Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Samankaltaiset tiedostot
ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Hyökkäysten havainnoinnin tulevaisuus?

OWASP CLASP turvallisten web sovellusten takaajana

Smart cities - nyt ja huomenna

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Tutkimus web-palveluista (1996)

Avointen ohjelmistojen käyttö ohjelmistokehityksessä

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Verkottunut suunnittelu

Tutkittua tietoa. Tutkittua tietoa 1

Digitaalinen haavoittuvuus MATINE Tampere

Globaalisti Hajautettu Ohjelmistokehitys Mitä, Miksi & Miten? Maria Paasivaara

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

Työkalut ohjelmistokehityksen tukena

Opas verkkopalvelun tietoturvan varmentamiseen

PROJEKTIN OHJAUS JA SEURANTA JOUNI HUOTARI

TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj

Avoin lähdekoodi hankinnoissa Juha Yrjölä

Javan asennus ja ohjeita ongelmatilanteisiin

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Testauksen suunnittelu ja dokumentointi ketterässä testauksessa Tutkimustuloksia

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Ohjelmistojen mallintaminen. Luento 11, 7.12.

Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

Scrumin käyttö ketterässä sovelluskehityksessä

Ubicom tulosseminaari

Määrittelydokumentti NJC2. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa


TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

ArcGIS.com. uusia tapoja jakaa paikkatietoa

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

Tekninen suunnitelma - StatbeatMOBILE

Tässä keskitymme palveluiden kehittämiseen ja niistä viestimiseen jotta osaaminen olisi nähtävissä tuotteena. Aluksi jako neljään.

C++ Ohjelmoijan käsikirja. Johdanto

Software engineering

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Juha Peltomäki JAMK/Teknologia

TEEMME KYBERTURVASTA TOTTA

Tietomurroista opittua

Xerox Device Agent, XDA-Lite. Pika-asennusopas

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

Interfacing Product Data Management System

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

IPv6 ja Esineiden Internet

JTC1 SC7 kuulumiset: Keskeiset työkohteet ja tulokset. SFS:n IT-seminaari Risto Nevalainen, Senior Advisor FiSMA

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Open Source -ohjelmien perusteet

TYPO3 - Open Source Enterprise CMS

API:Hack Tournee 2014

ELM GROUP 04. Teemu Laakso Henrik Talarmo

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

VYPEdit verkkosivualusta SVY-toimijoille

Neoxen Systems on suomalainen ohjelmistotalo. Olemme erikoistuneet tiedon- ja oppimisen hallinnan ratkaisuihin.

Ohjelmistoprosessit ja ohjelmistojen laatu Kevät Ohjelmistoprosessit ja ohjelmistojen laatu. Projektinhallinnan laadunvarmistus

HYÖDYNNÄ SUBSCRIPTION-ETUSI

Sopimusten Verkkopankki

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

AKKREDITOITU TESTAUSLABORATORIO ACCREDITED TESTING LABORATORY WE CERTIFICATION OY OPERATOR LABORATORY

Laiteriippumaton UI Ajaxilla ja Javalla

Kattava tietoturva kerralla

Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj IBM Corporation

Sivuston tiedotemreemir.com

HELSINKI AREA TESTBED. Martti Mäntylä, HIIT

Tietoturvan ja -etosuojan suhde sovelluskehityksessä. An6 Vähä- Sipilä Tietoturva ry SFS:n seminaari

Malliperustainen ohjelmistokehitys - MDE Pasi Lehtimäki

Kohti Kohaa avoimen lähdekoodin kirjastojärjestelmän käyttöönotto

HALLITSE HAAVOITTUVUUKSIA

SOA SIG SOA Tuotetoimittajan näkökulma

HYÖDYNNÄ SUBSCRIPTION-ETUSI

PLA Mobiiliohjelmointi. Mika Saari

HP Change Rules of Networking

Sähköinen. ylioppilastutkinto.fi

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A Kandidaatintyö ja seminaari

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Ohjelmistotestaus -09

Toteutusvaihe T3 Digi-tv: Edistymisraportti

Olet vastuussa osaamisestasi

V A I K U T T A V A SÄHKÖVALINTA Y R I T Y S M A A I L M A N S U U N N A N N Ä Y T T Ä J I L L E

XML prosessori. XML prosessointi. XML:n kirjoittaminen. Validoiva jäsennin. Tapahtumaohjattu käsittely. Tapahtumaohjattu käsittely.

- Jarjestelmaasiantuntija Markku Jaatinen

Oodin versiot, havaittujen virheiden korjaus sekä kehitysehdotusten eteneminen

Kyberturvallisuus kiinteistöautomaatiossa

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Innovointiprosessi. Lili Aunimo Lili Aunimo

TEEMME KYBERTURVASTA TOTTA

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS Ti Kandidaatintyö ja seminaari

KADA (Drupal 7) migraatio uuteen (versioon) webiin

TEEMME KYBERTURVASTA TOTTA

Testidatan generointi

Järjestelmäarkkitehtuuri (TK081702) SOA, Service-oriented architecture SOA,

Web Services tietokantaohjelmoinnin perusteet

Transkriptio:

Sovellustietoturvallisuus 7.2.2012 Petteri Arola Chapter Leader Nixu Oy petteri.arola@owasp.org Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org

Sovellustietoturvallisuus Miksi sovellukset ovat haavoittuvia?

