application security and pci dss
DESCRIPTION
Application security and PCI DSS by David Rook at an OWASP Ireland chapter meeting 2008.TRANSCRIPT
��������� �� ��������������� �������������� �������������� �������������������� ���� �� ������ �������� ��
����������� �����
����
��!��""" �"��� ���
������������������������������������ ���������� ����������� ��������
������ ��!
�����"�"���!#�����"���
##�� ����$#%%&
$����
������%�������&
���� �����'������(��� ������������
�� � ���#%%)�� ��� ��'(��" �������*����$������� � ��������!
� ������� ��� ������ +��� � ����� ��� ������� ������ ����������������
'����
���������������(������ �%&
� ,-'���$$�������������� "�$$���������������� �������$� ����
� #-(����� * ����.����$� �� ���$������� �����"��������� �� ���������� ��
� /-��� ���� �������$� ����
� )-0������������������������$� ������������ �����$��� "��1�
� 2-3� ���� ��$��$����� ���.*�������"��
� 4-( * $������������� ��� ��� ��������$�������
)����
���������������(������ �%&
� 5-6 ������� ���������$� ����������� ��� �.�.1��"
� &-����������+� '(� ���� ����"������� ���� ��
� 7-6 �����������$��� ���������$� ����
� ,%-����1����������$$��� ���� "��1� ����� ����������$� ����
� ,,-6 ��$��$� �� �������� ��������� �� �
� ,#-8���������$��������� �� ������������ �����
*����
+������������������""""""""""
�$���� +��� � ��"�$$ �� ������������"��1 �*����� �
���� ���������� � +��� � ����� �$���� ��� * $�� ��
'���9��������$ ������������ �������� ������� ��� ��
,����
�-.�%��/��������� �������! �/&
6 +��� � �4:� ��*������ -!
4 / ( * $�����"�� ���$���������� ����������� ������� ������������� ����������� �������������� ���"�� � * $��� �$�� ���$
4 ) ��$$�"����� �����$���� ��� �����$$��� �������"�� ����������������� �
4 2 ( * $���$$" ����$���������� ���� ��� ���������� $�� �������� �� �� ����$������� ��������9 ����� $�� � 6 *� "��������$��������� ��� ����������*�$� ����$�� �
4 4 0���� ���$$" �.���������$��������� ��� � �������1��"����1������$���� �� � ; ���$��� � *� "�����$������$ * $��� "�$$
0����
�-.�%��/������%������� �������! �/&
6 +��� � �/
/ #(������ � ����* ��� �������������� +� ��������<����: * ��� ����� �-
/ / 8��1��="� �����$�� �:� ������;���$������������� � ��;�������� ���������� ����$�� �-
/ ) 6 �� ���=������������� ����$ ���"� � ������ �:���$���������������$ �����$� �������1��� ������$����������� � �* ���������� ���"�� $ ��� "��1�-
1����
����.��������%���2�������"""""
6 +��� � �,% #
,% # '��$ � ������ ��������$�����$$��� �
������ ���� �������� ��$$�"��� * ��!
� ,% # , �$$����*����$�� ���� �� ��������$� ����
� ,% # # �$$�������1 ����������*����$"�����������������*
���*�$ � �
� ,% # / ��� ����$$�������$�
� ,% # ) '�*�$��$�����$��� ��� ���
� ,% #2 3� ���� ��������������� �������� ��������
� ,% # 4 '����$�<������� ����$���
� ,% # 5 �� �������� $ �������� �.$ * $��9 ��
3����
4�%��� ������5
6 +��� � �,% /
,% /6 �����$ ��� ��$$�"����������$ ��� ����
�$$��� ������� ����� ��� * �!
� ,% / , 3� ��� ���������
� ,% / # ��� �� * �
� ,% / / (� �����
� ,% / ) ���� �������$�� ���������
� ,% / 2 ������������ * �
� ,% / 4 '� �������� ����� � �������� ������� ����
� �����
67����
8��%����� ��9%�����:
�$"�������� �� !.-
� ���>� ��� ? ����� ;�������$1!
