OWASP

Open Web Application Security Project (OWASP) er et open source -webapplikationssikkerhedsprojekt .

OWASP-fællesskabet omfatter virksomheder, uddannelsesorganisationer og enkeltpersoner fra hele verden. Fællesskabet arbejder på at skabe artikler, tutorials, dokumentation, værktøjer og teknologier, der er frit tilgængelige.

OWASP Foundation er en 501(c)(3) organisation velgørende organisation , der støtter og administrerer OWASP-projekter og -infrastruktur. Derudover har fonden været registreret som en non-profit organisation i Europa siden juni 2011.

OWASP er ikke tilknyttet nogen teknologivirksomhed, men det understøtter smart brug af sikkerhedsteknologier. Projektet undgår tilknytning, fordi det mener, at frihed fra indflydelse fra andre organisationer kan lette udbredelsen af ​​upartisk, nyttig og billig applikationssikkerhedsinformation.

Medlemmer af OWASP-fællesskabet gør applikationer mere sikre i betragtning af den menneskelige faktor og teknologiske niveau.

De mest efterspurgte dokumenter udgivet af OWASP inkluderer: OWASP Guide [1] , OWASP Code Review Guide [2] og det meget brugte OWASP Top 10 Draft [3] .

De mest almindelige OWASP-værktøjer er træningsmiljøet [4] , WebScarab proxy-analysator [5] og .NET-værktøjer [6] . OWASP består af cirka 190 lokale afdelinger [7] rundt om i verden og tusindvis af bidragydere på projektets mailinglister.

OWASP var vært for AppSec-serien [8] for yderligere at opbygge applikationssikkerhedsfællesskabet.

OWASP skaber standarder, hvoraf den første blev offentliggjort under navnet OWASP Application Security Verification Standard (ASVS)). [9] Det primære mål med OWASP ASVS er at standardisere omfanget og strenghedsniveauet for sikkerhedsapplikationer, der er tilgængelige på markedet. Målet med OWASP ASVS var også at skabe et sæt kommercielt succesfulde åbne standarder skræddersyet til specialiserede webteknologier. Webapplikationssamlingen er allerede blevet offentliggjort. Samling til Web Services under udvikling.

Projekter

OWASP-projekter  er et sæt af relaterede opgaver, der har en specifik udviklingsplan og udviklingsteam.

OWASP-projektledere er ansvarlige for at definere billedet, skemaet og målene for projektet, samt at promovere projektet og rekruttere teamet. Der er i øjeblikket over 130 aktive OWASP-projekter, og antallet af disse projekter vokser på ugentlig basis. Projekter er en af ​​de mest populære afdelinger af OWASP, da de giver aktivister frihed til at teste forskellige teorier og ideer med professionel støtte fra OWASP-fællesskabet.

Alt skabt af OWASP: værktøjer, dokumentation og kodebiblioteker er opdelt i følgende kategorier.

Forsvar er værktøjer og dokumentation, der kan bruges til at forsvare sig mod angreb og udnyttelse af systemfejl.

Detektion er værktøjerne og dokumentationen, der kan bruges til at opdage angreb og fejl i systemer.

Cyklussen er de værktøjer og dokumentation, der kan bruges til at tilføje sikkerhedsrelateret arbejde til softwarens livscyklus .

