OWASP

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2018. április 22-én felülvizsgált verziótól ; az ellenőrzések 7 szerkesztést igényelnek .

Az Open Web Application Security Project (OWASP) egy nyílt forráskódú webalkalmazás-biztonsági projekt .

Az OWASP közösség vállalatokat, oktatási szervezeteket és magánszemélyeket foglal magában a világ minden tájáról. A közösség szabadon elérhető cikkek, oktatóanyagok, dokumentációk, eszközök és technológiák létrehozásán dolgozik.

Az OWASP Alapítvány egy 501(c)(3) jótékonysági szervezet , amely támogatja és kezeli az OWASP projekteket és infrastruktúrát. Emellett az Alapítvány 2011 júniusa óta non-profit szervezetként bejegyzett Európában.

Az OWASP nem áll kapcsolatban egyetlen technológiai vállalattal sem, de támogatja a biztonsági technológiák intelligens használatát. A projekt kerüli a hovatartozást, mert úgy véli, hogy a más szervezetek befolyásától való mentesség megkönnyítheti a pártatlan, hasznos és olcsó alkalmazásbiztonsági információk terjesztését.

Az OWASP közösség tagjai biztonságosabbá teszik az alkalmazásokat, figyelembe véve az emberi tényezőt és a technológiai szintet.

Az OWASP által legkeresettebb dokumentumok közé tartozik: Az OWASP Guide [1] , az OWASP Code Review Guide [2] és a széles körben használt OWASP Top 10 Draft [3] .

A leggyakoribb OWASP-eszközök a képzési környezet [4] , a WebScarab proxyanalizátor [5] és a .NET-eszközök [6] . Az OWASP körülbelül 190 helyi fejezetből [7] áll a világ minden tájáról, és több ezer közreműködőből áll a projekt levelezési listáin.

Az OWASP adott otthont az AppSec sorozatnak [8] , hogy tovább építse az alkalmazásbiztonsági közösséget.

Az OWASP szabványokat hoz létre, amelyek közül az első OWASP Application Security Verification Standard (ASVS) néven jelent meg. [9] Az OWASP ASVS elsődleges célja a piacon elérhető biztonsági alkalmazások körének és szigorának szabványosítása. Az OWASP ASVS célja az is volt, hogy kereskedelmileg sikeres nyílt szabványokat hozzon létre speciális webtechnológiákra szabva. A Web Application Collection már megjelent. Gyűjtemény a webszolgáltatásokhoz fejlesztés alatt.

Projektek

Az OWASP projektek olyan kapcsolódó feladatok összessége, amelyeknek meghatározott fejlesztési tervük és fejlesztési csapatuk van.

Az OWASP projektvezetők felelősek a projekt arculatának, sémájának és célkitűzéseinek meghatározásáért, valamint a projekt népszerűsítéséért és a csapat toborzásáért. Jelenleg több mint 130 aktív OWASP projekt van, és ezeknek a projekteknek a száma hetente növekszik. A projektek az OWASP egyik legnépszerűbb részlege, mivel szabadságot adnak az aktivistáknak különböző elméletek és ötletek tesztelésére az OWASP közösség szakmai támogatásával.

Minden, amit az OWASP készített: eszközök, dokumentáció és kódkönyvtárak, a következő kategóriákba sorolhatók.

A védelmek azok az eszközök és dokumentáció, amelyek segítségével védekezhetünk a támadások és a rendszerhibák kihasználása ellen.

Az észlelés azok az eszközök és dokumentáció, amelyek segítségével észlelhetők a támadások és a rendszerek hibái .

A ciklus azokat az eszközöket és dokumentációt jelenti, amelyek segítségével biztonsággal kapcsolatos munkákat lehet hozzáadni a szoftver életciklusához .

