Beveiligingsaspecten van webapplicatie ontwikkeling · Wouter van Kuipers Informatiekunde Radboud...

Wouter van KuipersInformatiekunde

Radboud Universiteit Nijmegenw.vankuipers@student.ru.nl

9-4-2009

Beveiligingsaspecten van webapplicatie ontwikkeling

Inhoud

Het onderzoek Literatuurstudie Interviews Sourcecode analyzer Best practices Conclusie

2 Wouter van Kuipers - w.vankuipers@dacon.nl

Achtergrond

Opleidingen MBO Informatica HBO Communicatie systemen WO Informatiekunde

Werkervaring Freelance PHP programmeur Dacon

Wouter van Kuipers - w.vankuipers@dacon.nl3

Het onderzoek

Waarom dit onderwerp Vooropleiding Werkervaring Veranderingen in de softwaremarkt

Het doel Oplossingen bieden aan

ontwikkelbedrijven

Bron: webwereld.nl

Bron: security.nl

Het onderzoek

Achtergrond Computer applicaties Het World Wide Web Webapplicaties Web 2.0

PHP Hypertext preprocessor Marktaandeel 33% Laagdrempelig Ontwikkelgemak ten kosten van

security

Interviews

Kleine bedrijven Ontwikkelaar verantwoordelijk voor

eigen werk Geen geld/tijd voor persoonlijke

ontwikkeling Grote bedrijven

Duidelijke verantwoordelijkheden Scholing goed geregeld

Overigen Code testen (JAVA) Awareness bij het management

Literatuurstudie

Oplossingen als Microsoft SDL Totaalpakket aan oplossingen Geschikt voor grote bedrijven

Literatuurstudie

PHP oplossingen Lost slechts een deel van het

probleem op Geschikt voor kleinere bedrijven

Literatuurstudie

Informatie op het internet Lastig te vinden Lastig te beoordelen

Sourcecode analyzer

Fortify 360 Sourcecode Analyzer (SCA) Real-time Analyzer (RTA) Program Trace Analyzer (PTA) ASP.NET, C#.NET, VB.NET, C/C++,

JAVA, PLSQL/TSQL, PHP en VB

Sourcecode analyzer

Audit Resultaten Rapport

Sourcecode analyzer

Doel Analyseren van de broncode op

problemen

Sourcecode analyzer

Doel Ordenen van gevonden problemen

Sourcecode analyzer

Doel Informeren van het management

Sourcecode analyzer

Onderzoek Automatische analyse door Fortify Handmatige analyse resultaten Scannen van twee zelf geschreven

applicaties Content Management Systeem Customer Relationship

Management System 30.000 SLOC

Sourcecode analyzer Tijdsduur

Scannen code: 6 minuten Handmatige analyse problemen CMS:

50 min. Handmatige analyse problemen CRM:

145 min. Resultaten

Totaal aantal positives: 421 (CMS 248, CRM 173)

Aantal true positives:282 (67%)

Aantal false positives:139 (33%)

Sourcecode analyzer

Analyse problemen Hoge score op makkelijk te herleiden

gevaren Hash functies Password in comment

Lage score op lastig te herleiden gevaren XSS CSRF

Wat is een probleem?

Probleem?

# genereer een unieke naam $name = md5(time().rand());

# ask user for password Function askPassword(){ …

Sourcecode analyzer

Conclusie Goede detectie Goede aanvulling op bestaande

werkwijze Snel en goedkoop Lastig om andermans code te

analyseren analyseer eigen code Programma leidt programmeur op

Conclusie Webapplicatie != desktopapplicatie Security beleid voor grote

bedrijven goed geregeld Kleine bedrijven missen

Awareness Budget Scholing

Gebruik SCA’s voor analyse OWASP

Verzamel bronnen

Bedankt voor uw aandacht

Beveiligingsaspecten van webapplicatie ontwikkeling · Wouter van Kuipers Informatiekunde Radboud...

Documents

Transcript of Beveiligingsaspecten van webapplicatie ontwikkeling · Wouter van Kuipers Informatiekunde Radboud...

Het beheren van digitale onderzoeksdata...Graduaat in het Bibliotheekwezen en de Documentaire Informatiekunde Gent HET BEHEREN VAN DIGITALE ONDERZOEKSDATA : Theorie en praktijk door

webapplicatie Identity Management (IdM-admin) t.b.v.websites.ic.uva.nl/IDM/Handleidingen/Gebruikershandleiding_IdM... · Identity Management (IdM-admin) ... 7.2 Hernoemen / Rename

Gebruikershandleiding GPK-applicatie...3 B 1623d Gebruikershandleiding GPK-applicatie 2 1 Inleiding Deze gebruikershandleiding beschrijft de werking van de webapplicatie gehandicaptenparkeerkaarten

Colofon Afstudeerscriptie Informatiekunde Nellen.pdf · scriptie van harte bedanken. Veel dank gaat uit naar mijn afstudeerbegeleider prof. dr. Daan Rijsen-brij voor zijn ideeën

Opleiding : Informatiekunde Blok : 2.1 Docent : Lilianne

Vakidioot /redactiehandleiding · Gametechnologie Informatica-/kunde Informatiekunde Information Science Data Science Wiskunde Mathematics Natuurkunde Sterrenkunde Physics Astronomy

Informatie- management · Boeken over informatiemanagement, informatiekunde, automatisering en ICT (informatie- en communicatietechnologie) hebben de neiging steeds

Richtlijnen/handleiding Geïntegreerde registratietool (GIR) · 2019. 1. 7. · De webapplicatie GIR bevat de registraties van de verschillende applicaties die komen te vervallen

Welkom Informatiekunde (UvA) Informatie, Multimedia & Management (VU) mens, organisaties en informatietechnologie.

Remi : Referentiebudgetten voor een menswaardig inkomen, een webapplicatie Ilse Cornelis, Nele Peeters, Jean-François Reynaert en Peter Thijs Marie-Thérèse.

1 Instituut voor Informatica en Informatiekunde Magneetstrip- en chipkaarten Engelbert Hubbers Erik Poll Digital Security Informatica en Informatiekunde.

Afstudeerscriptie BSc Informatiekunde - UvA...Antropomorfisme wordt hier gedefinieerd als het toeschrijven van menselijke eigenschappen aan niet levende objecten, dieren en anderen

Sociale Plattegrond 2013 toelichting databank & webapplicatie November | December 2013.

Sociale Plattegrond 2013 toelichting databank & webapplicatie

Achtergrond en instructie van de webapplicatie

Beveiligingsaspecten van webapplicatie‐ ontwikkeling · Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Radboud Universiteit Nijmegen 4 1 Inleiding The world's six billion

Handleiding aanvraag Europass Mobiliteit via de webapplicatie (voorlopige versie)

Introductie Informatiekunde 2013

Master Thesis Informatiekunde Onderhoud van logica door ... · Hierna volgde de Business Rules Approach voor het scheiden en centraliseren van business rules (bedrijfsregels) uit

Diploma media- & informatiekunde