close

Öffnen Sie das Sicherheitsprojekt für Webanwendungen

Zur Navigation springen Zur Suche springen

Das Open Web Application Security Project (einfach OWASP genannt ) ist ein Open-Source-Projekt, das darauf abzielt, Richtlinien, Tools und Methoden zur Verbesserung der Anwendungssicherheit zu erstellen. Es wurde am 9. September 2001 [1] von Mark Curphey , Dennis Groves und Jeremiah Grossman gestartet .

2004 wurde zur Unterstützung von OWASP eine gemeinnützige Stiftung gegründet, die das Ziel verfolgt, die Anwendungssicherheit durch risikobasierte Entscheidungen zu erhöhen. In Europa ist es eine seit Juni 2011 registrierte Non-Profit-Organisation; es ist auch in Italien mit dem von Matteo Meucci im Januar 2005 gegründeten OWASP-Italy Chapter [2] präsent.

Veröffentlichungen und Ressourcen

OWASP-Projekte werden in folgende Kategorien unterteilt:

Vorzeigeprojekte : Diese Projekte haben einen strategischen Wert für OWASP und die Anwendungssicherheit als Ganzes gezeigt.

Laborprojekte: OWASP-Laborprojekte stellen Projekte dar, die ein überarbeitetes OWASP-Wertprodukt hervorgebracht haben.

Inkubatorprojekte: OWASP-Inkubatorprojekte befinden sich in einer experimentellen Phase, in der die Projekte noch entwickelt werden, Ideen noch demonstriert werden und die Entwicklung noch andauert.

Das OWASP-Projekt verfügt über mehr als 140 offene Quellen. Sie werden im Allgemeinen in 3 Kategorien unterteilt:

- Anwendungsschutz: Dies sind Werkzeuge und Dokumente, mit denen immer sicherere Software entwickelt werden kann.

- Sicherheitsüberprüfung: Dies sind Tools und Dokumente, die verwendet werden können, um Schwachstellen in Code oder Dienst zu finden.

- Softwaresicherheitslebenszyklus : Dies sind Tools und Dokumente, die verwendet werden können, um sicherheitsbezogene Aktivitäten in den Softwareentwicklungszyklus (SDLC) aufzunehmen.

Die relevantesten OWASP-Projekte sind derzeit die folgenden:

- OWASP Top Ten : Die 2003 erstmals veröffentlichten „Top Ten“ werden von Entwicklern weltweit als erster Schritt zur Entwicklung sichererer Software anerkannt. [3] Zielt darauf ab, das Bewusstsein für Anwendungssicherheit zu schärfen, indem einige der kritischsten Risiken für Organisationen identifiziert werden. [9] [10] [11] Zahlreiche Standards, Bücher, Tools und Organisationen beziehen sich auf das Top-10-Projekt, darunter MITRE, PCI DSS, [12] die Defense Information Systems Agency (DISA-STIG), die Federal Trade Commission (FTC ) der Vereinigten Staaten, [13] und viele mehr [quantifizieren].

- OWASP Software Assurance Maturity Model [4] : ​​Das Software Assurance Maturity Model (SAMM)-Projekt hat sich zum Ziel gesetzt, einen Rahmen zu schaffen, der verwendet werden kann, um Unternehmen bei der Formulierung und Implementierung einer Anwendungssicherheitsstrategie zu unterstützen, die auf spezifische Geschäftsrisiken des Unternehmens zugeschnitten ist Organisation.

- OWASP Building Guide [5] : Stellt den Online-Leitfaden für sichere Entwicklung dar und bietet einen praktischen Leitfaden mit Beispielen für J2EE-, ASP.NET- und PHP-Code. Der OWASP Building Guide deckt eine breite Palette von Sicherheitsproblemen auf Anwendungsebene ab, von SQL-Injection bis hin zu modernen Themen wie Phishing, Umgang mit Kreditkarten, Compliance und Datenschutz.

