[Owasp-germany] Diverse Vorschläge für Meeting und überhaupt

Thomas Schreiber (SecureNet GmbH) ts at securenet.de
Wed Aug 15 10:12:33 EDT 2007


Hallo zusammen,

ich möchte folgende bei uns - SecureNet - laufende Initiativen in die OWASP
Germany einbringen, bzw. sie zur Diskussion stellen und Vorschläge für
Beiträge zum initialen Meeting im September machen.

Vorab aber mal zur Identitätsfindung: Welches Ziel verfolgt ein German
Chapter? Ich sehe da im Wesentlichen zwei mögliche Zielsetzungen. Erstens,
bestehende Vernetzungen und die aus der räumlichen Nähe sich ergebende
Möglichkeit zum Kontakteknüpfen zu nutzen, um Aktivitäten in Gang zu setzen
- wobei diese aber nicht unbedingt in speziellen deutschen Fragestellungen
münden müssen. Zweitens, auf Deutschland oder den deutschsprachigen Raum
bezogene Aspekte aus dem OWASP-Kontext heraus zu adressieren, wie z.B.
Einbeziehung des rechtlichen Rahmens oder anderer lokaler Gegebenheiten,
Übersetzungen ins Deutsche, lokale PR für die OWASP-Sache, schwerpunktmäßige
Beschäftigung mit D-A-CH Produkten, Berücksichtigung von Anforderungen und
Gegebenheiten des lokalen Marktes etc.

Ich plädiere für eine schwerpunktmäßige Ausrichtung der zweiten Art, da mir
diese sinn- und identitätsstiftender für ein German Chapter scheint. Was
natürlich nicht bedeuten muss, dass man erstens komplett außer acht lässt.

Inhalte für OWASP Germany
=========================
1. Scavenger
... ist ein Tool, das wir bisher nur intern für WAS Pentests eingesetzt
haben. Es kann sich in verschiedene MITM-Proxys (z.B. WebScarab, Burp)
einklinken und deren Ausgaben und Traces analysieren und verdichten. Kann
leicht um weitere Auswertungen erweitert und an andere HTML/HTTP-Output
generierende Tools angepasst werden. Die Vervollständigung der
Auswertemodule und Schnittstellen wäre eine Baustelle und der nächste große
Schritt das Aufsetzen einer Dialogoberfläche.

2. WAS Checkliste / Zertifikat
Wir haben die Erfahrung gemacht, dass in Unternehmen ein Bedarf besteht an
Abnahmekriterien für die Sicherheit von Webanwendungen. Vorschlag: Aus den
bestehenden Dokumenten wie OWASP-Guide/Testingguide und BSI-Best
Practices-Guide eine Checkliste ableiten, die - zunächst für die
unternehmensinterne Verwendung - Verbindlichkeiten schafft und
möglicherweise zu einer allgemeinen Zertifizierungsgrundlage heranwächst. 
(NB: kollidiert nicht mit Mateo Meuccis Certification Project, bei dem es um
die Zertifizierung von Auditoren und Entwicklern geht)

3. WAS Design Patterns
Die Idee der Design Patterns [1] wurde unseres Wissens nach bisher nur in
Ansätzen auf die Web Application Security angewandt. Wir denken, dass dieser
Ansatz Potential besitzt, um Best Practices für WAS für die Designphase
festzuschreiben. Auf intern. OWASP-Ebene laufen augenscheinlich
diesbezüglich noch keine Initiativen.

4. BSI-Guide
Letzten August ist der von uns verfasste Guide des BSI "Maßnahmenkatalog und
Best Practices zur Sicherheit von Webanwendungen" -
http://www.bsi.de/literat/studien/websec/WebSec.pdf - erschienen. Die
Inhalte in diesem Dokument unterliegen dem raschen technischen Wandel sowie
fortschreitenden Erkenntisprozess - will heißen: Sie veralten recht schnell.
Wir haben daher dem BSI vorgeschlagen, es zu einem 'lebenden' Dokument zu
machen, also als Forum oder Wiki aufzusetzen und die Community in die Pflege
einzubeziehen. Die OWASP Germany wäre hier ein sehr passender Rahmen.
Allerdings stellt sich die Frage, welche Berechtigung hat soetwas angesichts
der Tatsache, dass es ja schon den 'großen' OWASP-Guide gibt. Ich sehe da
durchaus Möglichkeiten in Form einer nationalen Ausrichtung. Das würde ich
jedoch gerne hier zur Diskussion stellen. Allerdings muss das BSI dem Ganzen
überhaupt erst noch zustimmen.


