OWASP: za webové aplikace bezpečnější

Petr Závodský 16. 6. 2010

Celosvětová pavučina a její uzlíky v podobě webových aplikací se během docela krátké doby staly naprosto běžnou součástí našeho života. Přibližně čtvrtina všech lidí na světě má přístup k internetu. Z toho v Evropě více jak polovina obyvatel a v Severní Americe dokonce přibližně 80 % obyvatel.

Hovoříme tak o miliardách jednotlivců hopsajících na trampolíně celosvětové sítě, o lidech, do jejichž života vstupují webové aplikace.

Chcete-li být součástí webového světa, potom se vystavujete rizikům, stejně jako se rizikům vystavujete při cestě do zaměstnání. Jenže člověk byl přírodou vybaven k tomu, aby vnímal nebezpečí plynoucí ze světa, do něhož byl stvořen. V umělém světě, jakým web je, jako uživatelé s nebezpečím často ani nepočítáme – vstupujeme do něj oslepeni nezkušeností, bez bázně, strachu a beze všeho, co se strachem souvisí … dokud …

Open Web Application Security Project

Poměrně „brzy“ si weboví specialisté začali uvědomovat, že se všemi klady, které webové aplikace poskytují, neoddělitelně přichází i nebezpečí. S tímto vědomím 9. září 2001 Mark Curphey a Dennis Groves zahájili volně šiřitelný Open Web Application Security Projekt (OWASP) – projekt, do jehož spektra zájmu spadá bezpečnost webových aplikací. O tři roky později v USA vznikla organizace OWASP Foundation, jejímž úkolem je OWASP zastřešovat. OWASP Foundation se snaží udržet si nezávislost od komerčních společností, ačkoliv výsledky činností OWASP komerční sféře slouží také.

OWASP můžeme chápat jako komunitu a projekt se společným jmenovatelem: „bezpečnost webových aplikací“.

OWASP projekty

Pod záštitou OWASP Foundation začaly dozrávat různé projekty pomáhající vývojářům vyvíjet relativně bezpečné webové aplikace. Tyto projekty v současnosti pokrývají know how prakticky v celém procesu vývoje „bezpečné“ webové aplikace, od uzavření obchodní smlouvy, návrh, analýzu, přes samotné vytvoření aplikace až po závěrečné fáze vývoje, např. testování.

OWASP projekty lze rozdělit do dvou oblastí:

  • Dokumentační projekty

  • Vývojářské projekty

Příklady dokumentačních projektů:

  • OWASP Appliacation Security Verification Standard (ASVS)

  • The Guide – poměrně podrobné pokyny pro zabezpečení webových aplikací

  • OWASP Top Ten (Top Ten Most Critical Web Application Vulnerabilities – zaměřením na nejkritičtější problémy webových aplikací

  • Metrics – definuje metriky zabezpečení webových aplikací

  • Legal – pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách

  • Testing Guide – průvodce testováním zabezpečení webových aplikací

  • ISO 17799 – podklady pro organizaci realizující ISO 17799

  • AppSec FAQ – často kladené otázky

  • atd.

Příklady vývojářských projektů:

  • WebScarab – nástroj pro testování zranitelností webových aplikací

  • WebGoat – děravá aplikace, na které si můžete v bezpečném právním prostředí zkoušet bezpečnostní nedostatky

  • Validation Filters – filtry

  • DotNet – různé nástroje pro zabezpečení .NET aplikací

  • atd.

Mailing lists

Pokud chcete být informováni o konkrétních tématech (projektech, lokálních „pobočkách“ aj.), můžete využít tzv. mailing lists, což jsou vlastně e-mailové konference k tématům, která souvisí s OWASP, konkrétním bezpečnostním problémem anebo lokální pobočkou. V seznamu e-mailových konferencí naleznete např. témata k zabezpečení aplikaci založených na konkrétní technologii (Java, .NET, AJAX aj.), konference o standardech a mnoho jiného.

