OWASP

Open Web Application Security Project (OWASP) - это открытый проект обеспечения безопасности веб-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира. Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Фонд OWASP это благотворительная организация по [en.wikipedia.org/wiki/501(c)_organization#501.28c.29.283.29 501(c)(3)], которая оказывает поддержку и осуществляет управление проектами и инфраструктурой OWASP. Кроме того, Фонд зарегистрирован как Некоммерческая организация в Европе с июня 2011 года.

OWASP не аффилирован ни с одной компанией, занимающейся разработкой технологий, но он поддерживает грамотное использование технологий безопасности. OWASP избегает аффилирования, так как полагает, что свобода от влияния со стороны других организаций может облегчить распространение беспристрастной, полезной и дешевой информации о безопасности приложений.

Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Наиболее востребованные документы, опубликованные OWASP, включают в себя: Руководство OWASP ^[1], Обзорное Руководство по Коду OWASP^[2] и широко применяемый Проект Топ-10 OWASP^[3].

Самыми распространенными инструментами OWASP являются тренировочная среда^[4], прокси-анализатор WebScarab^[5] и .NET инструменты^[6]. OWASP состоит примерно из 190 местных отделений ^[7], располагающихся по всему миру и тысяч участников в листах рассылки проекта.

OWASP организовал серию конференций AppSec^[8] для дальнейшего построения сообщества, посвященного безопасности приложений.

OWASP создает стандарты, первый из которых был опубликован под названием OWASP Application Security Verification Standard (ASVS)).^[9] Основная цель OWASP ASVS это стандартизация диапазона охвата и уровня строгости доступных на рынке приложений, обеспечивающих безопасность. Целью OWASP ASVS также являлось создание набора коммерчески успешных открытых стандартов, приспособленных для специализированных веб-технологий. Сборник для Веб-Приложений уже был опубликован. Сборник для Веб-Сервисов в процессе разработки.

Проекты

[www.owasp.org/index.php/Category:OWASP_Project Проекты OWASP] это набор связанных задач, имеющих определенный план развития и команду разработчиков.

Лидеры проектов OWASP ответственны за определение образа, схемы и задач проекта, также они занимаются продвижением проекта и набором команды. На данный момент существует более 130 активных проектов OWASP, и количество этих проектов растет еженедельно. Проекты являются одним из самых популярных подразделений OWASP, так как дают активистам возможность свободно тестировать различные теории и идеи с профессиональной поддержкой сообщества OWASP. Все, созданное OWASP: инструменты, документация и библиотеки кода, распределено по следующим категориям.

Защита — это инструменты и документация, которые могут быть использованы для защиты против атак и использования недостатков систем.

Обнаружение — это инструменты и документация, которые могут быть использованы для обнаружения атак и недостатков систем.

Цикл — это инструменты и документация, которые могут быть использованы для добавления работ, связанных с безопасностью в жизненном цикле программного обеспечения (Software Development Life Cycle).

Некоторые из проектов OWASP

• [www.owasp.org/index.php/ASVS Стандарт Подтверждения Безопасности Приложений OWASP (OWASP Application Security Verification Standard (ASVS))] — Стандарт для проведения проверок уровня безопасности приложений.
• Руководство по Разработке OWASP дает практические советы и содержит примеры кода на J2EE, ASP.NET и PHP. Руководство по Разработке охватывает обширный массив вопросов безопасности для уровня приложений, от SQL инъекций до современных проблем, таких как фишинг, обработка кредитных карт, фиксация сессий, подделка межсайтовых запросов, согласование и конфиденциальность.
• [www.owasp.org/index.php/Category:OWASP_Testing_Project Руководство по Тестированию OWASP] включает «лучшую практическую» основу для тестирования проникновений, которую пользователи могут использовать в своих организациях и «низкоуровневое» руководство по тестированию проникновений, которое описывает техники тестирования наиболее распространенных проблем с безопасностью в веб-приложениях и веб-сервисах.
• [www.owasp.org/index.php/Category:OWASP_Code_Review_Project Руководство по Обзору Кода OWASP] версии 1.1 является вторым по продажам печатным изданием, выпущенными OWASP в 2008 году. При этом уже версия 1.0 собрала множество положительных отзывов и стала одним из ключевых продуктов, позволяющих OWASP бороться с проблемами в безопасности программного обеспечения.
• [www.owasp.org/index.php/ZAP OWASP ЗАП Проект]: Прокси Зет-Атаки это простой в применении встроенный инструмент тестирования проникновений, служащий для нахождения уязвимостей веб-приложений. Он разработан для использования людьми с различным опытом в сфере безопасности и является эталоном для разработчиков и тестировщиков функционала, которые не имеют опыта в тестировании проникновений.
• [www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASP Топ-10]: цель проекта Топ-10 — увеличение осведомленности о безопасности приложений при помощи определения наиболее критичных рисков, угрожающих организациям. На проект Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других.
• [www.owasp.org/index.php/Category:Software_Assurance_Maturity_Model OWASP Модель Завершенности Программного Обеспечения]: этот проект стремится к созданию полезной основы для помощи организациям в формулировании и воплощении стратегии безопасности приложений, с учетом специфических бизнес-рисков, которые предстают перед организацией.
• Вебкозёл — заведомо ненадежное веб-приложение, созданное OWASP как руководство по написанию безопасного кода. Вместе с приложением поставляется учебник и набор различных курсов, рассказывающих студентам как использовать информацию об уязвимостях для написания безопасного кода.
• [www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework OWASP Mantra Security Framework]: Коллекция хакерских утилит, расширений и скриптов основанная на Mozilla Firefox.
• Множество других инструментов и приложений для обеспечения безопасности доступно в [www.owasp.org/index.php/Category:OWASP_Project структуре проектов OWASP].

История

OWASP было основано 9 сентября 2001 года Марком Керфи и Дэннисом Грувзом. С конца 2003 года, [www.owasp.org/index.php/User:Jeff_Williams Джефф Вильямс] работал добровольным председателем OWASP до сентября 2011 года. Текущий председатель- Майкл Коатс, а вице-председатель [www.owasp.org/index.php/Eoin_Keary Эойн Кири]. Фонд OWASP, организация [en.wikipedia.org/wiki/501(c)_organization#501.28c.29.283.29 501(c)(3)] (в США) была учреждена в 2004 году и занимается поддержкой проектов и инфраструктуры OWASP. OWASP служит не личным целям её руководителей, а распространению знаний. Лидеры OWASP несут ответственность за принятие решений о техническом руководстве, приоритеты проекта, расписание и выпуск продукции.

В целом, лидеры OWASP могут восприниматься как менеджмент Фонда OWASP. В OWASP официально работает 3 человека, вследствие чего у проекта крайне низкие расходы, покрываемые конференциями, корпоративными спонсорами и рекламой. OWASP ежегодно награждает [www.owasp.org/index.php/OWASP_Grants грантами] корпоративных и индивидуальных [www.owasp.org/index.php/Membership членов] за разработку многообещающих приложений, обеспечивающих безопасность. С 2011 года OWASP зарегистрирована как некоммерческая организация в Бельгии под именем OWASP Европа VZW.

См. также

• Компьютерная безопасность
• Kali Linux

Напишите отзыв о статье "OWASP"

Примечания

Ссылки

• [www.owasp.org/ Проект OWASP]
• [www.owasp.org/index.php/Russia Страница российского отделения OWASP]
• [resources.infosecinstitute.org/owasp-top-10-tools-and-tactics/ Статья, рассказывающая про проект Топ-10]
• [www.owasp.org/index.php/ASVS OWASP Application Security Verification Standard (ASVS)]
• [www.microsoft.com/learning/en/us/Books/5957.aspx Writing Secure Code (MS Press) ISBN 0-7356-1722-8 ]
• [msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp Threats and Countermeasures (MSDN)]
• [defcon.ru/tag/owasp/ Перевод методологии OWASP на русский язык.]
• [defcon.ru/mobile-security/3033/ Перевод и адаптация OWASP Mobile Top 10 на русский язык.]

