OWASP AppSec Germany 2009

Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen

Tobias Glemsertglemser@tele-consulting.com

Review: Marco Di Filippo ;-)Appsec Germany Nürnberg 13.10.2009

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

2

Die Projektgruppe (alphabetical order)

Marco Di FilippoTobias GlemserAchim HoffmannBarbara SchachnerDennis SchröderFeilang Wu

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

3

Um was geht's?

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

4

Eine Frage der Definition…

Wie der Kunde es erklärt hat Wie der Projektleiter es verstanden hat Wie der Analyst es auffasst

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

5

Eine Frage der Definition…

Wie der Wirtschaftsberater es verkauft Wie das Projekt dokumentiert wurde Wie es dem Kunden berechnet wurde

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

6

Eine Frage der Definition…

Was der Kunde wirklich gebraucht hätte

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

7

Um was geht's?

Erfahrungswerte von Dienstleistern und KundenWie projektiere ich intern?Wie definiere ich meine Anforderungen?Wie finde ich geeignete Dienstleister?

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

8

Projektverlauf

Diskussion am OWASP Stand auf der IT-SA Oktober 08Erste Anfrage an OWASP Mailing-Liste: 26.11.08Erste Antwort: 27.11.08Grober Projektablaufplan: Januar 09Erster Draft: Februar 09

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

9

Projektverlauf

Problem: Keine Kunden Lösung: 04.03. - 2 Kunden ☺Zweiter Draft: April 09Dritter Draft: Juni 09 (inkl. ein Ausstieg aus berufl. Gründen)„Kick-Off“ Workshop im AugustFinalisierungs-WS Mitte SeptemberVersion 1.01 auf owasp.org: 9. Oktober

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

10

Aufbau des Papers

Einführung und ZielsetzungAnforderungen: KundenseiteAnforderungen: DienstleisterCheckliste: Anforderungen KundenseiteCheckliste: Anforderungen Dienstleister-Angaben

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

11

Einführung

Kunde: Betreiber von Webanwendungen auf der Suche nach einem DienstleisterDienstleister (intern oder extern): Abteilung oder Unternehmen mit Expertise bei der Durchführung von Sicherheitsprüfungen von WebanwendungenWebanwendung: Auf Webtechnologien aufsetzende Anwendung

klassische InternetpräsenzWeb-APIWeb-Frontend von Anwendungsservern…

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

12

Einführung

Zielgruppe: Betreiber von Webanwendungen(Dienstleister)

Abgrenzung„untechnisch“Technische Erläuterungen, wenn für den Gesamtkontext wichtig

AktualisierungenMal schauen ☺Feedback jederzeit und gerne erwünscht!

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

13

Anforderungen: Kundenseite

Art der PrüfungVulnerability-Assessment (VA) / Penetrationstest der Webanwendung

Wahl der Vorgehensmodells– BSI: Durchführungskonzept für Penetrationstests– Open Source Security Testing Methodology Manual (OSSTMM)– OWASP Testing Guide– OWASP Application Security Verification Standard

Blackbox/WhiteboxLasttests/DoSSaaS - Software as a Service

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

14

Anforderungen: Kundenseite

Art der Prüfung IIQuellcode-AnalyseArchitektur-AnalyseProzess- und Dokumentations-Analyse (z. B. auf Basis IT-Grundschutz oder ISO 27001 „native“)

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

15

Anforderungen: Kundenseite

ZielformulierungDefinition der TestzieleBeschreibung der Umgebung, u. A.

