Cesko.wiki
Registrovat

OWASP

Technology
12 hours ago
8
4
2
Avatar
Author
Albert Flores

OWASP (Open Web Application Security Project) je projekt a komunita zabývající se bezpečností webových aplikací zahrnujíce v to rozměry lidské, procesní a technologické.

OWASP zahájili dne 9. září 2001 Mark Curphey a Dennis Groves.

OWASP Foundation jako organizace v USA byla založena roku 2004 s cílem podporovat infrastrukturu OWASP a projektů. OWASP je především o sdílení znalostí v oblasti bezpečnosti webových aplikací. +more OWASP má pouze 3 zaměstnance a funguje s velmi nízkými náklady, které jsou hrazeny z konferenčních poplatků, firemního sponzorství, bannerové reklamy, popř. v rámci některých projektů využívá různé granty.

OWASP - Czech Republic je česká komunita hlásící se k OWASP, mezi jejíž hlavní cíle patří osvěta v oblasti bezpečnosti webových aplikací.

Mezi nejúspěšnější dokumenty (projekty) OWASP patří OWASP Guide a široce přijímaný dokument OWASP Top 10. K nejvíce využívaným OWASP nástrojům se řadí WebGoat (výcvikové prostředí), pro penetrační testování určené proxy WebScarab a další, např. +more . NET nástroje. Součástí OWASP je přibližně sto lokálních poboček a několik tisíc účastníků v projektu "mailing list" (e-mailová konference). OWASP organizuje sérii konferencí AppSec. OWASP se podílí také na rozvoji norem - v prosinci vydal první standard OWASP Application Security Verification Standard (ASVS). Úkolem OWASP ASVS je normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování. Cílem je vytvořit soubor volně šiřitelných standardů, které by byly "na míru šité" konkrétní technologii.

Projekty

OWASP projekty jsou obecně rozděleny do dvou hlavních kategorií - vývojářské projekty a dokumentační projekty.

Příklady vývojářských projektů

WebScarab - aplikace pro testování zranitelnosti webových aplikací. * Validation Filters - (Stinger pro J2EE, filtry pro PHP) filtry, které mohou vývojáři využít ve svých aplikacích. +more * WebGoat - uměle děravá webová aplikace, simulátor bezpečnostních chyb, na níž si lze vyzkoušet jejich projevy v bezpečném právním prostředí. * DotNet - různé nástroje pro zabezpečení . NET aplikací. * Enigform - rozšíření browseru Mozilla Firefox. Zaměřen na mod_openpgp a Secure Session Management. * ESAPI - OWASP Enterprise Security API (ESAPI) Project - soubor metod zabezpečení, která jsou potřebná pro vybudování bezpečné webové aplikace. * AntiSamy - nástroj pro ověřování výstupního a vstupního kódu.

Příklady dokumentačních projektů

OWASP Application Security Verification Standard (ASVS) - normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování. * The Guide - podrobné pokyny pro zabezpečení webových aplikací. +more * Top Ten - dokument, který pomáhá zaměřit se na nejkritičtější problémy. * Metrics - projekt, který definuje metriky zabezpečení webových aplikací. * Legal - projekt, jenž pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách. * Testing Guide - průvodce zaměřený na testování zabezpečení webových aplikací. * ISO 17799 - podklady pro organizaci realizující ISO 17799. * AppSec FAQ - často kladené otázky a odpovědi na poli bezpečnosti webových aplikací.

OWASP Top Ten Project

Obecné shrnutí

Cíl projektu: OWASP Top Ten je dokumentem, který poskytuje povědomí o zabezpečení webových aplikací. OWASP Top Ten představuje konsensus mnoha odborníků o nejkritičtějších bezpečnostních chybách webových aplikací.

