Hlavní navigace

OWASP: za webové aplikace bezpečnější

16. 6. 2010
Doba čtení: 4 minuty

Sdílet

Celosvětová pavučina a její uzlíky v podobě webových aplikací se během docela krátké doby staly naprosto běžnou součástí našeho života. Přibližně čtvrtina všech lidí na světě má přístup k internetu. Z toho v Evropě více jak polovina obyvatel a v Severní Americe dokonce přibližně 80 % obyvatel.

Hovoříme tak o miliardách jednotlivců hopsajících na trampolíně celosvětové sítě, o lidech, do jejichž života vstupují webové aplikace.

Chcete-li být součástí webového světa, potom se vystavujete rizikům, stejně jako se rizikům vystavujete při cestě do zaměstnání. Jenže člověk byl přírodou vybaven k tomu, aby vnímal nebezpečí plynoucí ze světa, do něhož byl stvořen. V umělém světě, jakým web je, jako uživatelé s nebezpečím často ani nepočítáme – vstupujeme do něj oslepeni nezkušeností, bez bázně, strachu a beze všeho, co se strachem souvisí … dokud …

Open Web Application Security Project

Poměrně „brzy“ si weboví specialisté začali uvědomovat, že se všemi klady, které webové aplikace poskytují, neoddělitelně přichází i nebezpečí. S tímto vědomím 9. září 2001 Mark Curphey a Dennis Groves zahájili volně šiřitelný Open Web Application Security Projekt (OWASP) – projekt, do jehož spektra zájmu spadá bezpečnost webových aplikací. O tři roky později v USA vznikla organizace OWASP Foundation, jejímž úkolem je OWASP zastřešovat. OWASP Foundation se snaží udržet si nezávislost od komerčních společností, ačkoliv výsledky činností OWASP komerční sféře slouží také.

OWASP můžeme chápat jako komunitu a projekt se společným jmenovatelem: „bezpečnost webových aplikací“.

OWASP projekty

Pod záštitou OWASP Foundation začaly dozrávat různé projekty pomáhající vývojářům vyvíjet relativně bezpečné webové aplikace. Tyto projekty v současnosti pokrývají know how prakticky v celém procesu vývoje „bezpečné“ webové aplikace, od uzavření obchodní smlouvy, návrh, analýzu, přes samotné vytvoření aplikace až po závěrečné fáze vývoje, např. testování.

OWASP projekty lze rozdělit do dvou oblastí:

  • Dokumentační projekty

  • Vývojářské projekty

Příklady dokumentačních projektů:

  • OWASP Appliacation Security Verification Standard (ASVS)

  • The Guide – poměrně podrobné pokyny pro zabezpečení webových aplikací

  • OWASP Top Ten (Top Ten Most Critical Web Application Vulnerabilities – zaměřením na nejkritičtější problémy webových aplikací

  • Metrics – definuje metriky zabezpečení webových aplikací

  • Legal – pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách

  • Testing Guide – průvodce testováním zabezpečení webových aplikací

  • ISO 17799 – podklady pro organizaci realizující ISO 17799

  • AppSec FAQ – často kladené otázky

  • atd.

Příklady vývojářských projektů:

  • WebScarab – nástroj pro testování zranitelností webových aplikací

  • WebGoat – děravá aplikace, na které si můžete v bezpečném právním prostředí zkoušet bezpečnostní nedostatky

  • Validation Filters – filtry

  • DotNet – různé nástroje pro zabezpečení .NET aplikací

  • atd.

Mailing lists

Pokud chcete být informováni o konkrétních tématech (projektech, lokálních „pobočkách“ aj.), můžete využít tzv. mailing lists, což jsou vlastně e-mailové konference k tématům, která souvisí s OWASP, konkrétním bezpečnostním problémem anebo lokální pobočkou. V seznamu e-mailových konferencí naleznete např. témata k zabezpečení aplikaci založených na konkrétní technologii (Java, .NET, AJAX aj.), konference o standardech a mnoho jiného.

V „mailing lists“ naleznete také dvě české e-mailové konference: OWASP-Czech_Republic a OWASP-prague. Tu první jsem založil před několika měsíci, aby se otevřela diskuse nad OWASP v Česku. Tu druhou dříve založil kolega ze Slovenska Norbert Szetei a jak název napovídá, konference „OWASP-prague“ se zřejmě zaměřila na OWASP v Praze – bohužel tato konference je od svého vzniku prakticky mrtvá. Nicméně – můžete se svými tématy do konference zapojit a podpořit tak její oživení, mám za to, že v jejím pozadí stojí pro téma zapálení kolegové.

Máloco brání tomu, abyste si založili své téma. Stačí založit mailing list přes https://lists­.owasp.org/ma­ilman/create.

Local Chapter

Též si můžete založit místní pobočku OWASP, tzv. Local Chapter. K tomu je zapotřebí splnit několik základních podmínek:

  • Musíte souhlasit s Chapter Leader Handbook

  • Zavážete se k uspořádání alespoň jednoho setkání (konference, semináře atp.) za čtvrt roku

  • Máte stabilní místo pro setkávání

  • Naleznete dobré mluvčí

  • Zveřejníte informace o pobočce a budete nabírat nové členy

  • Pobočku udržíte v nekomerční podobě

Podmínky pro vznik lokální pobočky jsou poměrně náročné, ačkoliv vedení OWASP uděluje výjimky a je v mnoha ohledech, zvláště při aktu vzniku pobočky, poměrně benevolentní.

Mezi stovkami lokálních poboček je i jedna s názvem „Prague“. Avšak, podobně jako e-mailová konference OWASP-prague, je i tato pobočka prakticky mrtvá.

V souvislosti s e-mailovou konferencí OWASP-Czech_republic vzniká idea oživení OWASP v Česku. Proto vznikl web owasp-czech-republic.cz, jenž je svázán s e-mailovou konferencí OWASP-Czech_republic a zřejmě povede ke vzniku lokální pobočky v Brně, v  níž se již nyní angažuje několik odborníků (např. Ing. Ladislav Bačík za oblast vývoj, Bc. Michal Rymeš za oblast analýza atd.).

root_podpora

Závěrem

Praxe ukazuje, že celosvětová pavučina se svými webovými aplikacemi je důvodem k obavám nejen o majetek, ale v krajních případech i o zdraví či dokonce život (jak si ostatně ukážeme v některém z budoucích článků). OWASP nabízí skvěle propracované metodiky zcela zdarma. Smutný je fakt, že mnoho vývojářských týmů i provozovatelů bezpečnost staví v lepším případě na okraj svých zájmů, v horším případě se bezpečností nezabývá vůbec.

V dalších dílech tohoto rozsáhlého seriálu si dovolím vás provést některými projekty OWASP, včetně oblastí nejkritičtějších bezpečnostních nedostatků webových aplikací.

Byl pro vás článek přínosný?

Autor článku

Petr Dušek se věnuje kvalitě a testování SW, inicioval také vznik projektů CAPTCHA Help a Skener webu či překlad OWASP Top 10.