ISACA Finland 24.1.2008 OWASP 24.1.2008. The OWASP Foundation. Timo Meriläinen Antti Laulajainen. http://www.owasp.org

Samankaltaiset tiedostot
Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Tietokantasovellus (4 op) - Web-sovellukset ja niiden toteutus

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

T Hypermediadokumentin laatiminen. Sisältö. Tavoitteet. Mitä on www-ohjelmointi? Arkkitehtuuri (yleisesti) Interaktiivisuuden keinot

Hyökkäysten havainnoinnin tulevaisuus?

Uloskirjautuminen Shibbolethissa

WWW-sivut HTML-kielellä esitettyä hypertekstiaineistoa

- Jarjestelmaasiantuntija Markku Jaatinen

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

Hajautettujen sovellusten muodostamistekniikat, TKO_2014 Johdatus kurssiin

Javan asennus ja ohjeita ongelmatilanteisiin

Järjestelmäarkkitehtuuri (TK081702) AJAX, Asynchronous JavaScript And XML. AJAX, Asynchronous JavaScript And XML

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Tietoturvakoulutus Turun ammattikorkeakoulun Tietojenkäsittelyn koulutusohjelmassa (AMK) ja DP in Business Information Systems issä (YAMK)


Järjestelmäarkkitehtuuri (TK081702)

Opettajatuutorointi-kurssin syksyn 2006 kyselyjen tulokset

HTTP-välityspalvelimen käyttö tapahtumien keräämiseen

Tietoturvapäivä

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

Vaivattomasti parasta tietoturvaa

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Ohje Hosted.fi SharePoint

Visma Software Oy

Ylläpito-ohje. Matematiikan oppifoorumi. Carl Johansson Jukka Kariola Outi Marttila Helena Venäläinen Sampsa Virtanen. Ohjaaja.

Avointen ohjelmistojen käyttö ohjelmistokehityksessä

Tietoturvakonsulttina työskentely KPMG:llä

Tekninen suunnitelma - StatbeatMOBILE

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

HSMT J2EE & EJB & SOAP &...

WWW-ohjelmoinnin kokonaisuus. WWW-OHJELMOINTI 1 Merkkauskielet. Merkkauskielten idea. Merkkauskielet (markup languages) Merkkauskielten merkitys

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

TIEDEJUTTUKURSSI FM VILLE SALMINEN

Kieku-tietojärjestelmä Työasemavaatimukset

Tikon Ostolaskujenkäsittely versio SP1

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Virtualisointi Käytännön kokemuksia järjestelmien virtualisoinnista

POP-UP -IKKUNOIDEN SALLIMINEN

Suoritustavat: Laboratoriotöitä 2.-3.periodi. Luennot 2h, Laboratorityöt 4h, itsenäinen työskentely 124 h. Yhteensä 130 h.

Loppuraportti. Matematiikan oppifoorumi. Carl Johansson Jukka Kariola Outi Marttila Helena Venäläinen Sampsa Virtanen. Ohjaaja.

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Tekninen suunnitelma - StatbeatMOBILE

Tuotantokoneen langaton etädiagnostiikka

Hankintariskit haltuun virtualisoinnilla

AsioEduERP v12 - Tietoturvaparannukset

Uutta Remote Support Platform 3.1 -versiossa

Tietoturvallisuuden ja tietoturvaammattilaisen

Visma Nova Webservice Versio 1.1 /

Tikon Ostolaskujenkäsittely versio 6.2.0

Suorituskyky- ja tietoturvatestaus Kelassa

Käyttöjärjestelmät(CT50A2602)

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Johdatus tietoturvainformaation hallinnan kehittämiseen

Suorituskyvyn varmistaminen sovelluskehityksen eri vaiheissa Paavo Häkkinen, Presales Teamleader Compuware Finland

Rikkaiden WWW-sovellusten luominen

Diplomityöseminaari

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Web-sovellusten testaus

Taitaja 2015 Windows finaalitehtävä

AinaUCX BCM 1 (7) asennusohje

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

FuturaPlan. Järjestelmävaatimukset

HOJ J2EE & EJB & SOAP &...

