OWASP: za webové aplikace bezpečnější

Petr Závodský 16. 6. 2010

Celosvětová pavučina a její uzlíky v podobě webových aplikací se během docela krátké doby staly naprosto běžnou součástí našeho života. Přibližně čtvrtina všech lidí na světě má přístup k internetu. Z toho v Evropě více jak polovina obyvatel a v Severní Americe dokonce přibližně 80 % obyvatel.

Hovoříme tak o miliardách jednotlivců hopsajících na trampolíně celosvětové sítě, o lidech, do jejichž života vstupují webové aplikace.

Chcete-li být součástí webového světa, potom se vystavujete rizikům, stejně jako se rizikům vystavujete při cestě do zaměstnání. Jenže člověk byl přírodou vybaven k tomu, aby vnímal nebezpečí plynoucí ze světa, do něhož byl stvořen. V umělém světě, jakým web je, jako uživatelé s nebezpečím často ani nepočítáme – vstupujeme do něj oslepeni nezkušeností, bez bázně, strachu a beze všeho, co se strachem souvisí … dokud …

Open Web Application Security Project

Poměrně „brzy“ si weboví specialisté začali uvědomovat, že se všemi klady, které webové aplikace poskytují, neoddělitelně přichází i nebezpečí. S tímto vědomím 9. září 2001 Mark Curphey a Dennis Groves zahájili volně šiřitelný Open Web Application Security Projekt (OWASP) – projekt, do jehož spektra zájmu spadá bezpečnost webových aplikací. O tři roky později v USA vznikla organizace OWASP Foundation, jejímž úkolem je OWASP zastřešovat. OWASP Foundation se snaží udržet si nezávislost od komerčních společností, ačkoliv výsledky činností OWASP komerční sféře slouží také.

OWASP můžeme chápat jako komunitu a projekt se společným jmenovatelem: „bezpečnost webových aplikací“.

OWASP projekty

Pod záštitou OWASP Foundation začaly dozrávat různé projekty pomáhající vývojářům vyvíjet relativně bezpečné webové aplikace. Tyto projekty v současnosti pokrývají know how prakticky v celém procesu vývoje „bezpečné“ webové aplikace, od uzavření obchodní smlouvy, návrh, analýzu, přes samotné vytvoření aplikace až po závěrečné fáze vývoje, např. testování.

OWASP projekty lze rozdělit do dvou oblastí:

  • Dokumentační projekty

  • Vývojářské projekty

Příklady dokumentačních projektů:

  • OWASP Appliacation Security Verification Standard (ASVS)

  • The Guide – poměrně podrobné pokyny pro zabezpečení webových aplikací

  • OWASP Top Ten (Top Ten Most Critical Web Application Vulnerabilities – zaměřením na nejkritičtější problémy webových aplikací

  • Metrics – definuje metriky zabezpečení webových aplikací

  • Legal – pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách

  • Testing Guide – průvodce testováním zabezpečení webových aplikací

  • ISO 17799 – podklady pro organizaci realizující ISO 17799

  • AppSec FAQ – často kladené otázky

  • atd.

Příklady vývojářských projektů:

  • WebScarab – nástroj pro testování zranitelností webových aplikací

  • WebGoat – děravá aplikace, na které si můžete v bezpečném právním prostředí zkoušet bezpečnostní nedostatky

  • Validation Filters – filtry

  • DotNet – různé nástroje pro zabezpečení .NET aplikací

  • atd.

Mailing lists

Pokud chcete být informováni o konkrétních tématech (projektech, lokálních „pobočkách“ aj.), můžete využít tzv. mailing lists, což jsou vlastně e-mailové konference k tématům, která souvisí s OWASP, konkrétním bezpečnostním problémem anebo lokální pobočkou. V seznamu e-mailových konferencí naleznete např. témata k zabezpečení aplikaci založených na konkrétní technologii (Java, .NET, AJAX aj.), konference o standardech a mnoho jiného.

