Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka.

Podobne prezentacje


Prezentacja na temat: "OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka."— Zapis prezentacji:

1 OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka

2 About SecuRing Były programista Trener w OWASP Poland od 4 lat

3 Agenda Co to OWASP? Co ma dla mnie (dla Was) ciekawego? Narzędzia Q&A

4 Disclaimer To tylko przegląd narzędzi Nie, nie korzystam sam Uważam, że warto przynajmniej rzucić na nie tak zwanym okiem

5 OWASP Misja Projekty – Dokumenty – Narzędzia Listy dyskusyjne

6 Narzędzia Dependency check Dependency-Track ESAPI AppSensor ZAP oSaft

7 OWASP Dependency Check Weryfikacja podatności w bibliotekach Problem: OWASP Top A9 Using Components with Known Vulnerabilities Status: FLAGSHIP Korzysta z NIST National Vulnerability Database Produkuje raport

8 OWASP Dependency Check Wspierane technologie: Użycie: – Command line – Ant - zadanie – Jenkins plugin – Maven plugin

9 Aplikacja WWW Status: LAB (v ) Korzysta z OWASP Dependency Check Możliwości: – Zarządzanie listą aplikacji wraz z wykorzystywanymi komponentami – Dashboard

10

11

12 OWASP ESAPI Enterprise Security API Status: ? Wspierane technologie*: Wersje: – v 2.0 ( release) – v 3.0 ( last commit)

13 OWASP ESAPI

14 OWASP AppSensor Framework pozwalający na wbudowanie w aplikację mechanizmów wykrywania i obsługi incydentów Status: ? (v2.0, last commit ) Oferuje: – Wiedzę jak się bronić – Referencyjną implementację

15 OWASP AppSensor

16

17

18 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: – Skaner automatyczny Pasywny Aktywny – API – Możliwość skryptowania

19 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: – Skaner automatyczny Pasywny Aktywny – API – Możliwość skryptowania Application Errors Cache Control Content Type Missing Cookie HTTP Only Cookie Secure Flag Cross Domain Script Inclusion Header XSS Protection Mixed Content Password Autocomplete Private Address Disclosure Session Id in URL X-Content-Type-Options X-Frame-Option

20 OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: – Skaner automatyczny Pasywny Aktywny – API – Możliwość skryptowania Code Injection Command Injection Client Browser Cache Cross Site Scripting (reflected) Cross Site Scripting (persistent) Directory Browsing External Redirect CRLF Injection Parameter Tampering Path Traversal Remote File Include Server Side Include SQL Injection

21 OWASP Zed Attack Proxy Użycie (API): – Ant - zadanie – Maven plugin – Python, Node.js – …

22 O-Saft Weryfikacja (aktywna) konfiguracji SSL/TLS Problem: OWASP Top A6 Sensitive Data Exposure Status: LAB Użycie: command line

23 Q&A ???

24 Dziękuję za

25 Materiały https://www.owasp.org/index.php/Category:OWASP_Project https://www.owasp.org/index.php/OWASP_Dependency_Check https://www.owasp.org/index.php/OWASP_Dependency_Track_Project https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API https://github.com/ESAPI https://www.owasp.org/index.php/OWASP_AppSensor_Project https://github.com/jtmelton/appsensor https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project https://www.owasp.org/index.php/O-Saft


Pobierz ppt "OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka."

Podobne prezentacje


Reklamy Google