ÜberblickZugriffswegeRechteprofileUmfangArchitekturDatenflußdiagramm

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

16

Anforderungen: Kundenseite

Organisatorische Aspekte: Initialisierung

Zieldefinition und ProjektbeschreibungAusgangssituation und BegründungZiele und MeilensteineRandbedingungen und Abgrenzungen

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

17

Anforderungen: Kundenseite

Organisatorische Aspekte: VorbereitungTeilnehmerProjektsteuerung und FeedbackOrt und ZeitScan-FreigabenVertraulichkeitserklärungenHaftung

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

18

Anforderungen: Kundenseite

Organisatorische Aspekte: AusschreibungUnkritische InformationenSo konkret als möglich

Allgemeine Kurzbeschreibungen der Systeme bzw. KomponentenVereinfachte NetzwerkpläneVereinfachte Datenflussdiagramme

Organisatorische Aspekte: Dienstleister AuswahlEigenes Kapitel..

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

19

Anforderungen: Kundenseite

Organisatorische Aspekte: Kick-OffÜbergabe der InformationenAlle Beteiligten an einen TischAbstimmung der Vorgehensweise

Organisatorische Aspekte: DurchführungStändiger Ansprechpartner beim KundenDefinierte EskalationswegeDefinierte Rückmelde-Strategien

Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

20

Anforderungen: Kundenseite

Organisatorische Aspekte: ProjektabschlussBericht nach Vereinbarung (siehe Dienstleister-Auswahl)Ggf. Präsentation

Organisatorische Aspekte: ProjektnachbereitungRisikograd-Einschätzungen verifizierenVerantwortlichkeiten zuweisenBehebung der Schwachstellen prüfen

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

21

Anforderungen: Dienstleister-Angaben

Erforderliche Angaben: UnternehmensgeschichteAnhaltspunkte für QualitätVeröffentlichungenAktive Mitgliedschaften

Erforderliche Angaben: ProjektteamSollte von Beginn an feststehen!Mitarbeiterprofile

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

22

Anforderungen: Dienstleister-Angaben

Erforderliche Angaben: MethodenProjektplan, pro Phase

AufwandMeilensteine

MethodikAutomatisierte TestsManuelle Tests mit „kreativer Komponente“

Individuelle Beschreibung der Vorgehensweise!Nennung der Werkzeuge und Tools, ggf. inkl. Beschreibung

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

23

Anforderungen: Dienstleister-Angaben

Erforderliche Angaben: BerichtExecutive SummaryZusammenfassung der SchwachstellenAusführliche Beschreibung der Schwachstellen

Kurzbeschreibung,Auswirkung der SchwachstelleRisikoeinschätzungReferenzenggf. genaue Vorgehensweise zur Ausnutzung der Schwachstelle

Reproduzierbarkeit und Transparenz

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

24

Anforderungen: Dienstleister-Angaben

Weiche Faktoren: ReferenzenFast immer (individuell) möglichPrüfen!

Weiche Faktoren: VeröffentlichungenFachartikelVorträge

Weiche Faktoren: MitgliedschaftenIT-Sicherheitsrelevante OrganisationenAktiv/passiv

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

25

Anforderungen: Dienstleister-Angaben

Weiche Faktoren: Zertifizierungenz. B. ISO/IEC 27001 oder ISO 9001

Weiche Faktoren: Umgang mit DatenVerschlüsselter TransferSichere Speicherung

Weiche Faktoren: HaftpflichtGreift nur bei Fahrlässigkeit

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

26

Fazit

IT-Sicherheit ist kein VoodooGemeinsame Sprache und gemeinsames Verständnis der Ziele aller Beteiligter oberstes GebotWiederholbarkeit der PrüfungenNachvollziehbarkeit der ErgebnisseInterne Nachbereitung

OWASP AppSec Germany 2009

OWASPOWASP AppSec Germany 2009 ConferenceBest Practice: Projektierung der Sicherheitsprüfung von Webanwendungen – Tobias Glemser

27

Danke

Alle Infos und Download auf http://www.owasp.org/index.php/Projektierung_der_Sicherheitspr%C3%BCfung_von_WebanwendungenKonstruktive Kritik an einen der Autoren per MailMorgen (14.10.) OWASP Stand auf der IT-SAAus ☺