Néhány OWASP projekt

Az OWASP Application Security Verification Standard (ASVS) az alkalmazásbiztonsági auditok végrehajtásának szabványa.
Az OWASP fejlesztési útmutató gyakorlati tanácsokat ad, és kódpéldákat tartalmaz J2EE, ASP.NET és PHP nyelveken . A 2014-ben jelentősen átdolgozott Fejlesztési útmutató az alkalmazási réteg biztonsági problémáinak széles skáláját fedi le, az SQL-befecskendezéstől a modern kérdésekig, mint például az adathalászat , a hitelkártya-feldolgozás, a munkamenet -javítás, a webhelyek közötti kérelmek hamisítása , a konzisztencia és az adatvédelem.
Az OWASP tesztelési útmutató tartalmaz egy „legjobb gyakorlat” behatolási tesztelési keretrendszert , amelyet a felhasználók használhatnak szervezeteikben, valamint egy „alacsony szintű” penetrációs tesztelési útmutatót, amely leírja a webalkalmazások és webszolgáltatások leggyakoribb biztonsági problémáinak tesztelésének technikáit.
Az OWASP Version 1.1 Code Review Guide az OWASP által 2008-ban kiadott második legnagyobb példányszámban eladott nyomtatott kiadvány. Ugyanakkor az 1.0-s verzió már sok pozitív visszajelzést gyűjtött, és az egyik kulcsfontosságú termék lett, amely lehetővé teszi az OWASP számára a szoftverbiztonsági problémák kezelését.
OWASP ZAP Project : A Z-Attack Proxy egy könnyen használható beépített penetrációtesztelő eszköz a webalkalmazások sebezhetőségeinek felderítésére. Úgy tervezték, hogy széles körű biztonsági háttérrel rendelkező emberek használják, és etalon a penetrációs tesztelésben nem jártas fejlesztők és szolgáltatástesztelők számára.
OWASP Top 10 : A Top 10 projekt célja az alkalmazások biztonságával kapcsolatos tudatosság növelése a szervezeteket fenyegető legkritikusabb kockázatok azonosításával. A Top 10 projektre számos szabvány , eszköz és szervezet hivatkozik, köztük a MITER, a PCI DSS , a DISA, az FTC és még sok más.
OWASP szoftverteljességi modell : Ez a projekt hasznos keretet kíván nyújtani a szervezeteknek az alkalmazásbiztonsági stratégia kialakításához és megvalósításához, tekintettel a szervezet sajátos üzleti kockázataira.
A Webgoat egy köztudottan megbízhatatlan webalkalmazás , amelyet az OWASP készített a biztonságos kód írásának útmutatójaként. Az alkalmazáshoz egy tankönyv és egy sor különféle kurzus is tartozik, amelyek megtanítják a hallgatóknak, hogyan használhatják fel a sebezhetőségekre vonatkozó információkat biztonságos kód írásához.
OWASP Mantra Security Framework : Mozilla Firefox alapú hackereszközök , bővítmények és szkriptek gyűjteménye .
Számos más biztonsági eszköz és alkalmazás is elérhető az OWASP projektstruktúrában .

Történelem

Az OWASP-t 2001. szeptember 9-én alapította Mark Kerfi és Dennis Groves. 2003 végétől Jeff Williams az OWASP önkéntes elnökeként szolgált 2011 szeptemberéig. A jelenlegi elnök Michael Coates, az alelnök pedig Eoin Kiri . Az OWASP Foundation, az 501(c)(3) szervezet (az Egyesült Államokban) 2004-ben alakult, és OWASP projekteket és infrastruktúrát támogat. Az OWASP nem vezetőinek személyes céljait, hanem az ismeretterjesztést szolgálja.

Az OWASP vezetői felelősek a műszaki irányra, a projekt prioritásaira, az ütemezésekre és a termékkiadásokra vonatkozó döntések meghozataláért.

Általában az OWASP-vezetők az OWASP Alapítvány vezetőiként foghatók fel.

Az OWASP hivatalosan 8 főt foglalkoztat, ami azt jelenti, hogy a projekt rendkívül alacsony költségeit fedezi a konferenciák, a vállalati szponzorok és a reklámozás. Az OWASP éves támogatást nyújt vállalati és egyéni tagoknak ígéretes biztonsági alkalmazások fejlesztésére.

2011 óta az OWASP non-profit szervezetként van bejegyezve Belgiumban OWASP Europe VZW néven.

Díjak

2014 – SC Magazine Awards [10] .

Lásd még

Jegyzetek