GroupWise Calendar Publishing Host User

Eclipse 3.1 Pikaopas versio 1.0

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

AinaCom Skype for Business. Asennusohje

Web-palveluiden toteutus älykortille

Tietoturvan huomioon ottaminen tietojärjestelmähankinnassa

THINKING PORTFOLIO ASIAKASHAASTATTELU FINAVIA COPYRIGHT THINKING PORTFOLIO. Kuva: Finavia

Sähköisen asioinnin arkkitehtuuri

Osio 4: Tietovirrat. Properties- eli ominaisuustiedostot Logger: lokitietojen käsittely

Lohtu-projekti. Testaussuunnitelma

Yleinen ohje LAITEYMPÄRISTÖ

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Google Cloud Print -opas

POMPIDOU 10 ASENNUSOHJEET

Harjoitus 3: Vaatimukset

Verkkopokerijärjestelmä. Loppuraportti Ryhmä Kanat Ohjelmistotuotantoprojekti, syksy 2008

INTERNETSELAIMEN ASETUKSET. Kuinka saan parhaan irti selaimesta

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

T Projektikatselmus

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

T Projektikatselmus

Visma Fivaldi selainohjeet Internet Explorer

Opas verkkopalvelun tietoturvan varmentamiseen

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Digital by Default varautumisessa huomioitavaa

Työasemien hallinta Microsoft System Center Configuration Manager Jarno Mäki Head of Training Operations M.Eng, MCT, MCSE:Security, MCTS

Grid: Käsitteet, teknologiat, sovellukset sekä vaikutus CSC:läisten työhön

Uutisjärjestelmä. Vaatimusmäärittely. Web-palvelujen kehittäminen. Versio 1.3

CT50A2601 Käyttöjärjestelmät Androidin ja Symbianin vertailu Seminaarityö

Tikon Ostolaskujenkäsittely/Web-myyntilaskutus versio 6.3.0

TermBase NET versio (Beta)

Selaimen asetukset. Toukokuu (7) Selaimen asetukset Tikon Oy. All rights reserved.

Transkriptio:

ISACA Finland 24.1.2008 Timo Meriläinen Antti Laulajainen 24.1.2008 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org

Agenda 24.1.2008 14:00 Esittelyt Johdanto Mikä on projektien esittelyä Finland Muita tarkastajan kannalta mielenkiintoisia Open Source tietoturvaprojekteja Kysymyksiä & Keskustelua 2

Esittelyt Timo Meriläinen, CISA, CISSP 1985 2001 Erilaisia ATK-tehtäviä 2001 2007 Tietojärjestelmätarkastus ja tietoturvallisuuden asiantuntijatehtävät 2007- Tietoturva-arkkitehti Antti Laulajainen, CISSP 1999-2003 Infrastruktuuriasiantuntija, käyttöjärjestelmän tietoturva 2004-2007 Järjestelmäarkkitehti, Tietoturva konsutoinnit ja suunnitelutehtävät käyttöjärjestelmille 2007- Tietoturvakonsultti, Sovellustietototurva ja kehitystehtävät 3

Johdanto Muutama sana www-sovelluksista Tarkastajan näkökulma www-sovelluksiin 4

Muutama sana www-sovelluksista 1 Perusmallina asiakas/palvelin-malli, jossa asiakkaana yleensä käyttäjän www-selain palvelimena www-palvelin ja sen takana olevat sovellus- ja tietokantapalvelimet ja integraatiokerrokset Samaa tekniikkaa voidaan käyttää myös sovellusten välillä (webservices) 5

ISACA kotisivu - esimerkki 6

Muutama sana www-sovelluksista 2 On vain kahdenlaisia www-sivuja Niitä, jotka ovat olemassa (staattiset sivut) Ja niitä, jotka jokin ohjelma tekee lennossa (dynaamiset sivut) www-sivujen dynaamiset osat voidaan toteuttaa Palvelimella Selaimessa Selain tulkitsee palvelimen lähettämän HTMLkoodin laajennuksineen (CSS-tyylitiedot, Javascript) käyttäjälle näytettäväksi käyttöliittymäksi 7

Muutama sana www-sovelluksista 3 Palvelimilla lukuisia eri tapoja ja kieliä käytettävissä cgi-bin Microsoft ASP.Net Java J2EE JSP, servletit PHP, Ruby, etc. Selaimessa toiminnallisuuksiin voidaan käyttää Selaimen tukemia scriptikieliä (Javascript, VBScript) Active-X komponentteja (IE-selaimet) Java appletteja (selaimessa Java Runtime tuki) AJAX (JavaScript + XML) -tekniikka 8

Muutama sana www-sovelluksista 4 Selaimen (tai muun asiakasohjelma) ja palvelimen välisessä tietoliikenteessä protokollona yleensä http tiedot siirretään selväkielisenä https tiedot suojataan salauksella http(s) on tilaton protokolla, joten käyttäjän istuntotietoa on välitettävä jollain tavalla selaimen ja palvelimen välillä. Tapoina esim. Evästeessä (Cookie) oleva istuntotunnus Istuntotunnus osa selaimen lähettämää URL-osoitetta Muu, sovellustasolla toteutettu tapa 9