Nogle af OWASP-projekterne

• OWASP Application Security Verification Standard (ASVS)  er en standard til udførelse af applikationssikkerhedsaudits.
• OWASP Development Guide giver praktiske råd og inkluderer kodeeksempler i J2EE, ASP.NET og PHP . Udviklingsvejledningen, der blev gennemgået revideret i 2014, dækker en bred vifte af sikkerhedsproblemer i applikationslag, fra SQL-injektion til moderne problemer såsom phishing , kreditkortbehandling, sessionsfixing, forfalskning af anmodninger på tværs af websteder , konsistens og privatliv.
• OWASP Testing Guide inkluderer en "best practice" penetrationstestramme , som brugere kan bruge i deres organisationer og en "low-level" penetration testguide, der beskriver teknikker til test af de mest almindelige sikkerhedsproblemer i webapplikationer og webtjenester.
• OWASP Version 1.1 Code Review Guide er den næststørst sælgende trykte publikation udgivet af OWASP i 2008. Samtidig har version 1.0 allerede indsamlet en masse positiv feedback og er blevet et af nøgleprodukterne, der gør det muligt for OWASP at håndtere softwaresikkerhedsproblemer.
• OWASP ZAP-projekt : Z-Attack Proxy er et brugervenligt indbygget penetrationstestværktøj til at finde webapplikationssårbarheder. Det er designet til at blive brugt af folk med en bred vifte af sikkerhedsbaggrunde og er et benchmark for udviklere og funktionstestere, som ikke har erfaring med penetrationstest.
• OWASP Top 10 : Målet med Top 10-projektet er at øge bevidstheden om applikationssikkerhed ved at identificere de mest kritiske risici, der truer organisationer. Top 10-projektet er refereret af mange standarder , værktøjer og organisationer, herunder MITER, PCI DSS , DISA, FTC og mange flere.
• OWASP Software Completeness Model : Dette projekt søger at give en nyttig ramme til at hjælpe organisationer med at formulere og implementere en applikationssikkerhedsstrategi, givet de specifikke forretningsrisici, som en organisation står over for.
• Webgoat er en notorisk utroværdig webapplikation skabt af OWASP som en guide til at skrive sikker kode. Applikationen leveres med en lærebog og et sæt forskellige kurser, der lærer eleverne at bruge information om sårbarheder til at skrive sikker kode.
• OWASP Mantra Security Framework : En samling af hackingværktøjer , udvidelser og scripts baseret på Mozilla Firefox .
• Mange andre sikkerhedsværktøjer og -applikationer er tilgængelige i OWASP-projektstrukturen .

Historie

OWASP blev grundlagt den 9. september 2001 af Mark Kerfi og Dennis Groves. Fra slutningen af ​​2003 fungerede Jeff Williams som OWASP Volunteer Chair indtil september 2011. Den nuværende formand er Michael Coates og næstformand er Eoin Kiri . OWASP Foundation, en 501(c)(3) -organisation (i USA) blev etableret i 2004 og understøtter OWASP-projekter og -infrastruktur. OWASP tjener ikke sine lederes personlige mål, men formidlingen af ​​viden.

OWASP-ledere er ansvarlige for at træffe beslutninger om teknisk retning, projektprioriteter, tidsplaner og produktudgivelser.

Generelt kan OWASP-ledere opfattes som ledelsen af ​​OWASP Foundation.

OWASP beskæftiger officielt 8 personer, hvilket betyder, at projektet har ekstremt lave omkostninger dækket af konferencer, firmasponsorer og annoncering. OWASP uddeler årlige tilskud til virksomheder og individuelle medlemmer til udvikling af lovende sikkerhedsapplikationer.

Siden 2011 har OWASP været registreret som en non-profit organisation i Belgien under navnet OWASP Europe VZW.

Priser

• 2014 - SC Magazine Priser [10] .

Se også

• Computer sikkerhed
• Kali Linux
• sikkerhedsfejl

Noter

1. ↑ OWASP Guide Project - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 7. maj 2013. (ubestemt)
2. ↑ Kategori:OWASP Code Review Project - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 1. maj 2013. (ubestemt)
3. ↑ http://www.owasp.org/index.php/OWASP_Top_Ten_Project Arkiveret 7. maj 2013 på Wayback Machine OWASP
4. ↑ http://www.owasp.org/index.php/OWASP_WebGoat_Project Arkiveret 30. april 2013 på Wayback Machine WebGoat
5. ↑ Kategori:OWASP WebScarab Project - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 7. maj 2013. (ubestemt)
6. ↑ http://www.owasp.org/index.php/Category:OWASP_.NET_Project Arkiveret 26. april 2013 på OWASP Wayback Machine
7. ↑ OWASP Kapitel - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 26. april 2013. (ubestemt)
8. ↑ Kategori:OWASP AppSec Conference - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 26. april 2013. (ubestemt)
9. ↑ Kategori:OWASP Application Security Verification Standard Project - OWASP . Hentet 25. maj 2013. Arkiveret fra originalen 10. maj 2013. (ubestemt)
10. ↑ Vindere | SC Magazine Awards

Links

• OWASP projekt
• Side af den russiske afdeling af OWASP
• En artikel om Top 10-projektet
• OWASP Application Security Verification Standard (ASVS)
• Skrivning af sikker kode (MS Press) ISBN 0-7356-1722-8
• Trusler og modforanstaltninger (MSDN)
• Oversættelse af OWASP-metoden til russisk.
• Oversættelse og tilpasning af OWASP Mobile Top 10 til russisk.