Apri Web Application Security Project

Open Web Application Security Project ( OWASP ) è una comunità online che lavora sulla sicurezza delle applicazioni web . La sua filosofia è quella di essere sia libero che aperto a tutti. Il suo scopo è pubblicare raccomandazioni sulla sicurezza Web e offrire agli utenti Internet, agli amministratori e alle aziende metodi e strumenti di riferimento per controllare il livello di sicurezza delle proprie applicazioni Web .

La Fondazione OWASP è un ente di beneficenza registrato 501 (c) (3) negli Stati Uniti dal 2004 e registrato in Europa dagiugno 2011come organizzazione senza scopo di lucro che supporta infrastrutture e progetti OWASP. OWASP è oggi riconosciuta nel mondo della sicurezza dei sistemi informativi per il suo lavoro e le raccomandazioni relative alle applicazioni Web .

Storico

OWASP è stato creato da Mark Curphey il 9 settembre 2001. Jeff Williams è stato nominato presidente volontario dalla fine del 2003 ed è stato sostituito da Tobias Gondrom nelsettembre 2011.

Quattro mesi prima della pubblicazione del promemoria di Bill Gates "trustworthy computing" (che affrontava la necessità con la massima priorità di disporre di sistemi informatici sicuri e affidabili) la comunità OWASP era stata creata inSettembre 2001 con l'obiettivo di fornire elementi, informazioni e soluzioni agli sviluppatori per prendere decisioni in termini di protezione delle loro applicazioni Web.

Progetti

I progetti più famosi sono:

Top Ten OWASP

L'obiettivo di questo progetto è fornire un elenco dei dieci rischi più critici per la sicurezza delle applicazioni web. Questa classifica è oggi il punto di riferimento nel campo della sicurezza: è citata da molte organizzazioni di audit e sicurezza dei sistemi informativi ( DoD , PCI Security Standard). Nel 2013, OWASP ha aggiornato la sua classifica lanciando la Top Ten OWASP 2013 che mira a educare gli sviluppatori sulle più importanti vulnerabilità del web. La maggior parte dei controlli di sicurezza dei computer Web si basa su questa Top Ten.

I dieci rischi della Top Ten in ordine di pericolosità:

  1. The Injection: corrisponde al rischio di SQL injection , shell ...
  2. Broken Authentication and Session Management: corrisponde al rischio di rompere l'autenticazione e la gestione della sessione. Include in particolare il furto di sessioni o il recupero della password.
  3. Cross-Site Scripting: corrisponde a XSS o iniezione di contenuto in una pagina, che provoca azioni indesiderate su una pagina web. Le vulnerabilità XSS sono particolarmente prevalenti tra le vulnerabilità della sicurezza web.
  4. Riferimenti a oggetti diretti non sicuri: corrisponde alle vulnerabilità di sicurezza degli ID dati visualizzati. Richiede la configurazione del controllo dell'accesso ai dati.
  5. Errata configurazione di sicurezza: corrisponde a difetti di configurazione legati a server Web, applicazioni, database o framework .
  6. Esposizione ai dati sensibili: corrisponde a violazioni della sicurezza relative a dati sensibili come password, numeri di carte di pagamento o dati personali e alla necessità di crittografare questi dati.
  7. Controllo dell'accesso a livello di funzione mancante: corrisponde alle vulnerabilità di sicurezza relative all'accesso alle funzionalità.
  8. Cross-Site Request Forgery (CSRF): corrisponde a vizi legati all'esecuzione di richieste all'insaputa dell'utente.
  9. Utilizzo di componenti con vulnerabilità note: corrisponde alle vulnerabilità legate all'uso di componenti di terze parti.
  10. Reindirizzamenti e inoltri non convalidati: corrisponde a difetti legati a reindirizzamenti generici e inoltri di applicazioni. 

Un aggiornamento di questa top ten è stato pubblicato nel 2017, è disponibile sul sito web di Owasp.

WebGoat

È una piattaforma di formazione che consente a un utente di imparare a sfruttare le vulnerabilità più comuni in un'applicazione web.

WebScarab

È un proxy con molte funzioni utili quando si eseguono controlli di sicurezza. Oltre a offrire all'utente la possibilità di visualizzare le richieste scambiate con un Web server, è possibile modificare queste richieste, analizzare gli ID di sessione , ecc.

OWASP Testing Guide

È un documento di diverse centinaia di pagine destinato ad aiutare una persona a valutare il livello di sicurezza di un'applicazione web.

Guida alla revisione del codice OWASP

È un documento di diverse centinaia di pagine che presenta un metodo per rivedere il codice di sicurezza.

Inoltre, OWASP organizza regolarmente incontri in tutto il mondo. Durante questi incontri, relatori del mondo della sicurezza presentano un prodotto, un difetto, un progetto OWASP, ecc.

Note e riferimenti

  1. "  L'inizio di OWASP - Una storia vera  "
  2. "  OWASP Top Ten Project  "
  3. "  OWASP WebGoat  "
  4. "  OWASP WebScarab  "
  5. "  Guida al test OWASP  "
  6. "  Revisione del codice OWASP  "

link esterno