Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Presentación del tema: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Transcripción de la presentación:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org OWASP ESAPI Swingset Fabio Cerullo OWASP Irlanda Comité Global de Educación 19 July 2011

2 OWASP Agenda Introducción a OWASP ESAPI Areas de Seguridad Cubiertas por ESAPI Mapeo de ESAPI > ASVS > Swingset SwingSet Demo AppSec Latam 2011 Preguntas y Respuestas

3 OWASP Introducción a ESAPI Cual es el principal problema con la mayor parte de los frameworks/controles de seguridad?

4 OWASP Introducción a ESAPI NO Intuitivo, Integrado o Amigable (para el desarrollador).

5 OWASP Introducción a ESAPI RIESGO es un camino desde el Agente de Amenaza al Impacto de Negocio

6 OWASP Introducción a ESAPI Todas las vulnerabilidades se originan por: ESAPI puede ayudar en estos escenarios Control Faltante Falta de Validación de Entradas Falla al realizar Control de Accesos Control Roto Manejo Inapropiado de Sesiones Fallo Abierto Control Ignorado Encriptación no implementada Codificación de Salida olvidada

7 OWASP Introducción a ESAPI OWASP ESAPI (Enterprise Security API) apunta a proveer a los desarrolladores con todos los controles de seguridad necesarios: Estandarizados Centralizados Organizados Integrados Alta Calidad Intuitivos Testeados

8 OWASP Que es ESAPI? Los Toolkits de OWASP Enterprise Security API ayudan a los desarrolladores de software a protegerse de problemas de seguridad relacionados con el diseño o implementación de una aplicación. Colección de clases que encapsulan los controles de seguridad mas importantes para una aplicación. Existen versiones de Java EE,.Net, Javascript, Classic ASP ColdFusion/CFML, PHP y Python. La version de ESAPI para JAVA EE incluye un Web Application Firewall (WAF) que puede ser utilizado mientras los equipos de desarrollo se focalizan en remediar los problemas. Todas las versiones de ESAPI se encuentran bajo una licencia BSD de software libre. Usted puede modificar o utilizar ESAPI como le parezca. Incluso puede incluirlo en productos comerciales de manera totalmente gratuita.

9 OWASP Donde se ubica ESAPI? Plan & Design Plan & Design Build Test Implement security testing security testing WAF/XML firewalls WAF/XML firewalls architectual risk analysis architectual risk analysis Security code review Security code review policy awareness training Controls ASVS T10 Education Building Guide Building Guide WebGoat OWASP Swingset Testing Guide Testing Guide Code review Guide Code review Guide ASVS OWASP ESAPI WAF ESAPI WAF W3AF Code Crawler SDLC

10 OWASP Como funciona ESAPI? Simplemente extraiga el paquete de distribución ESAPI a una ubicación apropiada. Las interfaces de controles de seguridad ESAPI incluyen una clase “ESAPI” que sirve de “localizadora” del resto. La clase “localizadora” ESAPI es llamada para recuperar las instancias de controles de seguridad individuales.

11 OWASP Areas de Seguridad Cubiertas por ESAPI Existen120+ métodos organizados en diferentes interfaces.

12 OWASP Mapeo de ESAPI a ASVS ASVS puede ser utilizado para establecer un nivel de confianza en la seguridad de aplicaciones Web. Autenticación Gestión de Sesiones Control de Acceso Validación de Entradas Codificación de Salidas Criptografía Manejo de Errores Protección de Datos Seguridad HTTP

13 OWASP Mapeo de ESAPI a ASVS - Un ejemplo - ASVS Gestión de Sesiones Implementación ESAPI ESAPI.httpUtilities().changeSessionIde ntifier() cambia el identificador de sesión durante el inicio de sesión. BTW: previene fijación de sesión.

14 OWASP Mapeo de ESAPI a ASVS

15 OWASP Swingset Originalmente había sido diseñada como una aplicación Web que demuestra los distintos usos de ESAPI. Problema... No había interacción con desarrolladores.

16 OWASP Swingset Interactivo Version customizada de Swingset Alineada con la mision de OWASP GEC Apunta a entrenar desarrolladores en ESAPI ➡ Cada lab presenta una vulnerabilidad ➡ Desarrollador necesita remediarla utilizando ESAPI Labs organizados alrededor de ASVS

17 OWASP Swingset Interactivo Requisitos de Instalación: JDK o JRE Eclipse ESAPI para Java Swingset

18 OWASP Swingset Interactivo Demo

19 OWASP Swingset Interactivo Demo ESAPI provee un conjunto de controles de seguridad “positivos” ESAPI puede ser utilizado para mejorar la seguridad de sus aplicaciones alineandolas con ASVS Swingset es una gran herramienta para entrenar desarrolladores.

20 OWASP Swingset Interactivo Planes Futuros Automatizar instalación Mejor GUI (menúes/gráficos) Mas lecciones (ej. principiantes/avanzados) Lab Virtuales Interesado? Envíame un correo! SWINGSET

21 OWASP Recursos Adicionales ESAPI Swingset Interactive https://www.owasp.org/index.php/ESAPI_Swings et https://www.owasp.org/index.php/ESAPI_Swings et ESAPI Javadocs http://owasp-esapi- java.googlecode.com/svn/trunk_doc/latest/index. html http://owasp-esapi- java.googlecode.com/svn/trunk_doc/latest/index. html Libro de ESAPI https://www.owasp.org/images/7/79/ESAPI_Book.pdf https://www.owasp.org/images/7/79/ESAPI_Book.pdf

22 OWASP AppSec Latam 2011 - Dias de Entrenamiento 4 y 5 Octubre 2011 - Dias de Conferencia 6 y 7 Octubre 2011 SORPRESA Sorteo de una entrada esta noche!

23 OWASP Preguntas y Respuestas FCERULLO@OWASP.ORG Queres contribuir o proveer feedback? Gracias!