Vortragsvorschläge
==================
1. WAS Checkliste / Zertifikat
Skizzierung eines Vorgehens zur Erstellung einer WAS Checkliste (wie oben
beschrieben)

2. WAS Design Patterns
Was sind Software Design Patterns und wie lassen sie sich auf die WAS
übertragen. Was ist zu tun?

3. Session-Hijacking/XSS
Eine vor Jahren entdeckte Schwachstelle in einer großen
Versteigerungsplattform ist nach wie vor vorhanden. Nur hat diese heute weit
mehr Schadenspotential als damals. ==> Demonstration der Schwachstelle und
verschiedener fortgeschrittener Angriffstechniken mit XSS. (das setzt
allerdings voraus, dass der Betreiber das bis dahin repariert hat,
ansonsten: an einer Demo-Anwendung zeigen)

4. WAFs und spezielle Sicherheitstechniken
Eine Web Application Firewall (WAF) wird vielfach verstanden als schlichter
RegEx-Filter, der schädliche Angriffsmuster erkennen und blocken kann. Oder
aber von manchen in ihrem Nutzen vollständig in Frage gestellt mit dem
Argument, dass die Fehler in der Webanwendung zu beseitigen sind (was ja
auch richtig ist). WAFs bringen darüber hinaus aber Techniken in eine
Sicherheitsarchitektur ein, die erheblichen Zusatznutzen bringen und auf die
man ohne WAF verzichten müsste. Beispiel: URL-Encryption, SSL-SessionIDs,
Smart Form Protection, Anomalie-Erkennung. Es ist interessant, sich diese
Konzepte einmal näher anzusehen. (Hier könnte vielleicht ein Hersteller
einen Beitrag leisten - vorzugsweise aus deutschsprachigen Landen, siehe
oben.)

5. "Privacy in the 21st Century"
Bei näherem Hinsehen scheint es mir doch eher fragwürdig, die Veranstaltung
als Beitrag zur Global Security Week zu deklarieren. "Privacy in the 21st
Century" ist sicher nicht das, was uns beim Neufindungs-Meeting am stärksten
bewegt. Und an die 9/11-Aktivitäten muss man sich auch nicht unbedingt
dranhängen, finde ich...

Ansonsten
=========
Wir haben eine umfangreiche Mailingliste von WAS-Interessierten. Ich könnte
anbieten, darin auf OWASP Germany hinzuweisen und zum Meeting einzuladen.
(Presse würde ich vorab erstmal rauslassen, aber nach dem Meeting, wenn
erfolgreich, mit einer entsprechenden Pressemitteilung beglücken)

Wer sind wir eigentlich?: Wir sind ein Softwarehaus und haben schon vor etwa
5 Jahren begonnen, uns intensiv mit WAS auseinanderzusetzen - nachdem wir
festgestellt haben, dass dieselben Schwachstellen, die wir in unsere
Webanwendungen damals eingebaut haben, in fast jeder Webanwendung zu finden
sind...


Soweit erstmal ... sorry für die Länge - hatte keine Zeit, mich kürzer zu
fassen ;)

Beste Grüße
Thomas Schreiber
_____________________________________

SecureNet GmbH
Frankfurter Ring 193a
D-80807 München
Tel: +49 89 32133-610
Fax: +49 89 32133-699
Zentrale: -600
ts at securenet.de
www.securenet.de 


[1] Design Pattern
Wikipedia.de: >>Ein Entwurfsmuster (engl. design pattern) beschreibt eine
bewährte Schablone für ein Entwurfsproblem. Es stellt damit eine
wiederverwendbare Vorlage zur Problemlösung dar. Entstanden ist der Ausdruck
in der Architektur, von der er für die Softwareentwicklung übernommen
wurde.<<




More information about the Owasp-germany mailing list