@�����A�� ����� ���������:���B-
@����* ������������� "���������$"��� �����������
@����$$�"� �������� �������:� (��A9�������$$������ �� ���� ��� � ���� -
� ��9 ��* ,� ������ ������� ������� � � � #��; ������ � �
���������* "���� ��� $��� ���� $�� /� $����� ����� ��
����;� � )��� � ����������1�����$���� � 2:����$�� ��
� ����-��*������*������������� ���� ������ �
����� C �;����0��$���(��������
66����
���%�2�� ��������� ����� ���������%�����&
=��$"���������$ � � ����� �$�� ��"�$$
� � ��$$������* � ����������
��$��� � ���� ������ ��������$���
�������$������������
��'����$�� ���������������������
�������"������� ��� ���9������$���
6$����
;� �����%�� ������� �.�2���2�������
� � � ���� �������$���"��$�� ������1 �
�� �" � ����$���"��������$� ����� �����!� � ����/C ��� �������$� �����������
� � ����)C ��� �������$� ������������* ����$����� �� "��1�
) 4��$$����������� ����$ �
8�$"�� ������� � �* ����$ ��. ����� �������� �6'D��0 � "��1
6'����
�/��2����%���������%%�%�/����<���������� �
������� ��
)%��$$����������� ��$��
E� ��������� ���������'� �����������
����� �" �����$ ;�$�� �*���F�'�9 ����
������� � �� ���'"��$���* � $� ��� * �� �� ���
�GH
,%%��$$����������� ��$��
� � �������$���C D'���$$�" �� �������� ���� �����
����� "��1� ���������� ��" �1 ��������
������� � �� ���'"��$���* � $� ��� * �� �� ���
6)����
8�%� �������=���!� ����������&
� �GH���� ���� ��� ���������� �G������#%%5
6*����
��������������������� �%��2������&
'����$ � � ����� �$���������"�$$�����* ��� ����������
I������* ����� ���������������
�������������� ������ ���� �����������$������� ��������'���� �J���$���
0����� ��� ��� ���$$ ��$�� ��� � ��� ���� ������ �� * ����
6,����
�������������2������ �%��2������&
F��� �$�*�$� ����$������9�����A������
�����$� �� ����A������� ���� ;���������� *�$� ����$������
���1��� ����� ��*��$��$ :� ���1� �-
���� ��������� � ���������� �#%%)
� ����)�� J����������� ���
60����
;�/������2���������������� �&
'� ��������� �����$ * $!� � * $,���� ������* �4��$$�������������� �� ��
� �����$���� ����
� F��� �$�� "��1����
� � * $#���� ������ " �,���4��$$�������������� �� ��
� �����$� $���� ��� ���'+� �������
� F��� �$�� "��1����
� � * $/���� ������ " �#%�%%%���,��$$�������������� � � ��
� �����$� $���� ��� ���'+� �������
� F��� �$�� "��1����
� � * $)���� ��������#%�%%%����������� �� ��
� �����$� $���� ��� ���'+� �������
� )���� �����:� � �����"�������"������� ��-K
� �����$� "��1����
61����
��� �������>���� ��� ���%��/������������
�F��:F��$��� �� �������� ����-"�$$� ������������ $ ��F���"��1"��
6 *� ">$ �����$ ���? ������ *����� �������
:���*��$��$ -
� ������������$������� ����"� � ���� �
������*
��;� ������ ���� �
63����
?���.��� ����� �� %���������5
� * $,� �����������* �������$���� ����
�� ������"�$$����$ ��� ������� �� ������� ���� ��"�����* � � ,#� +��� � ��
@������ �� ���������"�$������� ��'(���������� ��� ������ �
�6 ���������$���� :6��-"�$$� �� � ��������� ����� *� "
@��"�$$� �:���� ������� �-� ����� ������ ������$����
$7����
����%�� ��������������! �/ ��%��+"""""
�� ��'������$������� �$��" 1� �"�$$�1 �"� �������� ��E��������
'"�$$� ��� � ��(��
=�� ���������� +��� � ���'A���� �"�$$� ����
��* ��������� �"�����*�� ���� ����� ��������"��
$6����
����������� ���2��/�� ��������� �������
�� ��(����1 �� � � �� ��$����������� ��'(��
��'(������� ������ ����� �����
��(������� ��������� �����$�������"�� �� �� ������� ����� �����
$$����