Bezpečnost webových aplikací

Transcript

1. Bezpečnost webových aplikací Jirka Jansa, 2019

2. zranitelnosti infrastruktura, data, kód, lidi, firmy

3. zranitelnosti kódu katalog CVE, CWE, skóre CVSS, databáze NVD https://nvd.nist.gov

4. penetrační testy

5. ethical hacking https://hackerone.com hacking

6. red teaming

7. prevence

8. OWASP The Open Web Application Security Project https://owasp.org

9. top 10 injekce, XSS, CSRF, rozbitá autentizace, protokol, citlivá data,

   ... https://github.com/OWASP/Top10 OWASP

10. juice shop záměrně děravá aplikace http://owasp-juice.shop OWASP

11. OWTF Offensive Web Testing Framework https://github.com/owtf/owtf OWASP

12. ASVS The Application Security Verification Standard https://github.com/OWASP/ASVS OWASP

13. dependency-check plugin pro maven, gradle, jenkins, sonarqube... https://github.com/jeremylong/DependencyCheck OWASP

14. security guides testing, developer, code review, ... https://github.com/OWASP/OWASP-Testing-Guide-v5 OWASP

15. cheatsheets https://github.com/OWASP/CheatSheetSeries OWASP

16. SAMM Software Assurance Maturity Model https://owaspsamm.org OWASP

17. legislativa především č. 181/2014 Sb. (kybernetický zákon) https://govcert.cz/cs/regulace-a-kontrola/legislativa

18. rychlý návod… ...jak to alespoň nezkonit

19. 1. infrastruktura automatizace, updates, ops vs. hotové řešení (cloud)

20. 2. data bezpečné algoritmy, minimální práva

21. 3. kód dependency-check, statická analýza, pentesty, ASVS

22. 4. lidi školení, konference, prostor pro učení, red teaming

23. 5. firmy SAMM

24. jak moc, ne jestli je aplikace bezpečná?