Karu todellisuus Kaksi viikkoa hakkerointia Virheitä sovelluksen logiikassa Puutteelliset turvakontrollit Ohjelmointivirheet 10 henkilötyövuotta ohjelmistokehitystä

Sovellukset ovat hyökkäysten etulinjalla Sovellukseen on yhä helpompi päästä käsiksi, sovellushaavoittuvuudet ovat hyökkäysten aloituspiste Haavoittuvuuksia on helppo hyödyntää -> Mahdollisuuksia on lukuisia -> Hyökkäykset ovat tuloksekkaita Verkon suojaukset ovat hyödyttömiä nykypäivän sovellusturvallisuusuhkiin

Ohjelmiston elinkaari perinteinen tapa 1. Asiakas tarvitsee ohjelman 2. Toimittajan ohjelmistokehittäjä ohjelmoi jotain joka näyttäisi toimivan 3. Sen pituinen se

Sovellushaavoittuvuuden elinkaari perinteinen tapa 1. Haavoittuvuustutkija/ tietoturvakonsultti/ lonely hacker löytää haavoittuvuuden 2. Haavoittuvuus ilmoitetaan ohjelmistotoimittajalle ja haavoittuvuuskoordinaattorille (CERT) 3. Haavoittuvuuskoordinaattori valvoo, että haavoittuvuus tulee joskus korjattua N. Toimittaja julkaisee korjauksen N+1. Sen pituinen se

Mitä tapahtui vaiheessa N? 1. Vikatiketti avataan 2. Ohjelmoija korjaa bugin 3. Tiketti suljetaan

Sama juttu seuraavassa kuussa

Ja seuraavassa kuussa

Mikä on pielessä?

Meidän ei tarvitse huolehtia sovellusturvallisuudesta, koska " Meillä on palomuuri ja SSL käytössä Kehittäjä: kysyt väärältä henkilöltä, meidän tietoturva-hemmo hoitaa nämä asiat Tietoturvahemmo: kysyt väärältä henkilöltä, koska meidän ohjelmistokehittäjät hoitavat nämä asiat Sovellusta ostava henkilö: tottakai meidän sovellustoimittajan huomioi tässä sovelluksessa tietoturva-asiat ilman eri vaatimusta, sehän on selvä Sovellustoimittaja: me teemme tämän sovelluksen täsmälleen vaatimusten mukaisesti Meidän sovelluskehitysvälineet huolehtivat sovelluksen turvakontrolleista

Miksi sovellusturvallisuus on yleisesti niin heikossa jamassa? Ø Koko sovellusturvallisuuskäsite on epäselvä ja se edelleen mielletään jonkun toisen ongelmaksi Ø Ala on vielä kohtuullisen nuori ja kehittymätön -> yleinen tietoisuus sovellusturvallisuudesta ja siihen liittyvistä parhaista käytännöistä on vähäistä Ø Sovellusten ostajat eivät vielä osaa vaatia sovellustoimittajilta toteutuksia, jossa sovellusturvaasiat olisi huomioitu riittävällä tasolla Ø Ohjelmistokehityksen ammattilaisia kouluttavissa oppilaitoksissa ei opeteta sovellusturvallisuutta

Kenen pitäisi huolehtia sovellusten tietoturvasta? Eilen Mikä sovellustietoturva? Tänään Tietoturvahemmo Huomenna (?) Jokainen: ohjelmistokehittäjät, sovellusarkkitehdit, sovellusten ostajat, sovellustoimittajat

Mikä on? Ø Open Web Application Security Project Ø Voittoa tavoittelematon, vapaaehtoisuuteen perustuva open source -yhteisö Ø Yhteisön tavoitteena on kasvattaa tietoisuutta turvallisen ohjelmistokehityksen menetelmistä kehittää uusia open source ratkaisuja turvallisen ohjelmistokehityksen haasteisiin Ø Avoin keskustelufoorumi

Hyödynnä ia Ø Sovellusturvallisuustietoisuuden kasvattamiseen Ø Top 10 Ø Ohjelmistojen ostamiseen Ø Secure Software Contract Annex Ø Ohjelmistojen kehittämiseen Ø Developers guide Ø Code review guide Ø Sovellusten tietoturvan varmistamiseen ja testaukseen Ø Testing guide Ø ASVS Ø Building security in Ø OpenSAMM

Top Ten http://www.owasp.org/index.php/top_10

Developer Guide

Code Review Guide

Testing Guide http://www.owasp.org/index.php/testingguide

Application Security Verification Standard (ASVS)

OpenSAMM

työkalut Haavoittuvuusskannerit Staattiset koodianalysaattorit Fuzzaustyökalut Pentest työkalut Koodikatselmointivälineet Automaattityökalut tietoturvan varmistamiseen Työkalut tietoturvan manuaaliseen varmistamiseen AppSec kirjastot ESAPI referenssitoteutukset Raportointivälineet Turvallinen ohjelmointi Ohjelmistoturvan hallinta ESAPI Tietoturvaarkkitehtuuri Haavoittuvat ohjelmistot Oppimisympäristöt Live CD Ohjelmistoturvallisuuden koulutus

Tarvitsetko lisää?.net Project ASDR Project AntiSamy Project AppSec FAQ Project Application Security Assessment Standards Project Application Security Metrics Project Application Security Requirements Project CAL9000 Project CLASP Project CSRFGuard Project CSRFTester Project Career Development Project Certification Criteria Project Certification Project Code Review Project Communications Project DirBuster Project Education Project Encoding Project Enterprise Security API (ESAPI) Flash Security Project Guide Project Insecure Web App Project Interceptor Project JBroFuzz Java Project LAPSE Project Legal Project Live CD Project Logging Project Orizon Project PHP Project Pantera Web Assessment Studio Project SASAP Project SQLiX Project SWAAT Project Sprajax Project Testing Project Tools Project Top Ten Project Validation Project WASS Project WSFuzzer Project Web Services Security Project WebGoat Project WebScarab Project XML Security Gateway Evaluation Criteria Project on the Move Project

Tule mukaan WWW..ORG

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute