Analyse Security

• Leerdoelen
• Voorbereiding
• Lesprogramma

Leerdoelen

• Herkennen van OWASP security risico's
• Analyseren van gevaren binnen een applicatie
• Bewustwording van consequenties van een lek
• Beheersen van beveiligingskwetsbaarheid

Voorbereiding

Lees en bekijk video's

• 📹 OWASP Top 10 2021 - The List and How You Should Use It
• 📖 Lees Hoofdstuk 7: Veilig Gegevens Verwerken

Extra:

• Understanding Encryption Algorithms

Beantwoord de volgende vragen:

1. Leg in eigen woorden uit wat Broken Access Control is.
2. Leg in eigen woorden wat het gevaar is van Injection.
3. Leg in eigen woorden wat het verschil is tussen Injection en Cryptographic failures.
4. Zoek 3 bedrijven op die security leak hebben gehad in de afgelopen 5 jaar. Hoe werden deze bedrijven gehackt?

Lesprogramma

• Analyse van veiligheid van applicatie
  • Opdracht 1: analyseren van door OWASP aangemerkte beveiligingsrisico's (~30 m)
  • Opdracht 2: presenteren van onderzoeksresultaten (~30 m)
  • 👷🏼 Opdracht 3: Voer de maatregelen door (~30 m)

Analyse van veiligheid van applicatie

Tijdens de les gaan we aan de slag met het analyseren van beveiligingsrisico's.

In eerste instantie ga je dit toepassen op de code die je tot nu toe gemaakt hebt voor de muziekschool-database en webpagina's. Tijdens het beroepsproduct voer je dit uit voor je beroepsproduct.

Opdracht 1: analyseren van door OWASP aangemerkte beveiligingsrisico's (~30 m)

Ga in kleine groepjes aan de slag met een door de docent toegewezen beveiligingsrisico uit de OWASP top 10. Het is de bedoeling om 'expert' te worden van kwetsbaarheden gerelateerd aan dit beveiligingsrisico en elkaar daarover te gaan informeren als input voor het werken aan het beroepsproduct. Denk hierbij aan het inventariseren van mogelijke aanvalstechnieken die gebruikt kunnen worden om de kwetsbaarheden uit te buiten, maar ook suggesties voor maatregelen die genomen zouden kunnen worden in een applicatie zoals jouw applicatie.

Deze analyse is een goede bron van informatie voor maatregelen die genomen moeten worden tegen beveiligingsrisico's in je beroepsproduct (WTIS-2). Bereidt je dus goed voor om als expert-groep de opgedane kennis te kunnen delen met klasgenoten die weer een ander risico hebben geanalyseerd waar jij graag kennis over wil hebben. Een goed uitgangspunt hierbij is dus om te bedenken welke informatie je zelf graag zou willen horen en dat samen te vatten in een presentatie van maximaal 5 minuten, denk hierbij minimaal aan:

1. een risicotabel om duidelijk te maken wat het risico is (kans x gevolg) zoals in het voorbeeld
2. geef concrete voorbeelden van te nemen maatregelen in een applicatie

Opdracht 2: presenteren van onderzoeksresultaten (~30 m)

Presenteer de gevonden resultaten van opdracht 1 aan je peers (andere groepjes) en stel aansluitend kritische vragen aan elkaar.

Deze informatie heb je nodig om je beroepsproduct te kunnen beveiligen.

👷🏼 Opdracht 3: Voer de maatregelen door (~30 m)

Pas de verkregen kennis uit de presentaties en bronnen in de lesvoorbereiding toe op jou beroepsproduct. Dit is ook een goede gelegenheid om waar nodig aanvullende kennis op te halen bij de andere expert groepen.

De grootste risico's en de meest voordehandliggende oplossingen in PHP kun je vinden in het onderdeel met voorbeelden