V „mailing lists“ naleznete také dvě české e-mailové konference: OWASP-Czech_Republic a OWASP-prague. Tu první jsem založil před několika měsíci, aby se otevřela diskuse nad OWASP v Česku. Tu druhou dříve založil kolega ze Slovenska Norbert Szetei a jak název napovídá, konference „OWASP-prague“ se zřejmě zaměřila na OWASP v Praze – bohužel tato konference je od svého vzniku prakticky mrtvá. Nicméně – můžete se svými tématy do konference zapojit a podpořit tak její oživení, mám za to, že v jejím pozadí stojí pro téma zapálení kolegové.

Máloco brání tomu, abyste si založili své téma. Stačí založit mailing list přes https://lists­.owasp.org/ma­ilman/create.

Local Chapter

Též si můžete založit místní pobočku OWASP, tzv. Local Chapter. K tomu je zapotřebí splnit několik základních podmínek:

  • Musíte souhlasit s Chapter Leader Handbook

  • Zavážete se k uspořádání alespoň jednoho setkání (konference, semináře atp.) za čtvrt roku

  • Máte stabilní místo pro setkávání

  • Naleznete dobré mluvčí

  • Zveřejníte informace o pobočce a budete nabírat nové členy

  • Pobočku udržíte v nekomerční podobě

Podmínky pro vznik lokální pobočky jsou poměrně náročné, ačkoliv vedení OWASP uděluje výjimky a je v mnoha ohledech, zvláště při aktu vzniku pobočky, poměrně benevolentní.

Mezi stovkami lokálních poboček je i jedna s názvem „Prague“. Avšak, podobně jako e-mailová konference OWASP-prague, je i tato pobočka prakticky mrtvá.

V souvislosti s e-mailovou konferencí OWASP-Czech_republic vzniká idea oživení OWASP v Česku. Proto vznikl web owasp-czech-republic.cz, jenž je svázán s e-mailovou konferencí OWASP-Czech_republic a zřejmě povede ke vzniku lokální pobočky v Brně, v  níž se již nyní angažuje několik odborníků (např. Ing. Ladislav Bačík za oblast vývoj, Bc. Michal Rymeš za oblast analýza atd.).

Závěrem

Praxe ukazuje, že celosvětová pavučina se svými webovými aplikacemi je důvodem k obavám nejen o majetek, ale v krajních případech i o zdraví či dokonce život (jak si ostatně ukážeme v některém z budoucích článků). OWASP nabízí skvěle propracované metodiky zcela zdarma. Smutný je fakt, že mnoho vývojářských týmů i provozovatelů bezpečnost staví v lepším případě na okraj svých zájmů, v horším případě se bezpečností nezabývá vůbec.

V dalších dílech tohoto rozsáhlého seriálu si dovolím vás provést některými projekty OWASP, včetně oblastí nejkritičtějších bezpečnostních nedostatků webových aplikací.

Našli jste v článku chybu?
DigiZone.cz: Skylink přidává kanály už teď

Skylink přidává kanály už teď

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Podnikatel.cz: "Okurku" vyřeší slevové servery. Už jim věřte

"Okurku" vyřeší slevové servery. Už jim věřte

Lupa.cz: eIDAS je tu. O co přijdeme u elektronických podpisů?

eIDAS je tu. O co přijdeme u elektronických podpisů?

DigiZone.cz: TV Nova a její postoj k DVB-T2

TV Nova a její postoj k DVB-T2

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: Jeho dřevěné hodinky chtějí na všech kontinentech

Jeho dřevěné hodinky chtějí na všech kontinentech

DigiZone.cz: Markíza: tady je předběžné opatření

Markíza: tady je předběžné opatření

Root.cz: Nejvýkonnější počítač mají v Číně, podívejte se

Nejvýkonnější počítač mají v Číně, podívejte se

DigiZone.cz: Skylink: Nova Sport volně

Skylink: Nova Sport volně

Podnikatel.cz: Eseróčko vs. živnost. Co vyhrává?

Eseróčko vs. živnost. Co vyhrává?

DigiZone.cz: Roční bonus pro Dvořáka schválen

Roční bonus pro Dvořáka schválen

Root.cz: Špína v počítačích: mrtvé myši, prach a pavouci

Špína v počítačích: mrtvé myši, prach a pavouci