Licence: Creative Commons Attribution Share Alike 3,0

Vedoucí projektu: Dave Wichers

Další hlavní přispěvatelé projektu: Jeff Williams, Andrew van der Stock

Vydání OWASP Top 10

OWASP Top 10 2017

Roku 2017 byla určena následující nejzávažnější rizika webových aplikací:

* A1: Injection * A2: Broken Authentication * A3: Sensitive Data Exposure * A4: XML External Entities (XXE) * A5: Broken Access Control * A6: Security Misconfiguration * A7: Cross-Site Scripting (XSS) * A8: Insecure Deserialization * A9: Using Components with Known Vulnerabilities * A10: Insufficient Logging&Monitoring

OWASP Top 10 2013

Roku 2013 byla určena následující nejzávažnější rizika webových aplikací:

* A1: Injection * A2: Broken Authentication and Session Management * A3: Cross-Site Scripting (XSS) * A4: Insecure Direct Object References * A5: Security Misconfiguration * A6: Sensitive Data Exposure * A7: Missing Function Level Access Control * A8: Cross-Site Request Forgery (CSRF) * A9: Using Known Vulnerable Components * A10: Unvalidated Redirects and Forwards

OWASP Top 10 2010

Roku 2010 byla určena následující nejzávažnější rizika webových aplikací:

* A1: Injection * A2: Cross-Site Scripting (XSS) * A3: Broken Authentication and Session Management * A4: Insecure Direct Object References * A5: Cross-Site Request Forgery (CSRF) * A6: Security Misconfiguration * A7: Insecure Cryptographic Storage * A8: Failure to Restrict URL Access * A9: Insufficient Transport Layer Protection * A10: Unvalidated Redirects and Forwards

OWASP Top 10 2007

Roku 2007 byla určena následující nejzávažnější rizika webových aplikací:

* A1 - Cross Site Scripting (XSS) * A2 - Injection Flaws * A3 - Malicious File Execution * A4 - Insecure Direct Object Reference * A5 - Cross Site Request Forgery (CSRF) * A6 - Information Leakage and Improper Error Handling * A7 - Broken Authentication and Session Management * A8 - Insecure Cryptographic Storage * A9 - Insecure Communications * A10 - Failure to Restrict URL Access

OWASP Top 10 2004

Roku 2004 byla určena následující nejzávažnější rizika webových aplikací:

* A1 2004 Unvalidated Input * A2 2004 Broken Access Control * A3 2004 Broken Authentication and Session Management * A4 2004 Cross Site Scripting * A5 2004 Buffer Overflow * A6 2004 Injection Flaws * A7 2004 Improper Error Handling * A8 2004 Insecure Storage * A9 2004 Application Denial of Service * A10 2004 Insecure Configuration Managemen

OWASP Top 10 2003

Nebyl vydán seznam. Projekt byl zahájen.

Important

projekt
komunita
2001
Mark Curphey
Dennis Groves
Spojené státy americké
2004
3
Penetrační test
webová aplikace
Cross-site request forgery
Kategorie:Počítačová bezpečnost

Externí odkazy

[url=http://www. owasp. +moreorg/]OWASP Project[/url] * [url=http://www. microsoft. com/learning/en/us/Books/5957. aspx]Writing Secure Code (MS Press)[/url]. * [url=http://msdn. microsoft. com/library/default. asp. url=/library/en-us/dnnetsec/html/ThreatCounter. asp]Threats and Countermeasures (MSDN)[/url] * [url=http://www. root. cz/serialy/owasp-open-web-application-security-project/]Seriál OWASP - Open Web Application Security Project (Petr Závodský) - Root. cz[/url] * [url=https://lists. owasp. org/mailman/listinfo/Owasp-topten]Emailová konference Owasp-topten[/url] * [url=https://web. archive. org/web/20121204000414/http://owasptop10. googlecode. com/files/OWASP%20Top%2010%20-%202010. pdf]OWASP Top 10 - 2010[/url] * [url=https://web. archive. org/web/20100828094855/http://owasptop10. googlecode. com/files/OWASP_Top_10_-_2010%20Presentation. pptx]OWASP Top 10 - 2010 presentation[/url] * [url=http://www. owasp. org/index. php/Top_10_2007]OWASP Top 10 - 2007 Release - Wiki Version[/url] * [url=http://www. owasp. org/index. php/Top_10_2004]OWASP Top 10 - 2004 Release - Wiki Version[/url] * [url=https://www. skenerwebu. cz/cs/]Skener webu - skener zranitelností (OWASP Top 10) webu[/url] - zdarma poskytuje správce české domény . CZ - CZ. NIC, z. s. p. o.

Kategorie:Počítačová bezpečnost

5 min read
Share this post:
Like it 8

Leave a Comment

Please, enter your name.
Please, provide a valid email address.
Please, enter your comment.
Enjoy this post? Join Cesko.wiki
Don’t forget to share it
Top