Wazzup, OWASP

owasp

Open Web Application Security Project – ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΉ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ обСспСчСния бСзопасности Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π’ Π½Π΅Π³ΠΎ Π²Ρ…ΠΎΠ΄ΠΈΡ‚ 100 с лишним Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ΠΎΠ², связанных с Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΠ΅ΠΉ, мСтодологиями, инструмСнтами, ΠΈ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ°ΠΌΠΈ ΠΊΠΎΠ΄Π° для обнаруТСния ΠΈ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ Π°Ρ‚Π°ΠΊ ΠΈ использования нСдостатков ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. ΠšΡ€Π°Ρ‚ΠΊΠΎ остановимся Π½Π° самых интСрСсных.

OWASP Top 10

Π˜Π·Π²Π΅ΡΡ‚Π½ΠΎ Ρ‡Ρ‚ΠΎ, 99% Π°Ρ‚Π°ΠΊ Π½Π° Π²Π΅Π±-прилоТСния происходят Ρ‡Π΅Ρ€Π΅Π· дСсяток стандартных уязвимостСй. Бписок самых опасных ΠΏΠΎ вСрсии OWASP:

  1. Π’Π½Π΅Π΄Ρ€Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ΄Π°
  2. НСдостатки Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ
  3. РазглашСниС ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…
  4. Π’Π½Π΅ΡˆΠ½ΠΈΠ΅ сущности XML
  5. НСдостатки контроля доступа
  6. НСкоррСктная настройка ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² бСзопасности
  7. ΠœΠ΅ΠΆΡΠ°ΠΉΡ‚ΠΎΠ²ΠΎΠ΅ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ сцСнариСв (XSS)
  8. НСбСзопасная дСсСриализация
  9. ИспользованиС ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ΠΎΠ² с извСстными уязвимостями
  10. НСдостатки Турналирования ΠΈ ΠΌΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³Π°

Π Π΅ΠΉΡ‚ΠΈΠ½Π³ обновляСтся Ρ€Π°Π· Π² Ρ‚Ρ€ΠΈ Π³ΠΎΠ΄Π°, Π² 2020 Π³. Π΄ΠΎΠ»ΠΆΠ΅Π½ Π²Ρ‹ΠΉΡ‚ΠΈ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Π½Ρ‹ΠΉ. OWASP Π½Π΅ просто составляСт Ρ€Π΅ΠΉΡ‚ΠΈΠ½Π³, Π½ΠΎ ΠΈ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρ‹ сцСнариСв Π°Ρ‚Π°ΠΊ ΠΈ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄Π°Ρ†ΠΈΠΈ ΠΏΠΎ ΠΈΡ… ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π΅Π½ΠΈΡŽ.

Π§Ρ‚ΠΎΠ±Ρ‹ Π½Π΅ Π·Π°Π½ΠΈΠΌΠ°Ρ‚ΡŒΡΡ ΠΏΠ΅Ρ€Π΅ΠΏΠ΅Ρ‡Π°Ρ‚ΠΊΠΎΠΉ ΠΏΡ€ΠΈΠ²ΠΎΠΆΡƒ ссылку Π½Π° Π±Ρ€ΠΎΡˆΡŽΡ€Ρƒ Π½Π° русском языкС.

Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° OWASP Top10
Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° рСпозитория OWASP Top10

OWASP Web Security Testing Guide

Web Security Testing Guide (WSTG) – руководство ΠΏΠΎ Ρ‚Π΅ΡΡ‚ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΡŽ Π²Π΅Π±-бСзопасности для Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈ спСциалистов ΠΏΠΎ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΠΎΠΉ бСзопасности.

Π’ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ Π² сСбя 500 страниц «best practices» тСстирования ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²Π΅Π½ΠΈΠΉ ΠΈ Π½Π°ΠΈΠ±ΠΎΠ»Π΅Π΅ распространСнных ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ Π² Π²Π΅Π±-прилоТСниях ΠΈ Π²Π΅Π±-сСрвисах.

Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° WSTG
Π Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΉ WSTG
Web Security Testing Guide v. 4.1 pdf
ΠšΡ€Π°ΡƒΠ΄ΡΠΎΡ€ΡΠΈΠ½Π³ΠΎΠ²Ρ‹ΠΉ ΠΏΠ΅Ρ€Π΅Π²ΠΎΠ΄, Π²ΠΊΠ»ΡŽΡ‡Π°Ρ русский

OWASP Cheat Sheet Series

Cheat Sheet Series – сСрия ΡˆΠΏΠ°Ρ€Π³Π°Π»ΠΎΠΊ ΠΏΠΎ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹ΠΌ Ρ‚Π΅ΠΌΠ°ΠΌ бСзопасности ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.

