Deny nothing. Doubt everything.

Vergelijkbare documenten
Back to the Future. Marinus Kuivenhoven Sogeti

Security. Awareness.

Functioneel Beheer dag 2016

Inhoud leereenheid 2. Software vulnerabilities. Introductie 23. Leerkern 23. Terugkoppeling 26

ISSX, Experts in IT Security. Wat is een penetratietest?

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

En nu gaan leren Brenno de Winter

Plan van aanpak. 1 Inleiding. 2 Onderzoek. 3 Taken. Kwaliteitswaarborging van webapplicaties. Rachid Ben Moussa

Cloud. Regie. Cases.

Deny nothing. Doubt everything.

Zest Application Professionals Training &Workshops

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

Security assessments. het voor- en natraject. David Vaartjes

Third party mededeling

Security web services

Web Application Security Hacking Your Way In! Peter Schuler & Julien Rentrop

SWAT PRODUCT BROCHURE

Third party mededeling

Sebyde AppScan Reseller. 7 Januari 2014

SAMPLE 11 = + 11 = + + Exploring Combinations of Ten + + = = + + = + = = + = = 11. Step Up. Step Ahead

Firewall van de Speedtouch 789wl volledig uitschakelen?

Weekend Testing Jeroen Rosink

WEBSECURITY INFORMATICA STUDENTENWERKING. Gemaakt door Bryan De Houwer en Yuri Moens

Cursus Software security. Harald Vranken

What is the advantage of using expression language instead of JSP scriptlets and JSP expressions?

General info on using shopping carts with Ingenico epayments

Webapplication Security

MyDHL+ Tarief berekenen

Security NS. Onno Wierbos, Barry Schönhage, Marc Kuiper

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Secure Software Alliance

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Je website (nog beter) beveiligen met HTTP-Security Headers

Poging 3: KEY001: SESID: Hiermee zijn we ingelogd als gebruiker DEMO2 :

LONDEN MET 21 GEVARIEERDE STADSWANDELINGEN 480 PAGINAS WAARDEVOLE INFORMATIE RUIM 300 FOTOS KAARTEN EN PLATTEGRONDEN

5 Hackaanvallen die uw webwinkel bedreigen. Hans Bouman B2U

TOEGANG VOOR NL / ENTRANCE FOR DUTCH : lator=c&camp=24759

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

Uw bedrijf beschermd tegen cybercriminaliteit

De Logius-norm voor DigiD: perikelen bij technisch testen (uitgebreide versie) Abstract Introductie Code-inspectie

Hoe te verbinden met NDI Remote Office (NDIRO): Apple OS X How to connect to NDI Remote Office (NDIRO): Apple OS X

NMOZTMKUDLVDKECVLKBVESBKHWIDKPDF-WWUS Page File Size 9,952 KB 29 May, 2016

EM6250 Firmware update V030507

Preschool Kindergarten

WEBAPPLICATIE-SCAN. Kiezen op Afstand

SLA level Iron Bronze Silver Gold Platinum

Handleiding Zuludesk Parent

BEAR. Do you need protection? A bear can help you, because it is big and stands for power. BEAVER

RECEPTEERKUNDE: PRODUCTZORG EN BEREIDING VAN GENEESMIDDELEN (DUTCH EDITION) FROM BOHN STAFLEU VAN LOGHUM

Comics FILE 4 COMICS BK 2

CENTEXBEL CLIENT WEB

JOB OPENING DEVOPS ENGINEER

Welkom bij parallellijn 1 On the Move uur

The first line of the input contains an integer $t \in \mathbb{n}$. This is followed by $t$ lines of text. This text consists of:

Waarom Cloud? Waarom nu? Marc Gruben April 2015

Shipment Centre EU Quick Print Client handleiding [NL]

Identity & Access Management & Cloud Computing

GETTING THE BEST OUT OF YOUR SOURCE CODE FIT TEST VOOR UNIFACE

MyDHL+ ProView activeren in MyDHL+

Het handboek van KDE Screen Ruler. Lauri Watts Vertaling van het handboek: Niels Reedijk Vertaler/Nalezer: Alexander S. Koning

Model driven Application Delivery

CENTEXBEL CLIENTS WEB

Understanding and being understood begins with speaking Dutch

DATAMANAGEMENT MET OPEN SOURCE

Quick start guide. Powerbank MI Mah. Follow Fast All rights reserved. Page 1

Een vrouw, een kind en azijn (Dutch Edition)

Tim Akkerman - Head of Mobile

Programma Open dag Tilburg University Zaterdag 8 oktober 2016 Toelichting en overzicht

Selling software anno 2014, een vak apart? Reint Jan Holterman 14 mei 2014

Continuous Delivery. Sander Aernouts

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

ICT -idee 1. Om met Themeefy te kunnen werken moet je eerst een account aanvragen. Het aanvragen van een account is gratis en gaat als volgt.

Group work to study a new subject.

