Intervista a Matteo Meucci sulla "OWASP Testing Guide v2"
Inserito da Agatino Grillo il Gio, 2007-02-13 16:07
Febbraio 2007 | Owasp | Programmazione
070213-meucci-owasp
Lo scorso 25 gennaio 2007, Matteo Meucci, ha presentato al seminario
IsacaRoma, le novità della "OWASP
Testing Guide v2". Le slide sono ora disponibili (pdf
, 1.8 M o pdf
zip 1.5 M) per i nostri lettori e con l'occasione
abbiamo "strappato" un'altra intervista a Matteo.
IsacaRoma (IR): Bentornato Matteo e grazie per essere ancora con noi. In primo luogo: ci ricordi i nomi di chi ha collaborato con te alla redazione della "OWASP Testing Guide v2" e che avevamo dimenticato di citare nella nostra precedente nota?
Matteo Meucci (MM): Ciao a tutti e grazie a voi per l'atenzione che ci riservate. La guida è opera mia e di:
MM: La nuova release della OWASP Testing Guide ha avuto come obiettivo primario quello di creare una guida completa e open per il Web Application Penetration Testing, ovvero sul tema della verifica di sicurezza degli applicativi web. La prima versione risale al 2004 nella quale si descriveva il framework di test e si forniva l'elenco dei controlli da testare. Con la versione 2 abbiamo ripreso in mano questo lavoro con l'intento di rivedere e categorizzare
l'insieme dei test da effettuare e descrivere ciascun controllo fornendo una metodologia ed esempi pratici. Abbiamo trattato temi innovativi quali AJAX e Web Services, che costituiscono un tipo particolare di test applicativo ed approndito altri temi più tradizionali come ad esempio SQL Injection Testing che grazie al
superlativo contributo di Stefano Di Paola, Alberto Revelli e Antonio Parata, rappresenta sicuramente una delle parti maggiormente riuscite e complete: vi sono sezioni su SQL Server, MySQL e Oracle Testing (curata da David Litchfiled, ad oggi il maggior esperto al mondo in questo campo).
IR: Altre novità?
MM: Abbiamo anche voluto proporre una metodologia di "Risk Rating" che riuscisse a valutare il reale rischio delle vulnerabilità evidenziate
in fase di test a cui va incontro un'azienda. Il nostro approccio è stato quello di creare un modello semplice che fosse facilmente adattabile alle diverse realtà aziendali e che oltre a valutare gli impatti tecnici sull'applicazione, ne valutasse gli impatti di business. Infatti, come gli standard ISACA insegnano, riteniamo
fondamentale proporre un modello di Risk Rating che dia maggior peso agli impatti che una eventuale minaccia possa causare sul business dell'azienda che fa uso dell'applicazione piuttosto che sugli impatti tecnici. Il risultato è una guida di 272 pagine di ottimo livello a giudicare dai feed back che stiamo ottenendo: basti pensare che il Department of Homeland Security americano si è congratulato con noi per il lavoro svolto e che la SANS Top 20 cita la Testing Guide come referenza per la parte di Web Application (C1.4). I commenti alla guida nascono tutti dal versante americano e non ci dispiacerebbe avere dei riscontri anche qui in Italia...
IR: Quali sono gli sviluppi futuri previsti per la guida?
MM: La guida rappresenta un documento "vivo" che ha bisogno di continui aggiornamenti e quindi rilasceremo presto una nuova versione. Chiunque
è inviato a partecipare e a fornire il proprio contributo attraverso le pagine web del progetto. I temi che vogliamo approfondire nella prossima versione sono quelli relativi ai test lato client in quanto in questo periodo stiamo assistendo sempre più ad una progettazione dell'applicazione a più livelli, ovvero una parte della logica applicativa dal server risiede ora sul client stesso che fa uso dell'applicativo: basti pensare alla diffusione di applicazioni AJAX che permettono una maggiore interattività utente ma anche una maggiore superficie di attacco in quanto il client ha accesso diretto ad una porzione di codice che
tradizionalmente risiede lato server e quindi in un ambiente fisicamente separato e non accessibile dal client. Con Stefano Di Paola (R&D Director di OWASP-Italy) e Giorgio Fedon, che hanno recemente mostrato una vulnerabilità molto pericolosa di Adobe e che sono molto attivi in questo campo, stiamo pensando di focalizzarci su queste nuove tematiche.
IR: Altre novità nel mondo OWASP?
MM: È appena terminata la fase di Autumn of Code (AoC) che ha visto il completamento di 9 nuovi progetti, tra i quali WebGoat 5.0, WebScarab
NG, e la stessa Testing Guide. A breve partirà lo Spring of Code (SpoC) una iniziativa di sponsorizzazione di nuovi progetti OWASP, alla quale ci aspettiamo che giungano molte proposte. Infine è appena stata pubblicata la nuova OWASP Top 10 2007 che descrive le 10 maggiori vulnerabilità delle applicazioni web. Lo scopo primario di tale documento è quello di educare gli sviluppatori, gli architetti e le organizzazioni circa le conseguenze delle più comuni vulnerabilità applicative: la OWASP Top10 fornisce dei metodi base per proteggersi contro queste vulnerabilità e rappresenta un primo passo per un programma di secure coding all'interno delle aziende.
IR: Grazie Matteo e alla prossima!
MM: Grazie a voi.
