J.D. Meier has posted an useful catalog of Microsoft patterns & practices resources. These also include some security related ones.
Do you use any other (non Microsoft) security resources? Leave a comment.
Applicatie beveiliging is een van de doelstellingen die wij als PaSS hebben. Hiervoor worden alle aspecten van de SDLC bekeken en toegepast om de garantie te kunnen geven dat een bepaalde applicatie ‘veilig’ beschouwd kan worden.
Het nadeel hierbij is dat Frameworks als .NET of de JavaVM niet meegenomen worden bij het testen. Het gebruikte framework wordt beschouwd als onderdeel van de infrastructuur en niet bekeken op mogelijke exploits. Of dit nu exploits zijn die in het framework gemaakt zijn, of exploits die ontstaan omdat het framework meer aanbied dan nodig is, wordt even in het midden gelaten.
Voor .NET is er nu een blogpost met paper (en toolkit) waarin verteld wordt hoe het .NET framework aangepast kan worden. De paper gaat voornamelijk over mogelijke exploits en niet hoe dit gebruikt kan worden om ook het framework dicht te timmeren.
Deze site kwam ik ergens online tegen: http://bsi-mm.com/
The Building Security In Maturity Model (BSIMM) described on this website is designed to help you understand and plan a software security initiative. BSIMM was created through a process of understanding and analyzing real-world data from nine leading software security initiatives. Though particular methodologies differ (think OWASP CLASP, Microsoft SDL, or the Cigital Touchpoints), many initiatives share common ground. This common ground is captured and described in BSIMM. As an organizing feature, we introduce and use a Software Security Framework (SSF), which provides a conceptual scaffolding for BSIMM. Properly used, BSIMM can help you determine where your organization stands with respect to real-world software security initiatives and what steps can be taken to make your approach more effective.
Klinkt interessant. Wie heeft hier ervaring mee?
Na de pauze op de eerste dag werd het tijd voor een demonstratie van de laatste versies van WebGoat (2.0) en WebScarab (NG).
Terwijl 95% van de conferentie geboeid naar de verhalen over Advanced Web Hacking zat te luisteren, heeft Dave Wichers de nieuwste features van WebGoat en WebScarab gedemonsteerd.
Naast nieuwe features bevat WebGoat ook nieuwe lessons voor bijvoorbeeld webServices.
WebScarab krijgt een nieuwe gebruikers interface, maar op dit moment zijn nog niet alle features daarheen geport. De ontwikkelaar heeft pas een kindje gekregen en is daarom de komende tijd niet volledig met WebScarab bezig. We zullen dus nog even moeten wachten op de nieuwe interface!
Pantera is een een mix van een penetratietest proxy, een applicatie scanner en intelligent analyse framework. Het doel van Pantera is om het analyseren een geautomatiseerd proces te maken.
Doordat Pantera een proxy en webserver in een is, kun je zonder de browser te verlaten analyses doen, zoals dat bij Webscarab het geval is. Onderwater draait de spikeproxy en wordt alle data in een mySQL database gestopt. Dit is echter een bottlenek voor de performance (vanwege de vele triggers) wanneer er grote hoeveelheden data tegelijk moeten worden verwerkt. De maker zelf, Simon Roses Femerling, (security technologist bij Microsoft) vertelde dat hij graag een database als Oracle zou willen ondersteunen. Marinus en Patrick hebben dan ook aangeboden om het project hierbij te ondersteunen.
