OWASP + DevOps, kilka przydatnych narzędzi Mateusz Olejarka Kto znalazł informację o spotkaniu na kanałach OWASP’owych?

About Pentester @ SecuRing Były programista Trener w OWASP Poland od 4 lat

Agenda Co to OWASP? Co ma dla mnie (dla Was) ciekawego? Narzędzia Q&A

Disclaimer To tylko przegląd narzędzi Nie, nie korzystam sam Uważam, że warto przynajmniej rzucić na nie tak zwanym okiem

OWASP Misja Projekty Dokumenty Narzędzia Listy dyskusyjne

Narzędzia Dependency check Dependency-Track ESAPI AppSensor ZAP oSaft

OWASP Dependency Check Weryfikacja podatności w bibliotekach Problem: OWASP Top 10 2013 A9 Using Components with Known Vulnerabilities Status: FLAGSHIP Korzysta z NIST National Vulnerability Database Produkuje raport Jak myślicie, do czego to się może przydać ???

OWASP Dependency Check Wspierane technologie: Użycie: Command line Ant - zadanie Jenkins plugin Maven plugin Potencjalnie mają wpierać jeszcze JavaScript i NodeJS

Korzysta z OWASP Dependency Check Możliwości: Aplikacja WWW Status: LAB (v1.0.0 15.02.2015) Korzysta z OWASP Dependency Check Możliwości: Zarządzanie listą aplikacji wraz z wykorzystywanymi komponentami Dashboard 

OWASP ESAPI Enterprise Security API Status: ? Wspierane technologie*: Wersje: v 2.0 (10.2013 release) v 3.0 (10.2014 last commit) TODO

OWASP ESAPI TODO

OWASP AppSensor Framework pozwalający na wbudowanie w aplikację mechanizmów wykrywania i obsługi incydentów Status: ? (v2.0, last commit 26.02.2015) Oferuje: Wiedzę jak się bronić Referencyjną implementację

OWASP AppSensor

OWASP AppSensor

OWASP AppSensor

OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania

OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania Application Errors Cache Control Content Type Missing Cookie HTTP Only Cookie Secure Flag Cross Domain Script Inclusion Header XSS Protection Mixed Content Password Autocomplete Private Address Disclosure Session Id in URL X-Content-Type-Options X-Frame-Option

OWASP Zed Attack Proxy HTTP proxy++ Status: FLAGSHIP Możliwości: Skaner automatyczny Pasywny Aktywny API Możliwość skryptowania Code Injection Command Injection Client Browser Cache Cross Site Scripting (reflected) Cross Site Scripting (persistent) Directory Browsing External Redirect CRLF Injection Parameter Tampering Path Traversal Remote File Include Server Side Include SQL Injection

OWASP Zed Attack Proxy Użycie (API): Ant - zadanie Maven plugin Python, Node.js …

O-Saft Weryfikacja (aktywna) konfiguracji SSL/TLS Problem: OWASP Top 10 2013 A6 Sensitive Data Exposure Status: LAB Użycie: command line

Q&A ???

mateusz.olejarka@owasp.org @molejarka Dziękuję za uwagę mateusz.olejarka@owasp.org @molejarka

Materiały https://www.owasp.org/index.php/Category:OWASP_Project https://www.owasp.org/index.php/OWASP_Dependency_Check https://www.owasp.org/index.php/OWASP_Dependency_Track_Project https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API https://github.com/ESAPI https://www.owasp.org/index.php/OWASP_AppSensor_Project https://github.com/jtmelton/appsensor https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project https://www.owasp.org/index.php/O-Saft