1.

Dia ------------------------------------------
Az Open Web Application Security Project (OWASP) egy nylt, fggetlen, non
profit nemzetkzi szervezet, amit 2001-ben alaptottak azrt hogy a szoftverek
biztonsgra hvjk fel a figyelmet.

Magnak a vllalatnak csak 3 alkalmazottja van, hogy a mkdsi kltsgeket

alacsonyan tartsk, bevtelei vllalati vagy egyni tagsgdjakbl s konferencik
djaibl szrmazik, amelyekbl minden vben tmogatst nyjtanak az gretes
kutatsi projekteknek.
A szervezet lland napirenden tartja az alkalmazsok biztonsgnak krdst
annak rdekben, hogy a fejlesztsek sorn s a vllalati gyakorlatban a biztonsgi
kockzatokkal kapcsolatos dntsek jl tjkozott mdon szlessenek. F cl, hogy
termszetess vljon a biztonsgi szempontbl megbzhat alkalmazsok tervezse,
fejlesztse, beszerzse, felhasznlsa s zemeltetse.
A szervezet cljait gynevezett projektek rvn valstja meg, melyek tmi szles
spektrumon mozognak: audit mdszertanok, fejlesztst tmogat eszkzk,
kvetend praktikk, szabvny javaslatok. A legismertebb OWASP anyag a Top
10, az aktulis webes srlkenysg-tpusok listja. Hasonlan a nylt forrs
szoftver projektekhez, az OWASP klnfle anyagai kzs, nylt munka
eredmnyeknt jnnek ltre.
Az OWASP akkor teljest jl, ha normv vlik a szoftverben hagyott
srlkenysgek minimalizlsa, azaz a hackereknek jobban ellenll! szoftver
ksztse a cl.
Vilgszerte rengeteg tagja van a kezdemnyezsnek, a magyar tagozatt 2012-ben
alaptottk, de persze mg sokat kell tenni a nemzeti szint norma kialakulsa
rdekben. A tagozat feladata, hogy az alkalmazsbiztonsgban rintett szereplk,
azaz vllalatok s intzmnyek, fejleszt mhelyek, biztonsgi szakrtk, hatsgok
s felhasznlk kztt kialakuljon az a szemllet, hogy a biztonsg! a j szoftver
fogalmnak rsze.
2. Dia ------------------------------------------
Az emltett Top 10 es lista amely a web srlkenysgeket rangsorolja az albbi pontokbl
ll.

1. Injection

A befecskendezs lnyege, hogy adatokat vagy utastsokat juttatunk be az

alkalmazson keresztl a parancsrtelmeznek pldul.
Az elmlt vekben olyan szervezetek estek ldozatul ennek a tmadsi formnak
mint a Sony, LinkedIn, eHarmony s a Yahoo

2. Broken Authentication and Session Management

Az alkalmazsok a felhasznlk hitelestst s munkamenet kezelst gyakran nem

megfelelen hajtjk vgre, gy lehetv teszik a tmadknak, hogy megszerezzk esetleg
kitalljk a jelszavakat s munkamenet azonostkat, vagy egyb vgrehajtsi hibkat
kihasznlva megszemlyestsenek egy felhasznlt.

3. Cross-Site Scripting (XSS)

A tmads a felhasznlk bngszjben hajtdik vgre
Szinte biztosan tallhat minden web - alkalmazsban XSS
srlkenysg
Tipikusan a felhasznli munkamenet vagy rzkeny/szemlyes
adatok megszerzsre hasznlatos.