НапримСр, ΠΏΡ€ΠΈ вопросах с Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠ΅ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΡŒ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΡƒΡŽ ΡˆΠΏΠ°Ρ€Π³Π°Π»ΠΊΡƒ ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΎΡ‚Π²Π΅Ρ‚Ρ‹ Π½Π° Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²ΠΎ ΠΈΠ· Π½ΠΈΡ…. ΠŸΡ€ΠΈΠ²ΠΎΠ΄ΡΡ‚ΡΡ трСбования ΠΊ ΡƒΡ‡Π΅Ρ‚Π½Ρ‹ΠΌ записям, надСТности ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌΡ‹Π΅ Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Ρ‹, CAPTCHA ΠΈ ΠΏΡ€ΠΎΡ‡Π΅Π΅.

OWASP Cheat Sheet Series
ΠžΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ страница ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π°
Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° рСпозитория | CheatSheetSeries

OWASP Zed Attack Proxy (ZAP)

OWASP ZAP – инструмСнт для поиска уязвимостСй Π² web-прилоТСниях ΠΈ тСстирования Π½Π° ΠΏΡ€ΠΎΠ½ΠΈΠΊΠ½ΠΎΠ²ΠΈΠ΅.

Π£ OWASP ZAP ΠΌΠ½ΠΎΠ³ΠΎ возмоТностСй, ΠΎ Π½ΠΈΡ… расскаТу Π² ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΉ Π·Π°ΠΌΠ΅Ρ‚ΠΊΠ΅. Π’ самом простом случаС достаточно ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ адрСс сайта ΠΈΠ»ΠΈ Π²Π΅Π±-прилоТСния ΠΈ Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ сканированиС. ΠŸΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ° ΠΏΡ€ΠΎΠ°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ Π΅Π³ΠΎ ΠΈ построит ΠΎΡ‚Ρ‡Π΅Ρ‚ ΠΎΠ± уязвимостях с ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ΠΌ критичности ΠΈ рСкомСндациями ΠΊ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ.

Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° OWASP ZAP
ΠžΡ„ΠΈΡ†ΠΈΠ°Π»ΡŒΠ½Ρ‹ΠΉ сайт OWASP ZAP
Руководство ΠΏΠΎ Π½Π°Ρ‡Π°Π»Ρƒ Ρ€Π°Π±ΠΎΡ‚Ρ‹
Π‘Ρ‚Ρ€Π°Π½ΠΈΡ†Π° с Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ†ΠΈΠ΅ΠΉ (PDF)
Automate Security Testing with ZAP and GitHub Actions
БСрия ΠΊΠΎΡ€ΠΎΡ‚ΠΊΠΈΡ… Π²ΠΈΠ΄Π΅ΠΎΡ€ΠΎΠ»ΠΈΠΊΠΎΠ² ΠΏΠΎ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»Ρƒ ZAP

ΠŸΠΎΠ»Π΅Π·Π½Ρ‹Π΅ ссылки

OWASP Π½Π° Wikipedia
OWASP TOP-10: практичСский взгляд Π½Π° Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ

На этом всё. Но Π²Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚Π΅ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠ°Ρ‚ΡŒ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚. Π”Π°ΠΆΠ΅ нСбольшая сумма ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚ Π½Π°ΠΌ ΠΏΠΈΡΠ°Ρ‚ΡŒ большС ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Ρ… статСй.

Если ΡΡ‚Π°Ρ‚ΡŒΡ ΠΏΠΎΠΌΠΎΠ³Π»Π° ΠΈΠ»ΠΈ ΠΏΠΎΠ½Ρ€Π°Π²ΠΈΠ»Π°ΡΡŒ, поТалуйста ΠΏΠΎΠ΄Π΅Π»ΠΈΡ‚Π΅ΡΡŒ Π΅ΠΉ Π² соцсСтях.

ΠŸΠΎΡ…ΠΎΠΆΠΈΠ΅ записи

ΠŸΠΎΠΆΠ°Π»ΡƒΠΉΡΡ‚Π°, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΡ‚Π΅ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚

Π”Π°ΠΆΠ΅ нСбольшая сумма ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΠΈΡΠ°Ρ‚ΡŒ большС ΠΏΠΎΠ»Π΅Π·Π½Ρ‹Ρ… статСй.