OWASP top 6-10 assesment

[cocobabayaga]

User story specification

Als CSC'er wil ik een security assesment in kaart brengen, zodat de front-end (oftwerl Kalipo-web-ui) een veilige manier kunnen bieden aan de node operators.

Acceptance criteria

Functionals

Pre conditions

• Beschikbaarheid MobaXterm (i.p.v PUTTY)
• Beschikbaarheid document met daarin duidelijk de pentest rapportage van de frontend bij Kalipo
• Beschikbaarheid Flameshot (Voor screenshots).
• Beschikbaarheid van de trainings programma van JointCyberRange voor OWASP 10 framework leermodule.

Process

• Kennis opdoen over OWASP top 10 framework in JCR.
• Mechanismes en scripts in kaart brengen om de OWASP 10 pentest assesment te doen op de mainbranch van Kalipo
• Pentest rapportage documenten laten controleren d.m.v. vier ogen principe

Result

• Pentest document liefts in het engels.
• Voldoet aan acceptatie criteria
• Beheersmaatregelen opstellen voor de diverse attack vectors.
• Van de OWASP framework top 6 tot en met top 10.

Non-functionals

• Leesbaarheid: Plaatjes bij zetten
• Betrouwbaarheid: APA style bron vermelding
• Overdraagbaarheid: Engels talig
• Geschiktheid: Bestaande beheersmaatregelen of mitigatie methodieken
• Uitwisselbaarheid: Peer review
• Correctheid: In de JCR trainingsprogramma

DoD

De pentest rapportage voldoet aan de DoD wanneer:

• De stijl van Kalipo is gehanteerd
• Diverse vereisten voor het mitigeren van een attack
• Risico's aangegeven d.m.v impact en probabiliteit
• Logs en screenshots indien mogelijk met Tmux en flameshot
• Andere notities over de OWASP aanval methodieken (Scripts in Pyhton of dergelijk)
• Gereviewd door de andere csc-teamgenoten en voldoet aan acceptatiecriteria
• Er is een spellingscontrole gedaan

Deliverables

• Pentest rapportage in het engels