4. Insecure Direct Object References

Akkor fordul el, amikor egy hivatkozst helyeznk el egy llomnyra, oldalra, knyvtrra
vagy brmilyen objektumra, anlkl, hogy brmilyen hozzfrs vezrlst alkalmaznnk

5. Security Misconfiguration
Az igazi biztonsg megkveteli, hogy a teljes rendszer napraksz s jl konfigurlt
legyen az opercis rendszertl a web s adatbzis szerveren t a teljes
alkalmazsig
Mindezeket a belltsokat meg kell hatrozni, vgre kell hajtani majd
folyamatosan karbantartani s ellenrizni
Fontos azt is tudni, hogy a gyrtk a termkeket alapbl nem a biztonsgos
konfigurcival ltjk el , hiszen akkor a hasznlatba vtel igen nehzkes lenne.
Emiatt azt ksbbi belltsokkal kell megteremteni
6. Sensitive Data Exposure
A titkostsi kulcs nem megfelel kezelse (pl.: a szalagos meghajtra
kerlt adatokat titkostjuk, majd a kulcs ugyan arra a szalagra kerl)
A hibsan implementlt jelsz kivonatok , hiszen egy szs nlkli hash
akr nhny ra alatt visszafejthet lehet
A napl llomnyokba bekerlt ellenrizetlen adatok (pl.: a webszerver
napljba letroljuk a felhasznli jelszavakat)
Sokan nem gondolnak a hlzat titkostsra amikor rzkeny adatokat
kldenek t. Ha mgis akkor sokszor gyenge algoritmusokat , rvnytelen
tanstvnyokat hasznlnak.

7. Missing Function Level Access Control

Ez a fejezet viszont kifejezetten az alkalmazs oldalaira tr ki az URL

manipullsval
Az alapvet problma, hogy a jogosultsgokat a linkrendszerbe ptik
bele s csak azokat a linkeket vagy menket jelentik meg a
felhasznl szmra amihez joga van, azonban ha kzzel trja a
hivatkozsokat s a szerver oldalon nem trtnik meg az
jraellenrzs, hogy tnylegesen jogosult - e a tartalom
megtekintsre vagy mdostsra

8. Cross-Site Request Forgery

Ebben a tmadsban a tmad rveszi az ldozat bngszjt , hogy egy krst
intzzen a srlkeny alkalmazs fel
Tipikusan arra hasznljk, hogy tutalsokat kezdemnyezzenek, esetleg zroljanak
egy fikot, vagy bizalmas adatokhoz frjenek hozz

9. Using Components With Known Vulnerabilities

Elg sokan hasznlnak valamilyen komponenst (Framework, Library ,
Class ) amely ismert srlkenysget tartalmaz . Ez igen gyakran
bennmarad s kihat az alkalmazsra, mert a felhasznlt komponenst
nem frisstette a fejleszt (st nem is tudja, hogy milyen
komponenseket hasznl valjban), vagy a komponens fejlesztse
befejezdtt.
(Elg csak az idei v JAVA keretrendszer hnyattatott sorsra gondolni)
Ezeket a pontokat automatizlt eszkzkkel nagyon knnyen lehet
azonostani s a bennk rejtett srlkenysget kihasznlni.
Ezen hibk kihatsa elg szlssges is lehet. Elkpzelhet, hogy akr
teljes IT rendszer felett is t lehet venni az uralmat.
10. Unvalidated Redirects and Forwards
A webes alkalmazsok gyakran tirnytjk ( Redirect ) vagy
tovbbtjk ( Forward / Transfer ) egy msik lapra a felhasznlkat
Megfelel ellenrzs nlkl a tmad ezt kihasznlhatja s
tirnythatja a felhasznlt egy adathalsz oldalra
De akr egy tovbbts segtsgvel jogosulatlan tartalomhoz is
hozzfrhet a tmad, hiszen kikerlheti a hozzfrs vezrls
mechanizmust

Nem elegend csak a TOP10 srlkenysgeket kijavtani!

Nem lehet azt gondolni, hogy ha ezek ellen vdve vagyunk, akkor nem lehet betrni hozznk!
Ez a toplista csak egy j kiindul pont.

Forrs:
http://users.nik.uni-obuda.hu/prem/content/publikaciok/owasp-top10-2013.pdf
https://www.veracode.com/directory/owasp-top-10