Hlavní navigace

OWASP: za webové aplikace bezpečnější

Petr Závodský

Celosvětová pavučina a její uzlíky v podobě webových aplikací se během docela krátké doby staly naprosto běžnou součástí našeho života. Přibližně čtvrtina všech lidí na světě má přístup k internetu. Z toho v Evropě více jak polovina obyvatel a v Severní Americe dokonce přibližně 80 % obyvatel.

Hovoříme tak o miliardách jednotlivců hopsajících na trampolíně celosvětové sítě, o lidech, do jejichž života vstupují webové aplikace.

Chcete-li být součástí webového světa, potom se vystavujete rizikům, stejně jako se rizikům vystavujete při cestě do zaměstnání. Jenže člověk byl přírodou vybaven k tomu, aby vnímal nebezpečí plynoucí ze světa, do něhož byl stvořen. V umělém světě, jakým web je, jako uživatelé s nebezpečím často ani nepočítáme – vstupujeme do něj oslepeni nezkušeností, bez bázně, strachu a beze všeho, co se strachem souvisí … dokud …

Open Web Application Security Project

Poměrně „brzy“ si weboví specialisté začali uvědomovat, že se všemi klady, které webové aplikace poskytují, neoddělitelně přichází i nebezpečí. S tímto vědomím 9. září 2001 Mark Curphey a Dennis Groves zahájili volně šiřitelný Open Web Application Security Projekt (OWASP) – projekt, do jehož spektra zájmu spadá bezpečnost webových aplikací. O tři roky později v USA vznikla organizace OWASP Foundation, jejímž úkolem je OWASP zastřešovat. OWASP Foundation se snaží udržet si nezávislost od komerčních společností, ačkoliv výsledky činností OWASP komerční sféře slouží také.

OWASP můžeme chápat jako komunitu a projekt se společným jmenovatelem: „bezpečnost webových aplikací“.

OWASP projekty

Pod záštitou OWASP Foundation začaly dozrávat různé projekty pomáhající vývojářům vyvíjet relativně bezpečné webové aplikace. Tyto projekty v současnosti pokrývají know how prakticky v celém procesu vývoje „bezpečné“ webové aplikace, od uzavření obchodní smlouvy, návrh, analýzu, přes samotné vytvoření aplikace až po závěrečné fáze vývoje, např. testování.

OWASP projekty lze rozdělit do dvou oblastí:

  • Dokumentační projekty

  • Vývojářské projekty

Příklady dokumentačních projektů:

  • OWASP Appliacation Security Verification Standard (ASVS)

  • The Guide – poměrně podrobné pokyny pro zabezpečení webových aplikací

  • OWASP Top Ten (Top Ten Most Critical Web Application Vulnerabilities – zaměřením na nejkritičtější problémy webových aplikací

  • Metrics – definuje metriky zabezpečení webových aplikací

  • Legal – pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách

  • Testing Guide – průvodce testováním zabezpečení webových aplikací

  • ISO 17799 – podklady pro organizaci realizující ISO 17799

  • AppSec FAQ – často kladené otázky

  • atd.

Příklady vývojářských projektů:

  • WebScarab – nástroj pro testování zranitelností webových aplikací

  • WebGoat – děravá aplikace, na které si můžete v bezpečném právním prostředí zkoušet bezpečnostní nedostatky

  • Validation Filters – filtry

  • DotNet – různé nástroje pro zabezpečení .NET aplikací

  • atd.

Mailing lists

Pokud chcete být informováni o konkrétních tématech (projektech, lokálních „pobočkách“ aj.), můžete využít tzv. mailing lists, což jsou vlastně e-mailové konference k tématům, která souvisí s OWASP, konkrétním bezpečnostním problémem anebo lokální pobočkou. V seznamu e-mailových konferencí naleznete např. témata k zabezpečení aplikaci založených na konkrétní technologii (Java, .NET, AJAX aj.), konference o standardech a mnoho jiného.

