Software Freedom day Serbia - Owasp open source resenja

Informaciona bezbednost u Srbiji i open source rešenja

Nikola Milošević[email protected]

About Me

• OWASP Serbia local chapter leader• OWASP anti-malware project contributor• OWASP LC Srbija postoji od februara 2012• Jednom mesecno predavanja na ETF• Mailing lista• https://www.owasp.org/index.php/Serbia

Informaciona bezbednost u Srbiji

• Ne obraća se pažnja na bezbednost• Porast napada u poslednjih nekoliko godina• Napadačke tehnike su u razvoju• Ranjivi veliki sistemi (državne institucije, banke)


• Povećana kompeksnost malvera i napadačkih alata

• Radoznalost• Cyber kriminal• Hacktivizam• Tehnološka špijunaža• Cyber rat

Kako se zaštiti?

• Kako se zaštiti?

• Bezbedan kod• Testiranje i retestiranje • Be up to date (osvežavati znanje)• Update softvera i korišćenih biblioteka• Edukacija korisnika

OWASP Projekti

• 3 grupe OWASP projekata:– Protect – Alati i dokumenti koji imaju ulogu da štite– Detect – Alati i dokumenti koji imaju ulogu da nađu– Life Cycle – Alati i dokumenti koji se koriste da bi

dodali bezbednosne mehanizme u Software Development Lifecycle

Guides and documents

• OWASP Top 10• OWASP Application Security Verification

Standard• OWASP Code Review Guide• OWASP Testing Guide

OWASP Frameworks

• OWASP AntySami Project (Java,.NET)– API za validiranje bogatih HTML/CSS unosa korisnika bez

izloženosti cross-site scripting i phishing napadima• OWASP Enterprise Security API (ESAPI)– Slobodna i otvorena kolekcija svih bezbednostih metoda za

kojima developer ima potrebu da bi napravio sigurnu web aplikaciju

• OWASP Mod Security Rule Set Project– web application firewall engine– Generička zaštita od ranjivosti koje se često nalaze u web

aplikacijama

OWASP alati

• OWASP Code Crawler (beta)– Statički alat za code review. Traži bezbednostne propuste

u .NET i J2EE (java)• OWASP Web Scarab Project– Alat za vršenje bezbednostih testova na web aplikacijama

• OWASP Zed Attack Proxy– penetration testing alat za nalaženje ranjivostu u web

aplikacijama– Koriste ga ljudi sa različitim iskustvom – Toolsmith tool of the year 2011

Kozice

• Edukacioni projekat• Želite li da naučite kako se testira bezbednost

web aplikacija?• Probajte Web Goat!• Naučite da izvedete OWASP Top 10• Drugi koziji projekti:– GoatDroid– iGoat

Non OWASP

• Nmap• Sqlmap• WireShark• Snort

• ODESSA (Open Digital Evidence Search and Seizure Architecture)

• ...

Don’t get hacked

Protect yourself

Pitanja i diskusija

[email protected]

Software Freedom day Serbia - Owasp open source resenja

Documents

Transcript of Software Freedom day Serbia - Owasp open source resenja