Security in onderzoek en onderwijs

Engels op Niveau A2 Workshops Woordkennis 1

ANGSTSTOORNISSEN EN HYPOCHONDRIE: DIAGNOSTIEK EN BEHANDELING (DUTCH EDITION) FROM BOHN STAFLEU VAN LOGHUM

De Technologische Cultuur van Geluidssystemen

DATA LEKKAGE en MELDPLICHT SHADOW IT INTRUSION

IT Security in examineren

FOR DUTCH STUDENTS! ENGLISH VERSION NEXT PAGE. Toets Inleiding Kansrekening 1 22 februari 2013

Confirmation of Wage Tax

Stap 1: Registreer via de link op de G-schijf beschikbaar na inloggen met de teken-account, verzend via Submit. Nadien krijg je een bevestiging op

5 Second Test. Kenrick Fontijne Jeremy Fontijne Dimmy Marcelissen

OUTDOOR HD BULLET IP CAMERA PRODUCT MANUAL

The upside down Louisa tutorial by Dorothée: Noortjeprullemie.blogspot.be Written for Compagnie M.: m.com

OUTDOOR HD DOME IP CAMERA PRODUCT MANUAL GB - NL

Ik kom er soms tijdens de les achter dat ik mijn schoolspullen niet bij mij heb of niet compleet

B1 Woordkennis: Spelling

Opleiding PECB IT Governance.

Taco Schallenberg Acorel

Zo werkt het in de apotheek (Basiswerk AG) (Dutch Edition)

9 daagse Mindful-leSs 3 stappen plan training

Session Educa-on October 2013

Training en workshops

Uitleg geven hoe men een VPN connectie kan opzetten i.c.m. een RSA token.

!!!! Wild!Peacock!Omslagdoek!! Vertaling!door!Eerlijke!Wol.!! Het!garen!voor!dit!patroon!is!te!verkrijgen!op! Benodigdheden:!!

Zest Application Professionals Agile Training & Workshops

Free Electives (15 ects)

Transcriptie:

Deny nothing. Doubt everything.

Hack to the Future Marinus Kuivenhoven Sr. Security Specialist Houten, 23 juni 2015 marinus.kuivenhoven@sogeti.com 2

Het valt op Wij leren niet van het verleden Zekerheid 3

ipad van de Jaren 80 Commodore 64 Bron: www.wikipedia.org/commodore_64 4

Ook in de IT.. Wij leren niet van het verleden Zekerheid 5

OWASP Top 10 1. Injection 2. Cross Site Scripting (XSS) 3. Broken Authentication and Session Management 4. Insecure Direct Object References 5. Cross Site Request Forgery 6. Security Misconfiguration 7. Insecure Cryptographic Storage 8. Failure to Restrict URL access 9. Insufficient Transport Layer Protection 10. Unvalidated Redirects and Forwards 6

OWASP Top 10 Injection voorbeeld Scherm: USERNAME:[PERSOONA] PASSWORD:[GEHEIM12] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is 'GEHEIM12'; 7

OWASP Top 10 Injection voorbeeld Scherm: USERNAME:[PERSOONA] PASSWORD:[Onbekend of 1=1] Achtergrond: Mag er toegang worden gegeven aan de gebruiker wanneer: de username is 'PERSOONA' en het wachtwoord is Onbekend' of 1=1; 8

De focus ligt op incidenten.. Awareness op security Bron: www.tweakers.net 9

.. specifiek een blacklist van incidenten OWASP top 10 Injection Cross-Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross-Site Request Forgery (CSRF) SANS CWE/25 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Unrestricted Upload of File with Dangerous Type Cross-Site Request Forgery (CSRF) URL Redirection to Untrusted Site ('Open Redirect') WASC 24+2 Cross-Site Scripting Cross-Site Request Forgery SSI Injection SQL Injection XPath Injection XQuery Injection 10

En ook in IT-security.. Wij leren niet van het verleden Zekerheid 11

Wat is security? Gevoel Zekerheid Realiteit 12

Oorzaken van afwijking Kunde Middelen Risico s Haalbaar Behoefte Bedenken Beschrijven Bouwen Beoordelen Benutten Bewerken Onduidelijk Aannamen Ambiguteit Tijd 13

Mindset, out of the box Online racespelletje Bron: www.ninitendo.com 14

Flaws en Bugs Bugs are simple mistakes in code leading to problems like buffer overflows; flaws are mistakes in design. It turns out that a lot of software is flawed. In fact, if you step back and look at a multitude of security problems over time, you'll find that about 50% of them are due to bugs and 50% due to flaws. Functionele wens Technische implementatie Zekerheid flaw bug 15

Software Development lifecycle Penetratietest Requiremnts Usecases Architectuur Ontwerpen Testplannen Code Test resultaten Applicatie Terug koppeling Doorlooptijd 16

Fear, uncertainty and doubt Bron: www.elsevier.nl Bron: davidlifferth.ning.com 17

Think Different Long exposure Los Angeles International Airport (LAX) Mike Kelly 18

Ooit een oldtimer DeLorean en Tesla Bron: http://www.teslamotorsclub.com/ 19

De mens is eigenwijs Oliefantenpaadjes Bron: http://www.olifantenpaadjes.nl/ 20

De mens is lui Donorregistraties per land Bron: www.livercancergenomics.com 21

Lessons learned - Maak gebruik van abstractie en principes. - Los problemen op daar waar ze ontstaan. - Security is dan het bij-effect van kwalitieit. Zekerheid 22

If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology. Bruce Schneier, secrets and lies, 2007

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback