OWASP – Wikipedie

OWASP
Vznik	2001
Právní forma	Delaware corporation
Počet zaměstnanců	8
Oficiální web	www.owasp.org a www.owasp.org.cn
multimediální obsah na Commons
Některá data mohou pocházet z datové položky.

OWASP (Open Web Application Security Project) je projekt a komunita zabývající se bezpečností webových aplikací zahrnujíce v to rozměry lidské, procesní a technologické.

OWASP zahájili dne 9. září 2001 Mark Curphey a Dennis Groves.

OWASP Foundation jako organizace v USA byla založena roku 2004 s cílem podporovat infrastrukturu OWASP a projektů. OWASP je především o sdílení znalostí v oblasti bezpečnosti webových aplikací. OWASP má pouze 3 zaměstnance a funguje s velmi nízkými náklady, které jsou hrazeny z konferenčních poplatků, firemního sponzorství, bannerové reklamy, popř. v rámci některých projektů využívá různé granty.

OWASP - Czech Republic je česká komunita hlásící se k OWASP, mezi jejíž hlavní cíle patří osvěta v oblasti bezpečnosti webových aplikací.

Mezi nejúspěšnější dokumenty (projekty) OWASP patří OWASP Guide a široce přijímaný dokument OWASP Top 10. K nejvíce využívaným OWASP nástrojům se řadí WebGoat (výcvikové prostředí), pro penetrační testování určené proxy WebScarab a další, např. .NET nástroje. Součástí OWASP je přibližně sto lokálních poboček a několik tisíc účastníků v projektu "mailing list" (e-mailová konference). OWASP organizuje sérii konferencí AppSec. OWASP se podílí také na rozvoji norem - v prosinci vydal první standard OWASP Application Security Verification Standard (ASVS). Úkolem OWASP ASVS je normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování. Cílem je vytvořit soubor volně šiřitelných standardů, které by byly "na míru šité" konkrétní technologii.

Projekty[editovat | editovat zdroj]

OWASP projekty jsou obecně rozděleny do dvou hlavních kategorií - vývojářské projekty a dokumentační projekty.

Příklady vývojářských projektů[editovat | editovat zdroj]

WebScarab - aplikace pro testování zranitelnosti webových aplikací.
Validation Filters - (Stinger pro J2EE, filtry pro PHP) filtry, které mohou vývojáři využít ve svých aplikacích.
WebGoat - uměle děravá webová aplikace, simulátor bezpečnostních chyb, na níž si lze vyzkoušet jejich projevy v bezpečném právním prostředí.
DotNet - různé nástroje pro zabezpečení .NET aplikací.
Enigform - rozšíření browseru Mozilla Firefox. Zaměřen na mod_openpgp a Secure Session Management.
ESAPI - OWASP Enterprise Security API (ESAPI) Project - soubor metod zabezpečení, která jsou potřebná pro vybudování bezpečné webové aplikace.
AntiSamy - nástroj pro ověřování výstupního a vstupního kódu.

Příklady dokumentačních projektů[editovat | editovat zdroj]

OWASP Application Security Verification Standard (ASVS) - normalizace rozsahu pokrytí a úrovně "přísnosti" na zabezpečení v rovině ověřování.
The Guide - podrobné pokyny pro zabezpečení webových aplikací.
Top Ten - dokument, který pomáhá zaměřit se na nejkritičtější problémy.
Metrics - projekt, který definuje metriky zabezpečení webových aplikací.
Legal - projekt, jenž pomáhá prodávajícím i kupujícím sjednat odpovídající zabezpečení ve smlouvách.
Testing Guide - průvodce zaměřený na testování zabezpečení webových aplikací.
ISO 17799 - podklady pro organizaci realizující ISO 17799.
AppSec FAQ - často kladené otázky a odpovědi na poli bezpečnosti webových aplikací.

OWASP Top Ten Project[editovat | editovat zdroj]

Obecné shrnutí[editovat | editovat zdroj]

Cíl projektu: OWASP Top Ten je dokumentem, který poskytuje povědomí o zabezpečení webových aplikací. OWASP Top Ten představuje konsensus mnoha odborníků o nejkritičtějších bezpečnostních chybách webových aplikací.

Licence: Creative Commons Attribution Share Alike 3,0

Vedoucí projektu: Dave Wichers

Další hlavní přispěvatelé projektu: Jeff Williams, Andrew van der Stock