V „mailing lists“ naleznete také dvě české e-mailové konference: OWASP-Czech_Republic a OWASP-prague. Tu první jsem založil před několika měsíci, aby se otevřela diskuse nad OWASP v Česku. Tu druhou dříve založil kolega ze Slovenska Norbert Szetei a jak název napovídá, konference „OWASP-prague“ se zřejmě zaměřila na OWASP v Praze – bohužel tato konference je od svého vzniku prakticky mrtvá. Nicméně – můžete se svými tématy do konference zapojit a podpořit tak její oživení, mám za to, že v jejím pozadí stojí pro téma zapálení kolegové.

Máloco brání tomu, abyste si založili své téma. Stačí založit mailing list přes https://lists­.owasp.org/ma­ilman/create.

Local Chapter

Též si můžete založit místní pobočku OWASP, tzv. Local Chapter. K tomu je zapotřebí splnit několik základních podmínek:

  • Musíte souhlasit s Chapter Leader Handbook

  • Zavážete se k uspořádání alespoň jednoho setkání (konference, semináře atp.) za čtvrt roku

  • Máte stabilní místo pro setkávání

  • Naleznete dobré mluvčí

  • Zveřejníte informace o pobočce a budete nabírat nové členy

  • Pobočku udržíte v nekomerční podobě

Podmínky pro vznik lokální pobočky jsou poměrně náročné, ačkoliv vedení OWASP uděluje výjimky a je v mnoha ohledech, zvláště při aktu vzniku pobočky, poměrně benevolentní.

Mezi stovkami lokálních poboček je i jedna s názvem „Prague“. Avšak, podobně jako e-mailová konference OWASP-prague, je i tato pobočka prakticky mrtvá.

V souvislosti s e-mailovou konferencí OWASP-Czech_republic vzniká idea oživení OWASP v Česku. Proto vznikl web owasp-czech-republic.cz, jenž je svázán s e-mailovou konferencí OWASP-Czech_republic a zřejmě povede ke vzniku lokální pobočky v Brně, v  níž se již nyní angažuje několik odborníků (např. Ing. Ladislav Bačík za oblast vývoj, Bc. Michal Rymeš za oblast analýza atd.).

Závěrem

Praxe ukazuje, že celosvětová pavučina se svými webovými aplikacemi je důvodem k obavám nejen o majetek, ale v krajních případech i o zdraví či dokonce život (jak si ostatně ukážeme v některém z budoucích článků). OWASP nabízí skvěle propracované metodiky zcela zdarma. Smutný je fakt, že mnoho vývojářských týmů i provozovatelů bezpečnost staví v lepším případě na okraj svých zájmů, v horším případě se bezpečností nezabývá vůbec.

V dalších dílech tohoto rozsáhlého seriálu si dovolím vás provést některými projekty OWASP, včetně oblastí nejkritičtějších bezpečnostních nedostatků webových aplikací.

Našli jste v článku chybu?
DigiZone.cz: Čechy baví komedie, Slováky animace

Čechy baví komedie, Slováky animace

120na80.cz: Lepší poporodní sexuální život? Žádný problém

Lepší poporodní sexuální život? Žádný problém

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Podnikatel.cz: Kdy s příjmy není třeba platit zdravotko?

Kdy s příjmy není třeba platit zdravotko?

DigiZone.cz: Skylink přepracoval web

Skylink přepracoval web

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

DigiZone.cz: Elektrická Formule E. Práva má Arena Sport

Elektrická Formule E. Práva má Arena Sport

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Vitalia.cz: Syfilis: To není „nemoc z lásky“

Syfilis: To není „nemoc z lásky“

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Lupa.cz: Kolín dá čipy na náměstí, do kontejnerů i dětem

Kolín dá čipy na náměstí, do kontejnerů i dětem

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Lupa.cz: Online porno ničí sexuální život mladých mužů

Online porno ničí sexuální život mladých mužů

Podnikatel.cz: Zajímavý paradox: Daří se vedle konkurence

Zajímavý paradox: Daří se vedle konkurence