OWASP Summit 2011 - OWASP Testing Guide v4.0 - Nethemba

BLOG

OWASP Summit 2011 – OWASP Testing Guide v4.0

2011-01-01 00:54 Pavol Lupták

Dnes ma milo prekvapila pozvánka OWASP organizácie na OWASP Summit 2011, ktorý sa bude konať 8-11.februára v Lisabone.

OWASP summit je interná konferencia členov OWASP z celého sveta dotovaná OWASP sponzormi.  Aj napriek uzavretosti tejto konferencie (pozvánky, letenky a hotel schvaľuje špeciálna komisia) samotné workshopy, prezentácie, či len čisto brainstormingové stretnutia sú veľmi produktívne a veľa začínajúcich aj existujúcich OWASP projektov sa vďaka Summitu posunie dopredu.

Účastníci OWASP Summit 2008Na poslednom OWASP Summite 2008, ktorý sa konal tiež v Portugalsku (nie v Lisabone, ale Fare) som sa zoznámil s úžasnými ľudmi – prvýkrat som tu stretol Andrzeja Targosza (organizátor Confidence), Mattea Meucciho (vedúci projektu OWASP Testing Guide), Rogana Dawesa (autor WebScarabu), či ostatných skvelých a milých ľudí, ktorých som mal možnosť behom týždňa spoznať aj z inej ako čisto technickej stránky.

Okrem týždňa technických prezentácií a workshopov, každý večer bol prudko socializačný, na konci týždňa sa tu dokonca vyformovala rocková OWASP kapela zložených z WebAppSec ľudí z celého sveta(!)

Tohtoročný OWASP Summit 2011 dáva priestor rôznym rôznym oblastiam webovej aplikačnej bezpečnosti, konkrétne ja budem spolu s Matteom Meuccim po minuloročných skúsenostiach participovať na finalizácii OWASP Testing Guide v4.0.Táto príručka (aj napriek jej rôznym, dokonca syntaktickým chybám) je defacto svetový štandard pri detailnom testovaní webových aplikácií.

Oproti verzii 3.0 je dôraz špeciálne kladený na review a detailnú kontrolu všetkých kapitol, namapovanie testovacej príručky na OWASP Common numbering systém, pridanie nových testovacích techník (v snahe zahrnúť client-side-security, testovanie bezpečnosti prehliadačov),  prekopanie celej fázy testovania “Session Managementu”, ktorá je teraz veľmi nekonzistentná atď.

Osobne by som do OWASP Testing Guide v4.0 chcel presadiť:

– doplnenie nových opensource testovacích nástrojov, ktoré sa behom posledných 3 rokov objavili, sú dôležité a v OWASP Testing Guide v3 chýbaju

– detailnejšie rozviesť kapitolu “Business Logic Testing” špeciálne o konkrétne príklady typických bezpečnostných chýb v biznis logike aplikácie s ktorými sme sa v našich detailných bezpečnostných auditoch stretli

– do sekcie “Session Management Testing” dopísať kapitolu “Brute force testing” (ktorá sa bude zaoberať útokmi a ochranou na session ID hrubou silou) a “Session ID entropy analysis”, kde budú detailne rozobraté metódy na dôkladnú analýzu Session ID

– do sekcie “Data Validation Testing” dopísať kapitolu o možnosti obfuskovať injektovaný kód (teraz sa o tom už píšu knihy), čo je veľmi dôležité na detailné otestovanie aplikácie

– oddeliť fázu “Logout and Browser Cache Management” na samostatné dve kapitoly (nakoľko ide o 2 odlišné veci)

Nakoľko tvorba OWASP Testing Guide v3.0 fungovala na viacmenej aktokratických princípov, pevne verím, že väčšina z týchto vecí sa podarí presadiť.

Už teraz sa na OWASP Summit veľmi teším.