Cookie esimerkki 10

Tarkastajan näkökulma 1 www-sovelluksessa useita eri kerroksia www-käyttöliittymä sovelluspalvelin- ja tietokantataso integraatio taustajärjestelmiin Näiden lisäksi myös Palvelinten perusturvallisuus (kovennukset) Tietoliikenne Seuranta ja valvonta, varmistukset Sekä ympäristön hallinnollinen tietoturva Muutoshallinta Käyttövaltuuksien hallinta Haavoittuvuuksien hallinta (päivitykset) 11

Tarkastajan näkökulma 2 Haavoittuvuuksia ja konfigurointivirheitä voi olla Sovellusta suojaavissa verkkokomponenteissa (palomuurit, kuormantasaajat, reitittimet ja kytkimet) Sovelluksen palvelinalustassa (www-palvelin, proxyt) Itse sovelluksessa Haavoittuvuuksien vakavuus WWW-käyttöliittymässä olevat haavoittuvuudet ovat kaikkien palveluun pääsevien uloittuvilla Muiden tasojen haavoittuvuuksien hyväksikäyttö edellyttää yleensä pääsyä tuotantoympäristön sisään 12

Tarkastajan näkökulma 3 Hyökkääjä hallitsee selainta Internet sovelluksissa oletuksena on se, että käyttäjä hallitsee täysin oman työasemaympäristön ja selaimen Erilaisilla työkaluilla voidaan simuloida selainta testaus- ja murtotarkoituksissa Selaimeen ladattavat scriptit, appletit ja komponentit voidaan analysoida ja näitä voidaan muuttaa Sisäverkossa työaseman selainta voidaan yrittää kontrolloida tiukemmin, mutta tällöin keskeistä yleensä ympäristön muiden kontrollien toimivuus 13

Mikä on taustaa Joitain -projekteja ja dokumentteja Helsinki Chapter 14

taustaa WWW-sovellusten tietoturvallisuuteen keskittyvä OpenSource -yhteisö Perustettu maailmalla 2000-luvun alkupuoliskolla Toiminta erilaisissa projekteissa paikallisissa yhteisöissä (Chapter) Paikallista toimintaa eri puolilla maailmaa, myös Suomessa 15

Projektien kotisivu 16

Projekteja Dokumentit ja oppaat Top Ten Project AppSec FAQ Project Guide Project Testing Guide CLASP Työkalut WebScarab Project WebGoat Project Näiden lisäksi myös muita projekteja 17

TOP TEN (2007) 18

Application Security FAQ 19

Guide ja Testing guide Guide sovelluskehittäjille ja arkkitehteidelle tarkoitettu opas PDF-versio ladattavissa :in sivuilta Saatavana myös kirjana Testing guide www-sovellusten tietoturvallisuuden testaajille tarkoitettu tekninen opas PDF-versio ladattavissa :in sivuilta Saatavana myös kirjana 20

CLASP 21

Webscarab Käyttäjän työasemassa käytettävä välityspalvelinohjelmisto (Proxy) Web-testaajan McGywer veitsi Mahdollistaa mm. Selaimen ja www-palvelimen välisen tietoliikenteen analysoinnin ja muokkaamisen Cookie-tietojen analysointi ja muokkaus www-palvelimen hakemistorakenteen analysoinnin www-sivuilla olevien scriptien ja kommenttien analysoinnin 22

Webscarab esimerkki 1 23

WebGoat Itseopiskeluun ja koulutuskäyttöön tarkoitettu www-sovellus, johon on tarkoituksella tehty haavoittuvuuksia 12 erillistä aihetta, joita voi käydä läpi omaan tahtiinsa Webscarab oiva apuväline opiskelussa 24

WebGoat -esimerkki 1 25

WebGoat -esimerkki 2 26

WebGoat -esimerkki 3 27

WebGoat -esimerkki 4 28

Helsinki Chapter Perustettu Suomessa 2006 (Mikko Saario) ISACA / TiVaKo 2002-kurssilla tietty vaikutus asiaan Vapaamuotoinen verkosto, jossa mukana tietoturva-ammattilaisia ja sovelluskehittäjiä Jäsenkokouksia ajankohtaisista, yleensä teknisistä aiheista Postituslista Jatkossa tarkoituksena tavoittaa tietoturvaammattilaisten lisäksi IT-arkkitehdit, määrittelijät Suunnittelijat ja sovelluskehittäjät Testaajat ja tarkastajat 29

Helsinki chapter 30

Muita OpenSource projekteja OSSTMM - Open Source Security Testing Methodology Manual Erilaisiin työkaluihin liittyvät projektit Wireshark -tietoliikenteen analysointiohjelmisto Nessus -haavoittuvuusskanneri Tietoliikenteen ja palvelinalustojen turvallisuuteen liittyvät projektit Snort IDS-järjestelmä OSSEC Open Source Host-based intrusion detection system 31

Kysymyksiä & Keskustelua 32

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute