Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

OWASP + DevOps, kilka przydatnych narzędzi

OpublikowałAnastazja Tomasiak Został zmieniony 9 lat temu

Podobne prezentacje

Prezentacja na temat: "OWASP + DevOps, kilka przydatnych narzędzi"— Zapis prezentacji:

1 OWASP + DevOps, kilka przydatnych narzędzi
Mateusz Olejarka Kto znalazł informację o spotkaniu na kanałach OWASP’owych?

2 About Pentester @ SecuRing Były programista Trener
w OWASP Poland od 4 lat

3 Agenda Co to OWASP? Co ma dla mnie (dla Was) ciekawego? Narzędzia Q&A

4 Disclaimer To tylko przegląd narzędzi Nie, nie korzystam sam
Uważam, że warto przynajmniej rzucić na nie tak zwanym okiem

5 OWASP Misja Projekty Dokumenty Narzędzia Listy dyskusyjne

6 Narzędzia Dependency check Dependency-Track ESAPI AppSensor ZAP oSaft

7 OWASP Dependency Check
Weryfikacja podatności w bibliotekach Problem: OWASP Top A9 Using Components with Known Vulnerabilities Status: FLAGSHIP Korzysta z NIST National Vulnerability Database Produkuje raport Jak myślicie, do czego to się może przydać ???

8 OWASP Dependency Check
Wspierane technologie: Użycie: Command line Ant - zadanie Jenkins plugin Maven plugin Potencjalnie mają wpierać jeszcze JavaScript i NodeJS

9 Korzysta z OWASP Dependency Check Możliwości:
Aplikacja WWW Status: LAB (v ) Korzysta z OWASP Dependency Check Możliwości: Zarządzanie listą aplikacji wraz z wykorzystywanymi komponentami Dashboard 

10

11

12 OWASP ESAPI Enterprise Security API Status: ? Wspierane technologie*:
Wersje: v 2.0 ( release) v 3.0 ( last commit) TODO

13 OWASP ESAPI TODO

14 OWASP AppSensor Framework pozwalający na wbudowanie w aplikację mechanizmów wykrywania i obsługi incydentów Status: ? (v2.0, last commit ) Oferuje: Wiedzę jak się bronić Referencyjną implementację

15 OWASP AppSensor

16 OWASP AppSensor

17 OWASP AppSensor

18 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości:
Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania

19 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości:
Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania Application Errors Cache Control Content Type Missing Cookie HTTP Only Cookie Secure Flag Cross Domain Script Inclusion Header XSS Protection Mixed Content Password Autocomplete Private Address Disclosure Session Id in URL X-Content-Type-Options X-Frame-Option

20 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości:
Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania Code Injection Command Injection Client Browser Cache Cross Site Scripting (reflected) Cross Site Scripting (persistent) Directory Browsing External Redirect CRLF Injection Parameter Tampering Path Traversal Remote File Include Server Side Include SQL Injection

21 OWASP Zed Attack Proxy Użycie (API): Ant - zadanie Maven plugin
Python, Node.js

22 O-Saft Weryfikacja (aktywna) konfiguracji SSL/TLS
Problem: OWASP Top A6 Sensitive Data Exposure Status: LAB Użycie: command line

23 Q&A ???

24 mateusz.olejarka@owasp.org @molejarka
Dziękuję za uwagę @molejarka

25 Materiały https://www.owasp.org/index.php/Category:OWASP_Project

Pobierz ppt "OWASP + DevOps, kilka przydatnych narzędzi"

Podobne prezentacje

One Framework to rule them all

One Framework to rule them all
Longhorn Academy - AD Warszawa, 12 kwietnia 2007

Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Technologia VoIP.

Technologia VoIP.
„Migracja środowisk Microsoft NT/Active Directory/Exchange oraz SharePoint do nowych wersji przy użyciu narzędzi Quest Software” Grzegorz Szafrański Product.

„Migracja środowisk Microsoft NT/Active Directory/Exchange oraz SharePoint do nowych wersji przy użyciu narzędzi Quest Software” Grzegorz Szafrański Product.
Tworzenie portali z wykorzystaniem technologii Sun Java Enterprise Systems Joanna Kosińska kosinska@agh.edu.pl www.cs.agh.edu.pl.

Tworzenie portali z wykorzystaniem technologii Sun Java Enterprise Systems Joanna Kosińska
SYSTEM INTERNETOWY OLIMPIADY & UNIVERSAL PYTHON FRAMEWORK & UNIVERSAL PYTHON FRAMEWORK Szymon Acedański, Piotr Findeisen, Filip Grządkowski, Michał Jaszczyk,

SYSTEM INTERNETOWY OLIMPIADY & UNIVERSAL PYTHON FRAMEWORK & UNIVERSAL PYTHON FRAMEWORK Szymon Acedański, Piotr Findeisen, Filip Grządkowski, Michał Jaszczyk,
Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW
ADAM Active Directory w trybie aplikacyjnym

ADAM Active Directory w trybie aplikacyjnym
Microsoft Office System w praktyce wdrożenie w COMARCH-CDN

Microsoft Office System w praktyce wdrożenie w COMARCH-CDN
Zarządzanie konfiguracją Doskonalenie Procesów Programowych Wykład 6 Copyright, 2001 © Jerzy.

Zarządzanie konfiguracją Doskonalenie Procesów Programowych Wykład 6 Copyright, 2001 © Jerzy.
Model programowania aplikacji komunikacyjnych przy użyciu Java SIP Servlet API Waldek Kot.

Model programowania aplikacji komunikacyjnych przy użyciu Java SIP Servlet API Waldek Kot.
WekaSQL Język i aplikacja przetwarzania oraz eksploracji danych.

WekaSQL Język i aplikacja przetwarzania oraz eksploracji danych.
Metody autoryzacji użytkowników wymaga integracji z systemem operacyjnym nie wymaga logowania mała pewność mechanizmu wymaga logowania duża pewność mechanizmu.

Metody autoryzacji użytkowników wymaga integracji z systemem operacyjnym nie wymaga logowania mała pewność mechanizmu wymaga logowania duża pewność mechanizmu.
„Migracja środowisk Novell NDS/eDirectory oraz Novell Groupwise do środowiska Microsoft Active Directory oraz Microsoft Exchange przy użyciu narzędzi Quest.

„Migracja środowisk Novell NDS/eDirectory oraz Novell Groupwise do środowiska Microsoft Active Directory oraz Microsoft Exchange przy użyciu narzędzi Quest.
Usługa Windows Server Update Services (WSUS)

Usługa Windows Server Update Services (WSUS)
ETL – wymiana danych Michał Jabłonka 2007-01-12.

ETL – wymiana danych Michał Jabłonka
Zarządzanie stanem aplikacji Mechanizm Sesji

Zarządzanie stanem aplikacji Mechanizm Sesji
1/18 LOGO Profil zespołu. 2/18 O nas Produkcja autorskich rozwiązań informatycznych dla małych i średnich firm w zakresie systemów: Baz danych Aplikacji.

1/18 LOGO Profil zespołu. 2/18 O nas Produkcja autorskich rozwiązań informatycznych dla małych i średnich firm w zakresie systemów: Baz danych Aplikacji.

Podobne prezentacje

Reklamy Google