IsacaRoma (IR): Bentornato Matteo e grazie per essere ancora con noi. In primo luogo: ci ricordi i nomi di chi ha collaborato con te alla redazione della "OWASP Testing Guide v2" e che avevamo dimenticato di citare nella nostra precedente nota?
Matteo Meucci (MM): Ciao a tutti e grazie a voi per l'atenzione che ci riservate. La guida è opera mia e di:
- Mauro Bregolin
- Luca Carettoni
- Stefano Di Paola
- Giorgio Fedon
- Andrea Lombardini
- Claudio Merloni
- Marco Morana
- Antonio Parata
- Carlo Pelliccioni
- Alberto Revelli
MM: La nuova release della OWASP Testing Guide ha avuto come obiettivo primario quello di creare una guida completa e open per il Web Application Penetration Testing, ovvero sul tema della verifica di sicurezza degli applicativi web. La prima versione risale al 2004 nella quale si descriveva il framework di test e si forniva l'elenco dei controlli da testare. Con la versione 2 abbiamo ripreso in mano questo lavoro con l'intento di rivedere e categorizzare
l'insieme dei test da effettuare e descrivere ciascun controllo fornendo una metodologia ed esempi pratici. Abbiamo trattato temi innovativi quali AJAX e Web Services, che costituiscono un tipo particolare di test applicativo ed approndito altri temi più tradizionali come ad esempio SQL Injection Testing che grazie al
superlativo contributo di Stefano Di Paola, Alberto Revelli e Antonio Parata, rappresenta sicuramente una delle parti maggiormente riuscite e complete: vi sono sezioni su SQL Server, MySQL e Oracle Testing (curata da David Litchfiled, ad oggi il maggior esperto al mondo in questo campo).
IR: Altre novità?
MM: Abbiamo anche voluto proporre una metodologia di "Risk Rating" che riuscisse a valutare il reale rischio delle vulnerabilità evidenziate
in fase di test a cui va incontro un'azienda. Il nostro approccio è stato quello di creare un modello semplice che fosse facilmente adattabile alle diverse realtà aziendali e che oltre a valutare gli impatti tecnici sull'applicazione, ne valutasse gli impatti di business. Infatti, come gli standard ISACA insegnano, riteniamo
fondamentale proporre un modello di Risk Rating che dia maggior peso agli impatti che una eventuale minaccia possa causare sul business dell'azienda che fa uso dell'applicazione piuttosto che sugli impatti tecnici. Il risultato è una guida di 272 pagine di ottimo livello a giudicare dai feed back che stiamo ottenendo: basti pensare che il Department of Homeland Security americano si è congratulato con noi per il lavoro svolto e che la SANS Top 20 cita la Testing Guide come referenza per la parte di Web Application (C1.4). I commenti alla guida nascono tutti dal versante americano e non ci dispiacerebbe avere dei riscontri anche qui in Italia...
IR: Quali sono gli sviluppi futuri previsti per la guida?
MM: La guida rappresenta un documento "vivo" che ha bisogno di continui aggiornamenti e quindi rilasceremo presto una nuova versione. Chiunque
è inviato a partecipare e a fornire il proprio contributo attraverso le pagine web del progetto. I temi che vogliamo approfondire nella prossima versione sono quelli relativi ai test lato client in quanto in questo periodo stiamo assistendo sempre più ad una progettazione dell'applicazione a più livelli, ovvero una parte della logica applicativa dal server risiede ora sul client stesso che fa uso dell'applicativo: basti pensare alla diffusione di applicazioni AJAX che permettono una maggiore interattività utente ma anche una maggiore superficie di attacco in quanto il client ha accesso diretto ad una porzione di codice che
tradizionalmente risiede lato server e quindi in un ambiente fisicamente separato e non accessibile dal client. Con Stefano Di Paola (R&D Director di OWASP-Italy) e Giorgio Fedon, che hanno recemente mostrato una vulnerabilità molto pericolosa di Adobe e che sono molto attivi in questo campo, stiamo pensando di focalizzarci su queste nuove tematiche.
IR: Altre novità nel mondo OWASP?
MM: È appena terminata la fase di Autumn of Code (AoC) che ha visto il completamento di 9 nuovi progetti, tra i quali WebGoat 5.0, WebScarab
NG, e la stessa Testing Guide. A breve partirà lo Spring of Code (SpoC) una iniziativa di sponsorizzazione di nuovi progetti OWASP, alla quale ci aspettiamo che giungano molte proposte. Infine è appena stata pubblicata la nuova OWASP Top 10 2007 che descrive le 10 maggiori vulnerabilità delle applicazioni web. Lo scopo primario di tale documento è quello di educare gli sviluppatori, gli architetti e le organizzazioni circa le conseguenze delle più comuni vulnerabilità applicative: la OWASP Top10 fornisce dei metodi base per proteggersi contro queste vulnerabilità e rappresenta un primo passo per un programma di secure coding all'interno delle aziende.
IR: Grazie Matteo e alla prossima!
MM: Grazie a voi.
IsacaRoma Newsletter link
- OWASP a Infosecurity 2007
- OWASP: la sicurezza di AJAX, a colloquio con Stefano Di Paola e Giorgio Fedon
- Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja
- Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon
- Application security: intervista ad Antonio Parata di OWASP
- OWASP: i vincitori dell'Autumn of Code 2006
- Intervista a Matteo Meucci di Owasp Italia
- SMAU: OWASP, applicativi web vulnerabili
- Matteo Meucci: Web Application Security e il progetto OWASP (pdf zip, 2 M)
» email this story | printer friendly version | 1846 reads
