OWASP
| OWASP | |
|---|---|
 | |
| Zakladatel | Mark S. Curphey |
| Vznik | 2001 |
| Právní forma | Delaware corporation |
| Sídlo | Wilmington, Spojené státy americké |
| Souřadnice | 39°44′46,83″ s. š., 75°33′3,01″ z. d. |
| Počet zaměstnanců | 8 |
| Oficiální web | owasp |
 | |
 multimediální obsah na Commons | |
| Některá data mohou pocházet z datové položky. | |
OWASP (Open Web Application Security Project) je projekt a komunita zabývající se bezpečností webových aplikací zahrnujíce v to rozměry lidské, procesní a technologické.
OWASP zahájili dne 9. září 2001 Mark Curphey a Dennis Groves.
OWASP Foundation jako organizace v USA byla založena roku 2004 s cílem podporovat infrastrukturu OWASP a projektů. OWASP je především o sdílení znalostí v oblasti bezpečnosti webových aplikací. OWASP má pouze 3 zaměstnance a funguje s velmi nízkými náklady, které jsou hrazeny z konferenčních poplatků, firemního sponzorství, bannerové reklamy, popř. v rámci některých projektů využívá různé granty.
OWASP - Czech Republic je česká komunita hlásící se k OWASP, mezi jejíž hlavní cíle patří osvěta v oblasti bezpečnosti webových aplikací.
Mezi nejúspěšnější dokumenty (projekty) OWASP patří OWASP Guide a široce přijímaný dokument OWASP Top 10. K nejvíce využívaným OWASP nástrojům se řadí WebGoat (výcvikové prostředí), pro penetrační testování určené proxy WebScarab a další, např. .NET nástroje. Součástí OWASP je přibližně sto lokálních poboček a několik tisíc účastníků v projektu "mailing list" (e-mailová konference). OWASP organizuje sérii konferencí AppSec. OWASP se podílí také na rozvoji norem - v prosinci vydal první standard OWASP Application Security Verification Standard (ASVS). Úkolem OWASP ASVS je normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování. Cílem je vytvořit soubor volně šiřitelných standardů, které by byly "na míru šité" konkrétní technologii.
Projekty
[editovat | editovat zdroj]OWASP projekty jsou obecně rozděleny do dvou hlavních kategorií - vývojářské projekty a dokumentační projekty.
Příklady vývojářských projektů
[editovat | editovat zdroj]- WebScarab - aplikace pro testování zranitelnosti webových aplikací.
- Validation Filters - (Stinger pro J2EE, filtry pro PHP) filtry, které mohou vývojáři využít ve svých aplikacích.
- WebGoat - uměle děravá webová aplikace, simulátor bezpečnostních chyb, na níž si lze vyzkoušet jejich projevy v bezpečném právním prostředí.
- DotNet - různé nástroje pro zabezpečení .NET aplikací.
- Enigform - rozšíření browseru Mozilla Firefox. Zaměřen na mod_openpgp a Secure Session Management.
- ESAPI - OWASP Enterprise Security API (ESAPI) Project - soubor metod zabezpečení, která jsou potřebná pro vybudování bezpečné webové aplikace.
- AntiSamy - nástroj pro ověřování výstupního a vstupního kódu.
Příklady dokumentačních projektů
[editovat | editovat zdroj]- OWASP Application Security Verification Standard (ASVS) - normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování.
- The Guide - podrobné pokyny pro zabezpečení webových aplikací.
- Top Ten - dokument, který pomáhá zaměřit se na nejkritičtější problémy.
- Metrics - projekt, který definuje metriky zabezpečení webových aplikací.
- Legal - projekt, jenž pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách.
- Testing Guide - průvodce zaměřený na testování zabezpečení webových aplikací.
- ISO 17799 - podklady pro organizaci realizující ISO 17799.
- AppSec FAQ - často kladené otázky a odpovědi na poli bezpečnosti webových aplikací.
OWASP Top Ten Project
[editovat | editovat zdroj]Obecné shrnutí
[editovat | editovat zdroj]Cíl projektu: OWASP Top Ten je dokumentem, který poskytuje povědomí o zabezpečení webových aplikací. OWASP Top Ten představuje konsensus mnoha odborníků o nejkritičtějších bezpečnostních chybách webových aplikací.