- OWASP Proactive Controls : Die OWASP Top Ten Proactive Controls 2018 ist eine Liste von Sicherheitstechniken, die in jedem Softwareentwicklungsprojekt enthalten sein sollten. Sie sind nach Wichtigkeit sortiert, wobei Kontrollnummer 1 die wichtigste ist. Dieses Dokument wurde von Entwicklern für Entwickler geschrieben, um Neueinsteigern dabei zu helfen, die Entwicklung sicherzustellen.

- OWASP Testing Guide [6] : Der OWASP Security Verification Guide enthält ein Test-Framework, das Benutzer in ihren Organisationen implementieren können, und einen eher technischen Leitfaden für Penetrationstests, der die Methodik zum Testen der häufigsten Sicherheitsprobleme von Webanwendungen und Webdiensten beschreibt 4 wurde im September 2014 mit Beiträgen von 60 Personen veröffentlicht. Version 4.1 wurde im April 2020 veröffentlicht.

- OWASP Mobile Security Testing Guide [7] : Dieser Leitfaden zielt darauf ab, den Industriestandard für die Sicherheit mobiler Anwendungen zu setzen. Der Leitfaden zeigt die Methodik zur Durchführung von Tests, die die Prozesse, Techniken und Tools abdeckt, die während eines Sicherheitstests für mobile Anwendungen verwendet werden, sowie eine umfassende Reihe von Testfällen, die es Testern ermöglichen, konsistente und umfassende Ergebnisse zu liefern.

- OWASP Code Review Guide [8] : Der Code Review Guide ist derzeit in Version 2.0, veröffentlicht im Juli 2017.

- OVASP Application Security Verification Standard (ASVS) [3] : Ein Standard zur Durchführung von Sicherheitsüberprüfungen auf Anwendungsebene.

- OWASP ZAP [5]  : Zed Attack Proxy (ZAP) ist ein benutzerfreundliches integriertes Penetrationstest-Tool für die Suche nach Schwachstellen in Webanwendungen.Es wurde entwickelt, um von Personen mit einem breiten Spektrum an Sicherheitserfahrungen, einschließlich funktionaler, verwendet zu werden Entwickler und Tester, für die Penetrationstests neu sind.

- OWASP Webgoat [9] : Eine absichtlich unsichere Webanwendung, die von OWASP als Leitfaden für sichere Programmierpraktiken erstellt wurde. Nach dem Herunterladen enthält die Anwendung ein Tutorial und eine Reihe verschiedener Lektionen, die den Schülern beibringen, wie sie Schwachstellen ausnutzen können, mit der Absicht, ihnen beizubringen, wie man sicher programmiert.

- AppSec Pipeline OWASP [4] : ​​Das Application Security (AppSec) DevOps Pipeline-Projekt ist ein Ort, an dem Sie die Informationen finden, die Sie benötigen, um die Geschwindigkeit und Automatisierung eines Anwendungssicherheitsprogramms zu erhöhen. AppSec-Pipelines übernehmen die Prinzipien von DevOps und Lean und wenden sie auf ein Anwendungssicherheitsprogramm an.

Notizen

  1. ^ Über das Open Web Application Security Project – OWASP , unter wiki.owasp.org . Abgerufen am 26. April 2020 .
  2. ^ Italien – OWASP , auf wiki.owasp.org . Abgerufen am 26. April 2020 .
  3. ^ a b OWASP Top Ten , auf owasp.org . Abgerufen am 26. April 2020 .
  4. ^ a b OWASP SAMM , auf owaspsamm.org . _ Abgerufen am 26. April 2020 .
  5. ^ a b OWASP-Leitfadenprojekt – OWASP , unter wiki.owasp.org . Abgerufen am 26. April 2020 .
  6. ^ OWASP Web Security Testing Guide , auf owasp.org . Abgerufen am 26. April 2020 .
  7. ^ OWASP Mobile Security Testing Guide , auf owasp.org . Abgerufen am 26. April 2020 .
  8. ^ Kategorie: OWASP Code Review Project - OWASP , unter wiki.owasp.org . Abgerufen am 26. April 2020 .
  9. ^ OWASP WebGoat , auf owasp.org._ _ _ Abgerufen am 26. April 2020 .

Andere Projekte

Externe Links