona bezbednost u Srbiji
• Povećana kompeksnost malvera i napadačkih alata
• Radoznalost
• Cyber kriminal
• Hacktivizam
• Tehnološka špijunaža
• Cyber rat
Kako se zaštiti?
• Kako se zaštiti?
• Bezbedan kod
• Testiranje i retestiranje
• Be up to date (osvežavati znanje)
• Update softvera i korišćenih biblioteka
• Edukacija korisnika
OWASP Projekti
• 3 grupe OWASP projekata:
– Protect – Alati i dokumenti koji imaju ulogu da štite
– Detect – Alati i dokumenti koji imaju ulogu da nađu
– Life Cycle – Alati i dokumenti koji se koriste da bi dodali bezbednosne mehanizme u Software Development Lifecycle
Guides and documents
• OWASP Top 10
• OWASP Application Security Verification Standard
• OWASP Code Review Guide
• OWASP Testing Guide
OWASP Frameworks
• OWASP AntySami Project (Java,.NET)
– API za validiranje bogatih HTML/CSS unosa korisnika bez izloženosti cross-site scripting i phishing napadima
• OWASP Enterprise Security API (ESAPI)
– Slobodna i otvorena kolekcija svih bezbednostih metoda za kojima developer ima potrebu da bi napravio sigurnu web aplikaciju
• OWASP Mod Security Rule Set Project
– web application firewall engine
– Generička zaštita od ranjivosti koje se često nalaze u web aplikacijama
OWASP alati
• OWASP Code Crawler (beta)
– Statički alat za code review. Traži bezbednostne propuste u .NET i J2EE (java)
• OWASP Web Scarab Project
– Alat za vršenje bezbednostih testova na web aplikacijama
• OWASP Zed Attack Proxy
– penetration testing alat za nalaženje ranjivostu u web aplikacijama
– Koriste ga ljudi sa različitim iskustvom
– Toolsmith tool of the year 2011
Kozice
• Edukacioni projekat
• Želite li da naučite kako se testira bezbednost web aplikacija?
• Probajte Web Goat!
• Naučite da izvedete OWASP Top 10
• Drugi koziji projekti:
– GoatDroid
– iGoat
Non OWASP
• Nmap
• Sqlmap
• WireShark
• Snort
• ODESSA (Open Digital Evidence Search and Seizure Architecture)
• ...
Don’t get hacked
Protect yourself
Pitanja i diskusija