Open Web Application Security Project ( OWASP ) è una comunità online che lavora sulla sicurezza delle applicazioni web . La sua filosofia è quella di essere sia libero che aperto a tutti. Il suo scopo è pubblicare raccomandazioni sulla sicurezza Web e offrire agli utenti Internet, agli amministratori e alle aziende metodi e strumenti di riferimento per controllare il livello di sicurezza delle proprie applicazioni Web .
La Fondazione OWASP è un ente di beneficenza registrato 501 (c) (3) negli Stati Uniti dal 2004 e registrato in Europa dagiugno 2011come organizzazione senza scopo di lucro che supporta infrastrutture e progetti OWASP. OWASP è oggi riconosciuta nel mondo della sicurezza dei sistemi informativi per il suo lavoro e le raccomandazioni relative alle applicazioni Web .
OWASP è stato creato da Mark Curphey il 9 settembre 2001. Jeff Williams è stato nominato presidente volontario dalla fine del 2003 ed è stato sostituito da Tobias Gondrom nelsettembre 2011.
Quattro mesi prima della pubblicazione del promemoria di Bill Gates "trustworthy computing" (che affrontava la necessità con la massima priorità di disporre di sistemi informatici sicuri e affidabili) la comunità OWASP era stata creata inSettembre 2001 con l'obiettivo di fornire elementi, informazioni e soluzioni agli sviluppatori per prendere decisioni in termini di protezione delle loro applicazioni Web.
I progetti più famosi sono:
L'obiettivo di questo progetto è fornire un elenco dei dieci rischi più critici per la sicurezza delle applicazioni web. Questa classifica è oggi il punto di riferimento nel campo della sicurezza: è citata da molte organizzazioni di audit e sicurezza dei sistemi informativi ( DoD , PCI Security Standard). Nel 2013, OWASP ha aggiornato la sua classifica lanciando la Top Ten OWASP 2013 che mira a educare gli sviluppatori sulle più importanti vulnerabilità del web. La maggior parte dei controlli di sicurezza dei computer Web si basa su questa Top Ten.
I dieci rischi della Top Ten in ordine di pericolosità:
Un aggiornamento di questa top ten è stato pubblicato nel 2017, è disponibile sul sito web di Owasp.
È una piattaforma di formazione che consente a un utente di imparare a sfruttare le vulnerabilità più comuni in un'applicazione web.
È un proxy con molte funzioni utili quando si eseguono controlli di sicurezza. Oltre a offrire all'utente la possibilità di visualizzare le richieste scambiate con un Web server, è possibile modificare queste richieste, analizzare gli ID di sessione , ecc.
È un documento di diverse centinaia di pagine destinato ad aiutare una persona a valutare il livello di sicurezza di un'applicazione web.
È un documento di diverse centinaia di pagine che presenta un metodo per rivedere il codice di sicurezza.
Inoltre, OWASP organizza regolarmente incontri in tutto il mondo. Durante questi incontri, relatori del mondo della sicurezza presentano un prodotto, un difetto, un progetto OWASP, ecc.