V „mailing lists“ naleznete také dvě české e-mailové konference: OWASP-Czech_Republic a OWASP-prague. Tu první jsem založil před několika měsíci, aby se otevřela diskuse nad OWASP v Česku. Tu druhou dříve založil kolega ze Slovenska Norbert Szetei a jak název napovídá, konference „OWASP-prague“ se zřejmě zaměřila na OWASP v Praze – bohužel tato konference je od svého vzniku prakticky mrtvá. Nicméně – můžete se svými tématy do konference zapojit a podpořit tak její oživení, mám za to, že v jejím pozadí stojí pro téma zapálení kolegové.

Máloco brání tomu, abyste si založili své téma. Stačí založit mailing list přes https://lists­.owasp.org/ma­ilman/create.

Local Chapter

Též si můžete založit místní pobočku OWASP, tzv. Local Chapter. K tomu je zapotřebí splnit několik základních podmínek:

  • Musíte souhlasit s Chapter Leader Handbook

  • Zavážete se k uspořádání alespoň jednoho setkání (konference, semináře atp.) za čtvrt roku

  • Máte stabilní místo pro setkávání

  • Naleznete dobré mluvčí

  • Zveřejníte informace o pobočce a budete nabírat nové členy

  • Pobočku udržíte v nekomerční podobě

Podmínky pro vznik lokální pobočky jsou poměrně náročné, ačkoliv vedení OWASP uděluje výjimky a je v mnoha ohledech, zvláště při aktu vzniku pobočky, poměrně benevolentní.

Mezi stovkami lokálních poboček je i jedna s názvem „Prague“. Avšak, podobně jako e-mailová konference OWASP-prague, je i tato pobočka prakticky mrtvá.

V souvislosti s e-mailovou konferencí OWASP-Czech_republic vzniká idea oživení OWASP v Česku. Proto vznikl web owasp-czech-republic.cz, jenž je svázán s e-mailovou konferencí OWASP-Czech_republic a zřejmě povede ke vzniku lokální pobočky v Brně, v  níž se již nyní angažuje několik odborníků (např. Ing. Ladislav Bačík za oblast vývoj, Bc. Michal Rymeš za oblast analýza atd.).

Závěrem

Praxe ukazuje, že celosvětová pavučina se svými webovými aplikacemi je důvodem k obavám nejen o majetek, ale v krajních případech i o zdraví či dokonce život (jak si ostatně ukážeme v některém z budoucích článků). OWASP nabízí skvěle propracované metodiky zcela zdarma. Smutný je fakt, že mnoho vývojářských týmů i provozovatelů bezpečnost staví v lepším případě na okraj svých zájmů, v horším případě se bezpečností nezabývá vůbec.

V dalších dílech tohoto rozsáhlého seriálu si dovolím vás provést některými projekty OWASP, včetně oblastí nejkritičtějších bezpečnostních nedostatků webových aplikací.

Našli jste v článku chybu?

18. 6. 2010 17:10

Petr Závodský (neregistrovaný)

Upřesním – owasp-czech-republic.cz není kapitulou. Konference OWASP-Czech_republic take ne.
Osobně si nemyslím, že zpřístupnění archivu konference je věcí natolik zásadní pro míru otevřenosti konference. Alespoň ne nyní v našem případě. Správce konference má dokonce možnost archiv nezakládat vůbec.
Navíc správce se snaží respektovat účastníky konfernce. Když z konference vyplyne názor, že je zapotřebí archiv zpřístupnit, pravděpodobně k tomu dojde.

V tom, že si někdo založi další, byť te…

17. 6. 2010 22:33

cfc (neregistrovaný)

Je to zkrátka volba těch, kdo si konferenci založí. Když se to někomu nelíbí, musí se s tím smířit anebo si založit konferenci svoji.
Mám obdobnou otázku: Jaký je rozumný důvod, proč se člověk nemusí registrovat, aby si mohl prohlédnout archiv konference?

U běžné konference je to opravdu tak. Ale je tohle běžná konference? Neměla by být oficiální OWASP kapitula více otevřená? Podle mého tím, že tu konferenci uzavřeš, jen podpoříš další, kteří si udělají další podobnou konferenci.
Přemýšlím…

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

DigiZone.cz: Flix TV: dva set-top boxy za korunu

Flix TV: dva set-top boxy za korunu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky