Application security 10 Commandments

29 בנובמבר 2006

Application security 10 Commandments     Many people ask "what should I do to implement Application Security?"   Well, it is not so simple but if you want to make a long story short you should do the following:   Create a threat modeling document.   Make sure you take care of the following issues:   ·         Input Validation o   Map all your inputs and make sure all inputs coming from an untrusted source are properly validated. ·         Authentication o   Users are properly authenticated, and the authentication ticket is properly handled. ·         Authorization o   The right to perform an action is given to the correct user. Authorization is handled with a secure technology....
one comment

The truth about Application Security

28 בנובמבר 2006

The truth about Application Security There is a problem with Application Security today, It is really in bad shape. As a security consultant my customers  are software companies  that develops  products for other companies to use.Those companies use those products  to supply services for their final customers. If there are security issues those customer are the ones to actually suffer. Today The awareness for security is rising but still most people believes that security is somewhere between the OS and the firewall server. Application Security is unknown and untouched. The result is no surprise. Many products are dangerously unsecured, breaches are everywhere. If...
2 comments

נמל התעופה בן גוריון – דוגמא למחדל אבטחה

27 בנובמבר 2006

נמל התעופה בן גוריון – דוגמא למחדל אבטחה. במאמרים קודמים ציינתי לא פעם כי Application Security מחייבת הסתכלות כוללת על המערכת. אם נאבטח במקום אחד אבל נשאיר פרצה במקום אחר כאילו לא עשינו דבר. דוגמא מעניינת לכך מצאתי בנמל התעופה בן גוריון. רבים מאיתנו רשומים לשירות "הרישום המהיר" . יש לנו כרטים מיוחד להפעלת זיהוי ביומטרי בעזרת כף היד. הזיהוי עצמו מבוצע בעזרת טכנולוגיה מתקדמת ובטוחה. אבל האם שמתם לב מה קורה מיד אחר-כך ? ובכן בסיום תהליך הזיהוי מייצרת המכונה Authenticator בדמות פתק קטן המודפס על ניר טרמי. פתק כזה ניתן להדפיס בכל חנות מכולת. את הפתק אנו צריכים להראות לשוטרי הגבולות הנמצאים רחוק...
5 comments

What is application security

23 בנובמבר 2006

Application Security   There is no doubt that today's applications must be secure. We are living in a world of data and communications, in which the most valuable asset is information. Everybody knows that valuable assets must be protected. Security Standards are created to insure products will implement security measures to protect their data.   Security is an "all-inclusive" term, which means it must be implemented "everywhere", in all levels: Users: Train your users and build awareness to help them to reduce the risk of performing irresponsible actions which will be used by the attacker. Infrastructure: Firewalls, Network Admin, Host & Server Hardening, Network traffic...
one comment