Το Open Web Application Security Project (OWASP) είναι ένα πρόγραμμα ,αναγνώρισης ευπαθειών και προστασίας ασφάλειας διαδικτυακών εφαρμογών
Σύμφωνα με το OWASP απώτερος σκοπός του προγράμματος είναι:
“Our mission is to make software security visible, so that individuals and organizations worldwide can make informed decisions about true software security risks.”
Το πρόγραμμα και η υποδομή του OWASP στηρίζεται από το μη κερδοσκοπικό ίδρυμα του OWASP και η επιτυχία του οφείλεται στην συμβολή οργανισμών, εκπαιδευτικών ιδρυμάτων και φυσικών πρόσωπων. Το σύνολο αυτό αποσκοπεί προς την δωρεάν ανάπτυξη άρθρων, μεθοδολογιών, εργαλείων και οδηγών.
Οι πιο διαδεδομένοι οδηγοί συμπεριλαμβάνουν τον επίσημο οδηγό του OWASP, τον οδηγό OWASP Code Review και τον πιο ευρέως υιοθετημένο OWASP Top 10.
Η λίστα με τις Top 10 αδυναμίες που ορίζει το community του OWASP περιλαμβάνει:
- Injection
- XSS
- Weak Authentication & Session Management
- Insecure Direct Object Reference
- Cross Site Request Forgery
- Security Misconfiguration
- Failure to Restrict URL Access
- Unvalidated Redirects & Forwards
- Insufficient Cryptographic Storage
- Insufficient Transport Layer Protection
Επιπρόσθετα το πρόγραμμα του OWASP περιλαμβάνει και ένα αριθμό δοκιμαστικών περιβαλλόντων όπου ο χρήστης μπορεί να δοκιμάσει και να εφαρμόσει τεχνικές εκμετάλλευσης αδυναμιών όπως αυτές αναφέρονται στους οδηγούς. Τα εργαλεία αυτά περιλαμβάνουν το δοκιμαστικό περιβάλλον WebGoat, WebScarab και τα OWASP .NET εργαλεία.
Καταλήγοντας, οφείλουμε να αναγνωρίσουμε την συμβολή του OWASP καθώς μέσω αυτού του community μπορούν χρήστες, προγραμματιστές και penetration testers να ανακαλύψουν τυχών ευπάθειες στις διαδικτυακές εφαρμογές μέσω διατυπωμένων οδηγών που έχουν σχεδιαστεί από την εμπειρία διαφόρων επαγγελματιών και διατίθενται χωρίς κόστος.
Το άρθρο έγραψε ο εξειδικευμένος συνεργάτης του SecNews: Ιωάννης Ιωαννίδης / NetSeqCy
secnews.gr/
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου