P. 1
31476268 Dutch Raamwerk Beveiliging Webapplicaties Govcert

31476268 Dutch Raamwerk Beveiliging Webapplicaties Govcert

|Views: 197|Likes:
Published by bvisser.prive3721
Dutch info sec.
Dutch info sec.

More info:

Published by: bvisser.prive3721 on Oct 13, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/27/2011

pdf

text

original

Deze bijlage geeft een overzicht van de kwetsbaarheden, dreigingen en
maatregelen die in dit document aan bod komen.

D.1 Kwetsbaarheden en dreigingen

Netwerk
• (Distributed) Denial-of-Service

§3.2.1

• Server hopping

§3.2.2

• Kwetsbare DNS(configuratie)

§3.2.3

• Kwetsbare firewall(configuratie)

§3.2.4

Platform
• Kwetsbaarheden in het OS

§4.2.1

• Onveilige ingerichte beheermechanismen

§4.2.2

• Onjuiste autorisaties

§4.2.3

• Onnodige services

§4.2.4

Applicatie
• Ongevalideerde input

§5.2.1

• Cross-Site Scripting (XSS)

§5.2.2

• SQL injection

§5.2.3

• Buffer overflows

§5.2.4

• Lekken van informatie

§5.2.5

• Onveilige opslag van informatie

§5.2.6

• Onveilige configuratie

§5.2.7

• Kwetsbare aangekochte applicaties

§5.2.8

Identiteit- en toegangsbeheer
• Foutieve implementatie van authenticatie en sessiemanagement

§6.2.1

• Foutieve implementatie van toegangsbeheer

§6.2.2

• Onveilige authenticatiemechanismen

§6.2.3
• Discrepantie tussen authenticatiemechanisme en beveiligingsbeleid §6.2.4
• Het wiel opnieuw uitvinden

§6.2.5

• Incompatibele authenticatiemechanismen

§6.2.6

Vertrouwelijkheid en onweerlegbaarheid
• Lekken van informatie

§7.2.1

• Weerlegbaarheid

§7.2.2

Monitoring, auditing en alerting
• Ontbreken van toezicht

§9.2.1

• Impact: onbekend

§9.2.2

• Gebrek aan coördinatie en samenwerking

§9.2.3

Raamwerk Beveiliging Webapplicaties ■ Versie 1.3 ■ 28 juli 2009

116/116

D.2 Maatregelen

Netwerk
• Besteed veel aandacht aan het DMZ-ontwerp

§3.3.1

• Pas compartimentering toe

§3.3.2

• Leg routepaden vast

§3.3.3

• Bepaal de toegang tot de webapplicaties vanuit de backoffice

§3.3.4

• Scheid beheer- en productieverkeer

§3.3.5

• Overweeg de invoering van een dual-vendor concept

§3.3.6

• Behoud overzicht

§3.3.7

• Breng fysieke scheiding aan

§3.3.8

• Implementeer maatregelen tegen (D)DoS

§3.3.9

• Harden de (externe) DNS-infrastructuur

§3.3.10

• Harden ook de rest van de infrastructuur

§3.3.11

• Besteed aandacht aan beschikbaarheidvraagstukken

§3.3.12

Platform
• Richt een solide updatemechanisme in

§4.3.1

• Verwijder onnodige services

§4.3.2

• Richt access controls strikt in

§4.3.3

• Harden de implementatie van essentiële protocollen

§4.3.4

• Maak gebruik van jailing

§4.3.5

• Hanteer strikte OS-authenticatie(mechanismen)

§4.3.6

• Maak gebruik van veilige beheermechanismen

§4.3.7

• Maak back-ups

§4.3.8

• Maak gebruik van lokale firewalls

§4.3.9

• Audit de wijzigingen op het systeem

§4.3.10

• Maak gebruik van beveiligingstemplates

§4.3.11

Applicatie
• Overweeg de invoering van een application-level firewall

§5.3.1

• Voer inputvalidatie uit

§5.3.2

• Maak (extern) gebruik van SSL-verbindingen

§5.3.3

• Voorkom het lekken van informatie

§5.3.4

• Normaliseer HTTP-verzoeken

§5.3.5

• Sta alleen benodigde HTTP-methoden toe

§5.3.6

• Sta beperkt bestandsextensies toe

§5.3.7

• Controleer verzoeken tegen bekende aanvalspatronen

§5.3.8

• Controleer de inhoud van HTTP-headers

§5.3.9

• Controleer het gebruik van cookies

§5.3.10

• Richt een solide updatemechanisme in

§5.3.11

• Schakel ‘directory listings’ uit

§5.3.12

• Hanteer safe coding technieken

§5.3.13

• Voer een (geautomatiseerde) code review uit

§5.3.14

• Pas alle maatregelen op alle applicaties toe

§5.3.15

Raamwerk Beveiliging Webapplicaties ■ Versie 1.3 ■ 28 juli 2009

117/116

Identiteit- en toegangsbeheer
• Bepaal de plek van identiteit- en toegangsbeheer

§6.3.1

• Overweeg de invoering van I&AM tooling

§6.3.2

• Maak een gefundeerde keuze voor authenticatiemechanismen

§6.3.3

• Denk niet alleen aan inloggen

§6.3.4

• Zorg voor uniforme en flexibele authenticatiemechanismen

§6.3.5

Vertrouwelijkheid en onweerlegbaarheid
• Versleutel vertrouwelijke informatie

§7.3.1

• Versleutel cookies

§7.3.2

• Maak gebruik van digitale handtekeningen

§7.3.3

Monitoring, auditing en alerting
• Maak gebruik van Intrusion Detection Systemen (IDS)

§9.3.1

• Breng logging op één punt samen

§9.3.2

• Breng correlaties aan

§9.3.3

• Richt NTP correct in

§9.3.4

• Audit de uitgedeelte autorisaties regelmatig

§9.3.5

• Bepaal wat te doen bij het uitvallen van loggingmechanismen

§9.3.6

• Stel bewaartermijnen van logging vast

§9.3.7

• Voer actief controles uit op logging

§9.3.8

• Coördineer en bevorder samenwerking

§9.3.9

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->