Tijdens onze laatste teammeeting hadden we de eer een presentatie te krijgen van Riccardo ten Cate over IT security. Het Newspark Knowledge Squad regelde hem als spreker. Riccardo is een specialist op het gebied van IT security en wereldwijd een veel gevraagde spreker op heel diverse locaties. Zo was hij afgelopen maand in de Verenigde Staten, binnenkort in het Midden-Oosten en eerder al in verschillende Europese landen. Nu dus lekker centraal bij Newspark te Nieuwegein.
Newspark Security presentatie en workshop, de expert aan het woord
Riccardo gaf een toelichting op OWASP top 10, de 10 meeste voorkomende security issues in software.
Hij legde ons ook uit dat dit de 10 belangrijkste zijn en dat je ervoor moet zorgen deze echt op orde te hebben. Daarnaast bestaat er ook nog een OWAPS top 267. Deze beschrijft “alle” security issues die bestaan. Hoe ze te testen zijn en wat je ertegen kunt doen in de code.
Challenges via de OWAS Juice Shop
Aangezien theorie altijd leuk is, maar je pas echt iets leert door het zelf te doen en ervaren, deden we ook een workshop. De OWASP Juice Shop, daagde ons uit, via diverse challenges, om de zwakheden in deze applicatie aan te tonen. Zo ondervonden we zelf wat diverse security issues nu echt inhouden.
Verder legde Riccardo uit dat de ernst van een security issue ook wordt bepaald door de context. Als voorbeeld gebruikte hij de zelfmoorden door een data breach bij AshleyMadison.
Bij een password-reset-verzoek meldde sites vroeger nog wel eens: “kan geen verzoek versturen daar dit mailadres niet bekend is bij ons”. Deze melding zorgt ervoor dat je kunt achterhalen of iemand ergens een account heeft of niet. Achterhalen of iemand een facebook- of gmailaccount heeft, is niet zo interessant. Echter, achterhalen of iemand een account heeft op een site als AshleyMadison, waar mensen dates plannen om vreemd te gaan, ligt een stuk gevoeliger.
Tijd voor actie
In de workshop gingen we in koppels aan de slag, pair hacking, en samen achterhaalden we hoe we de challenges konden vervullen. Zodra dit lukte was er vaak een eureka moment, maar soms was het wel heel hard nadenken over de oplossing.
Tot slot liet Riccardo ons zien hoe SQL injections werken en hoe XSS (Cross Site Scrypting) werkt. Misschien wel het bekendste voorbeeld van XSS is de MySpace worm waarmee een 19-jarige jongeman binnen enkele uren meer dan een miljoen “vrienden” verzamelde. Myspace was er minder blij mee en ook de Feds kwamen verhaal halen.
Testers eerste stap in IT security
Voor ons een mooie blik op de wereld van IT security en hoe wij als testers de 1e stap hierin zijn. Doorgaans zijn testers wel onderdeel van het team, maar security testers niet. Echt security testen is een vak apart en vaak hard nodig.
Een tester met een beetje gevoel voor security testen is dan essentieel. Voor simpele security testen springt hij zelf in en voor de complexere security testen adresseert hij dat een security expert nodig is.