OWASP: za webové aplikace bezpečnější

Petr Závodský 16. 6. 2010

Celosvětová pavučina a její uzlíky v podobě webových aplikací se během docela krátké doby staly naprosto běžnou součástí našeho života. Přibližně čtvrtina všech lidí na světě má přístup k internetu. Z toho v Evropě více jak polovina obyvatel a v Severní Americe dokonce přibližně 80 % obyvatel.

Hovoříme tak o miliardách jednotlivců hopsajících na trampolíně celosvětové sítě, o lidech, do jejichž života vstupují webové aplikace.

Chcete-li být součástí webového světa, potom se vystavujete rizikům, stejně jako se rizikům vystavujete při cestě do zaměstnání. Jenže člověk byl přírodou vybaven k tomu, aby vnímal nebezpečí plynoucí ze světa, do něhož byl stvořen. V umělém světě, jakým web je, jako uživatelé s nebezpečím často ani nepočítáme – vstupujeme do něj oslepeni nezkušeností, bez bázně, strachu a beze všeho, co se strachem souvisí … dokud …

Open Web Application Security Project

Poměrně „brzy“ si weboví specialisté začali uvědomovat, že se všemi klady, které webové aplikace poskytují, neoddělitelně přichází i nebezpečí. S tímto vědomím 9. září 2001 Mark Curphey a Dennis Groves zahájili volně šiřitelný Open Web Application Security Projekt (OWASP) – projekt, do jehož spektra zájmu spadá bezpečnost webových aplikací. O tři roky později v USA vznikla organizace OWASP Foundation, jejímž úkolem je OWASP zastřešovat. OWASP Foundation se snaží udržet si nezávislost od komerčních společností, ačkoliv výsledky činností OWASP komerční sféře slouží také.

OWASP můžeme chápat jako komunitu a projekt se společným jmenovatelem: „bezpečnost webových aplikací“.

OWASP projekty

Pod záštitou OWASP Foundation začaly dozrávat různé projekty pomáhající vývojářům vyvíjet relativně bezpečné webové aplikace. Tyto projekty v současnosti pokrývají know how prakticky v celém procesu vývoje „bezpečné“ webové aplikace, od uzavření obchodní smlouvy, návrh, analýzu, přes samotné vytvoření aplikace až po závěrečné fáze vývoje, např. testování.

OWASP projekty lze rozdělit do dvou oblastí:

  • Dokumentační projekty

  • Vývojářské projekty

Příklady dokumentačních projektů:

  • OWASP Appliacation Security Verification Standard (ASVS)

  • The Guide – poměrně podrobné pokyny pro zabezpečení webových aplikací

  • OWASP Top Ten (Top Ten Most Critical Web Application Vulnerabilities – zaměřením na nejkritičtější problémy webových aplikací

  • Metrics – definuje metriky zabezpečení webových aplikací

  • Legal – pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách

  • Testing Guide – průvodce testováním zabezpečení webových aplikací

  • ISO 17799 – podklady pro organizaci realizující ISO 17799

  • AppSec FAQ – často kladené otázky

  • atd.

Příklady vývojářských projektů:

  • WebScarab – nástroj pro testování zranitelností webových aplikací

  • WebGoat – děravá aplikace, na které si můžete v bezpečném právním prostředí zkoušet bezpečnostní nedostatky

  • Validation Filters – filtry

  • DotNet – různé nástroje pro zabezpečení .NET aplikací

  • atd.

Mailing lists

Pokud chcete být informováni o konkrétních tématech (projektech, lokálních „pobočkách“ aj.), můžete využít tzv. mailing lists, což jsou vlastně e-mailové konference k tématům, která souvisí s OWASP, konkrétním bezpečnostním problémem anebo lokální pobočkou. V seznamu e-mailových konferencí naleznete např. témata k zabezpečení aplikaci založených na konkrétní technologii (Java, .NET, AJAX aj.), konference o standardech a mnoho jiného.

V „mailing lists“ naleznete také dvě české e-mailové konference: OWASP-Czech_Republic a OWASP-prague. Tu první jsem založil před několika měsíci, aby se otevřela diskuse nad OWASP v Česku. Tu druhou dříve založil kolega ze Slovenska Norbert Szetei a jak název napovídá, konference „OWASP-prague“ se zřejmě zaměřila na OWASP v Praze – bohužel tato konference je od svého vzniku prakticky mrtvá. Nicméně – můžete se svými tématy do konference zapojit a podpořit tak její oživení, mám za to, že v jejím pozadí stojí pro téma zapálení kolegové.

Máloco brání tomu, abyste si založili své téma. Stačí založit mailing list přes https://lists­.owasp.org/ma­ilman/create.

Local Chapter

Též si můžete založit místní pobočku OWASP, tzv. Local Chapter. K tomu je zapotřebí splnit několik základních podmínek:

  • Musíte souhlasit s Chapter Leader Handbook

  • Zavážete se k uspořádání alespoň jednoho setkání (konference, semináře atp.) za čtvrt roku

  • Máte stabilní místo pro setkávání

  • Naleznete dobré mluvčí

  • Zveřejníte informace o pobočce a budete nabírat nové členy

  • Pobočku udržíte v nekomerční podobě

Podmínky pro vznik lokální pobočky jsou poměrně náročné, ačkoliv vedení OWASP uděluje výjimky a je v mnoha ohledech, zvláště při aktu vzniku pobočky, poměrně benevolentní.

Mezi stovkami lokálních poboček je i jedna s názvem „Prague“. Avšak, podobně jako e-mailová konference OWASP-prague, je i tato pobočka prakticky mrtvá.

V souvislosti s e-mailovou konferencí OWASP-Czech_republic vzniká idea oživení OWASP v Česku. Proto vznikl web owasp-czech-republic.cz, jenž je svázán s e-mailovou konferencí OWASP-Czech_republic a zřejmě povede ke vzniku lokální pobočky v Brně, v  níž se již nyní angažuje několik odborníků (např. Ing. Ladislav Bačík za oblast vývoj, Bc. Michal Rymeš za oblast analýza atd.).

widgety

Závěrem

Praxe ukazuje, že celosvětová pavučina se svými webovými aplikacemi je důvodem k obavám nejen o majetek, ale v krajních případech i o zdraví či dokonce život (jak si ostatně ukážeme v některém z budoucích článků). OWASP nabízí skvěle propracované metodiky zcela zdarma. Smutný je fakt, že mnoho vývojářských týmů i provozovatelů bezpečnost staví v lepším případě na okraj svých zájmů, v horším případě se bezpečností nezabývá vůbec.

V dalších dílech tohoto rozsáhlého seriálu si dovolím vás provést některými projekty OWASP, včetně oblastí nejkritičtějších bezpečnostních nedostatků webových aplikací.

Ohodnoťte jako ve škole:

Průměrná známka 2,06

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Lupa.cz: Hardwaru je dost. Jen aby bylo dost konstruktérů

Hardwaru je dost. Jen aby bylo dost konstruktérů

Lupa.cz: Pokus o český PayPal nevyšel. PaySec končí

Pokus o český PayPal nevyšel. PaySec končí

120na80.cz: Pyly útočí. Braňte se

Pyly útočí. Braňte se

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Podnikatel.cz: Jak na odměňování prokuristy?

Jak na odměňování prokuristy?

DigiZone.cz: DVB-T2 à la Nova: „zadarmo“ bude jen ČT

DVB-T2 à la Nova: „zadarmo“ bude jen ČT

Podnikatel.cz: Nepřišlo vaše hlášení k DPH? Beřnák po vás jde

Nepřišlo vaše hlášení k DPH? Beřnák po vás jde

Vitalia.cz: Nový festival Street Food Rocks: jídlo i hudba!

Nový festival Street Food Rocks: jídlo i hudba!

Lupa.cz: Roaming se mění. Co byste o něm měli vědět?

Roaming se mění. Co byste o něm měli vědět?

Měšec.cz: Má vám zdražit elektřina? Stěžujte si

Má vám zdražit elektřina? Stěžujte si

Podnikatel.cz: Cizinci v českém eshopu nechají miliardy

Cizinci v českém eshopu nechají miliardy

Lupa.cz: Opera představila VPN, která vlastně není VPN

Opera představila VPN, která vlastně není VPN

120na80.cz: Chtějí být jako Ken a Barbie. Končí jako trosky

Chtějí být jako Ken a Barbie. Končí jako trosky

Vitalia.cz: Proč jsou po vyřazení lepku zdravější?

Proč jsou po vyřazení lepku zdravější?

Podnikatel.cz: Obavy z EET? Nejvíc se bojí, aby na to měli

Obavy z EET? Nejvíc se bojí, aby na to měli

DigiZone.cz: Böhmen und Mähren v režii Ondřeje Trojana

Böhmen und Mähren v režii Ondřeje Trojana

Lupa.cz: Jaký je Průvodce světem Arduina?

Jaký je Průvodce světem Arduina?

Lupa.cz: V Brně vyvinuli rychlý internet do letadel

V Brně vyvinuli rychlý internet do letadel

DigiZone.cz: ČT: nový dokumentární cyklus i s drony

ČT: nový dokumentární cyklus i s drony

120na80.cz: Akce na podporu lidí s hemofilií

Akce na podporu lidí s hemofilií

Ušetřete