Open Web Application Security Project – открытый проект обеспечения безопасности веб-приложений. В него входит 100 с лишним других проектов, связанных с документацией, методологиями, инструментами, и библиотеками кода для обнаружения и защиты от атак и использования недостатков приложений. Кратко остановимся на самых интересных.
OWASP Top 10
Известно что, 99% атак на веб-приложения происходят через десяток стандартных уязвимостей. Список самых опасных по версии OWASP:
- Внедрение кода
- Недостатки аутентификации
- Разглашение конфиденциальных данных
- Внешние сущности XML
- Недостатки контроля доступа
- Некорректная настройка параметров безопасности
- Межсайтовое выполнение сценариев (XSS)
- Небезопасная десериализация
- Использование компонентов с известными уязвимостями
- Недостатки журналирования и мониторинга
Рейтинг обновляется раз в три года, в 2020 г. должен выйти обновленный. OWASP не просто составляет рейтинг, но и приводит примеры сценариев атак и рекомендации по их предотвращению.
Чтобы не заниматься перепечаткой привожу ссылку на
OWASP Web Security Testing Guide
Web Security Testing Guide (WSTG) – руководство по тестированию веб-безопасности для разработчиков веб-приложений и специалистов по информационной безопасности.
Включает в себя 500 страниц «best practices» тестирования проникновений и наиболее распространенных проблем с безопасностью в веб-приложениях и веб-сервисах.
OWASP Cheat Sheet Series
Cheat Sheet Series – серия шпаргалок по конкретным темам безопасности приложений.
Например, при вопросах с аутентификацией можно открыть
OWASP Zed Attack Proxy (ZAP)
OWASP ZAP – инструмент для поиска уязвимостей в web-приложениях и тестирования на проникновие.
У OWASP ZAP много возможностей, о них расскажу в отдельной заметке. В самом простом случае достаточно указать адрес сайта или веб-приложения и запустить сканирование. Программа проанализирует его и построит отчет об уязвимостях с указанием критичности и рекомендациями к устранению.
Полезные ссылки
На этом всё. Но вы можете поддержать проект. Даже небольшая сумма поможет нам писать больше полезных статей.
Если статья помогла или понравилась, пожалуйста поделитесь ей в соцсетях.