Licence: Creative Commons Attribution Share Alike 3,0
Vedoucí projektu: Dave Wichers
Další hlavní přispěvatelé projektu: Jeff Williams, Andrew van der Stock
Vydání OWASP Top 10
[editovat | editovat zdroj]OWASP Top 10 2017
[editovat | editovat zdroj]Roku 2017 byla určena následující nejzávažnější rizika webových aplikací:
- A1: Injection
- A2: Broken Authentication
- A3: Sensitive Data Exposure
- A4: XML External Entities (XXE)
- A5: Broken Access Control
- A6: Security Misconfiguration
- A7: Cross-Site Scripting (XSS)
- A8: Insecure Deserialization
- A9: Using Components with Known Vulnerabilities
- A10: Insufficient Logging&Monitoring
OWASP Top 10 2013
[editovat | editovat zdroj]Roku 2013 byla určena následující nejzávažnější rizika webových aplikací:
- A1: Injection
- A2: Broken Authentication and Session Management
- A3: Cross-Site Scripting (XSS)
- A4: Insecure Direct Object References
- A5: Security Misconfiguration
- A6: Sensitive Data Exposure
- A7: Missing Function Level Access Control
- A8: Cross-Site Request Forgery (CSRF)
- A9: Using Known Vulnerable Components
- A10: Unvalidated Redirects and Forwards
OWASP Top 10 2010
[editovat | editovat zdroj]Roku 2010 byla určena následující nejzávažnější rizika webových aplikací:
- A1: Injection
- A2: Cross-Site Scripting (XSS)
- A3: Broken Authentication and Session Management
- A4: Insecure Direct Object References
- A5: Cross-Site Request Forgery (CSRF)
- A6: Security Misconfiguration
- A7: Insecure Cryptographic Storage
- A8: Failure to Restrict URL Access
- A9: Insufficient Transport Layer Protection
- A10: Unvalidated Redirects and Forwards
OWASP Top 10 2007
[editovat | editovat zdroj]Roku 2007 byla určena následující nejzávažnější rizika webových aplikací:
- A1 - Cross Site Scripting (XSS)
- A2 - Injection Flaws
- A3 - Malicious File Execution
- A4 - Insecure Direct Object Reference
- A5 - Cross Site Request Forgery (CSRF)
- A6 - Information Leakage and Improper Error Handling
- A7 - Broken Authentication and Session Management
- A8 - Insecure Cryptographic Storage
- A9 - Insecure Communications
- A10 - Failure to Restrict URL Access
OWASP Top 10 2004
[editovat | editovat zdroj]Roku 2004 byla určena následující nejzávažnější rizika webových aplikací:
- A1 2004 Unvalidated Input
- A2 2004 Broken Access Control
- A3 2004 Broken Authentication and Session Management
- A4 2004 Cross Site Scripting
- A5 2004 Buffer Overflow
- A6 2004 Injection Flaws
- A7 2004 Improper Error Handling
- A8 2004 Insecure Storage
- A9 2004 Application Denial of Service
- A10 2004 Insecure Configuration Managemen
OWASP Top 10 2003
[editovat | editovat zdroj]Nebyl vydán seznam. Projekt byl zahájen.
Externí odkazy
[editovat | editovat zdroj]
Obrázky, zvuky či videa k tématu OWASP na Wikimedia Commons - OWASP Project
- Writing Secure Code (MS Press). ISBN 0-7356-1722-8
- Threats and Countermeasures (MSDN)
- Seriál OWASP – Open Web Application Security Project (Petr Závodský) - Root.cz
- Emailová konference Owasp-topten
- OWASP Top 10 - 2010
- OWASP Top 10 - 2010 presentation
- OWASP Top 10 - 2007 Release - Wiki Version
- OWASP Top 10 - 2004 Release - Wiki Version
- Skener webu - skener zranitelností (OWASP Top 10) webu - zdarma poskytuje správce české domény .CZ - CZ.NIC, z. s. p. o.
