Wazzup, OWASP

Open Web Application Security Project – открытый проект обеспечения безопасности веб-приложений. В него входит 100 с лишним других проектов, связанных с документацией, методологиями, инструментами, и библиотеками кода для обнаружения и защиты от атак и использования недостатков приложений. Кратко остановимся на самых интересных.

OWASP Top 10

Известно что, 99% атак на веб-приложения происходят через десяток стандартных уязвимостей. Список самых опасных по версии OWASP:

  1. Внедрение кода
  2. Недостатки аутентификации
  3. Разглашение конфиденциальных данных
  4. Внешние сущности XML
  5. Недостатки контроля доступа
  6. Некорректная настройка параметров безопасности
  7. Межсайтовое выполнение сценариев (XSS)
  8. Небезопасная десериализация
  9. Использование компонентов с известными уязвимостями
  10. Недостатки журналирования и мониторинга

Рейтинг обновляется раз в три года, в 2020 г. должен выйти обновленный. OWASP не просто составляет рейтинг, но и приводит примеры сценариев атак и рекомендации по их предотвращению.

Чтобы не заниматься перепечаткой привожу ссылку на брошюру на русском языке.

Страница проекта OWASP Top10
Страница репозитория OWASP Top10

OWASP Web Security Testing Guide

Web Security Testing Guide (WSTG) – руководство по тестированию веб-безопасности для разработчиков веб-приложений и специалистов по информационной безопасности.

Включает в себя 500 страниц «best practices» тестирования проникновений и наиболее распространенных проблем с безопасностью в веб-приложениях и веб-сервисах.

Страница проекта WSTG
Репозиторий WSTG
Web Security Testing Guide v. 4.1 pdf
Краудсорсинговый перевод, включая русский

OWASP Cheat Sheet Series

Cheat Sheet Series – серия шпаргалок по конкретным темам безопасности приложений.

Например, при вопросах с аутентификацией можно открыть соответствующую шпаргалку и получить ответы на большинство из них. Приводятся требования к учетным записям, надежности паролей, рекомендуемые библиотеки, используемые протоколы, CAPTCHA и прочее.

OWASP Cheat Sheet Series
Официальная страница проекта
Страница репозитория

OWASP Zed Attack Proxy (ZAP)

OWASP ZAP – инструмент для поиска уязвимостей в web-приложениях и тестирования на проникновие.

У OWASP ZAP много возможностей, о них расскажу в отдельной заметке. В самом простом случае достаточно указать адрес сайта или веб-приложения и запустить сканирование. Программа проанализирует его и построит отчет об уязвимостях с указанием критичности и рекомендациями к устранению.

Страница проекта OWASP ZAP
Официальный сайт OWASP ZAP
Руководство по началу работы
Страница с документацией (PDF)
Automate Security Testing with ZAP and GitHub Actions
Серия коротких видеороликов по функционалу ZAP

Полезные ссылки

OWASP на Wikipedia
OWASP TOP-10: практический взгляд на безопасность веб-приложений

На этом всё. Но вы можете помочь проекту. Даже небольшая сумма поможет нам писать больше полезных статей.

А если статья помогла или понравилась, пожалуйста поделитесь ей в соцсетях.