Отрывок, характеризующий OWASP

– Это всё хорошо, никто не думает, что вы трус, да не в том дело. Спросите у Денисова, похоже это на что нибудь, чтобы юнкер требовал удовлетворения у полкового командира?
Денисов, закусив ус, с мрачным видом слушал разговор, видимо не желая вступаться в него. На вопрос штаб ротмистра он отрицательно покачал головой.
– Вы при офицерах говорите полковому командиру про эту пакость, – продолжал штаб ротмистр. – Богданыч (Богданычем называли полкового командира) вас осадил.
– Не осадил, а сказал, что я неправду говорю.
– Ну да, и вы наговорили ему глупостей, и надо извиниться.
– Ни за что! – крикнул Ростов.
– Не думал я этого от вас, – серьезно и строго сказал штаб ротмистр. – Вы не хотите извиниться, а вы, батюшка, не только перед ним, а перед всем полком, перед всеми нами, вы кругом виноваты. А вот как: кабы вы подумали да посоветовались, как обойтись с этим делом, а то вы прямо, да при офицерах, и бухнули. Что теперь делать полковому командиру? Надо отдать под суд офицера и замарать весь полк? Из за одного негодяя весь полк осрамить? Так, что ли, по вашему? А по нашему, не так. И Богданыч молодец, он вам сказал, что вы неправду говорите. Неприятно, да что делать, батюшка, сами наскочили. А теперь, как дело хотят замять, так вы из за фанаберии какой то не хотите извиниться, а хотите всё рассказать. Вам обидно, что вы подежурите, да что вам извиниться перед старым и честным офицером! Какой бы там ни был Богданыч, а всё честный и храбрый, старый полковник, так вам обидно; а замарать полк вам ничего? – Голос штаб ротмистра начинал дрожать. – Вы, батюшка, в полку без году неделя; нынче здесь, завтра перешли куда в адъютантики; вам наплевать, что говорить будут: «между павлоградскими офицерами воры!» А нам не всё равно. Так, что ли, Денисов? Не всё равно?
Денисов всё молчал и не шевелился, изредка взглядывая своими блестящими, черными глазами на Ростова.
– Вам своя фанаберия дорога, извиниться не хочется, – продолжал штаб ротмистр, – а нам, старикам, как мы выросли, да и умереть, Бог даст, приведется в полку, так нам честь полка дорога, и Богданыч это знает. Ох, как дорога, батюшка! А это нехорошо, нехорошо! Там обижайтесь или нет, а я всегда правду матку скажу. Нехорошо!
И штаб ротмистр встал и отвернулся от Ростова.
– Пг'авда, чог'т возьми! – закричал, вскакивая, Денисов. – Ну, Г'остов! Ну!
Ростов, краснея и бледнея, смотрел то на одного, то на другого офицера.
– Нет, господа, нет… вы не думайте… я очень понимаю, вы напрасно обо мне думаете так… я… для меня… я за честь полка.да что? это на деле я покажу, и для меня честь знамени…ну, всё равно, правда, я виноват!.. – Слезы стояли у него в глазах. – Я виноват, кругом виноват!… Ну, что вам еще?…
– Вот это так, граф, – поворачиваясь, крикнул штаб ротмистр, ударяя его большою рукою по плечу.
– Я тебе говог'ю, – закричал Денисов, – он малый славный.
– Так то лучше, граф, – повторил штаб ротмистр, как будто за его признание начиная величать его титулом. – Подите и извинитесь, ваше сиятельство, да с.
– Господа, всё сделаю, никто от меня слова не услышит, – умоляющим голосом проговорил Ростов, – но извиняться не могу, ей Богу, не могу, как хотите! Как я буду извиняться, точно маленький, прощенья просить?
Денисов засмеялся.
– Вам же хуже. Богданыч злопамятен, поплатитесь за упрямство, – сказал Кирстен.
– Ей Богу, не упрямство! Я не могу вам описать, какое чувство, не могу…
– Ну, ваша воля, – сказал штаб ротмистр. – Что ж, мерзавец то этот куда делся? – спросил он у Денисова.
– Сказался больным, завтг'а велено пг'иказом исключить, – проговорил Денисов.
– Это болезнь, иначе нельзя объяснить, – сказал штаб ротмистр.
– Уж там болезнь не болезнь, а не попадайся он мне на глаза – убью! – кровожадно прокричал Денисов.
В комнату вошел Жерков.
– Ты как? – обратились вдруг офицеры к вошедшему.
– Поход, господа. Мак в плен сдался и с армией, совсем.
– Врешь!
– Сам видел.
– Как? Мака живого видел? с руками, с ногами?
– Поход! Поход! Дать ему бутылку за такую новость. Ты как же сюда попал?
– Опять в полк выслали, за чорта, за Мака. Австрийской генерал пожаловался. Я его поздравил с приездом Мака…Ты что, Ростов, точно из бани?
– Тут, брат, у нас, такая каша второй день.
Вошел полковой адъютант и подтвердил известие, привезенное Жерковым. На завтра велено было выступать.
– Поход, господа!
– Ну, и слава Богу, засиделись.


Кутузов отступил к Вене, уничтожая за собой мосты на реках Инне (в Браунау) и Трауне (в Линце). 23 го октября .русские войска переходили реку Энс. Русские обозы, артиллерия и колонны войск в середине дня тянулись через город Энс, по сю и по ту сторону моста.
День был теплый, осенний и дождливый. Пространная перспектива, раскрывавшаяся с возвышения, где стояли русские батареи, защищавшие мост, то вдруг затягивалась кисейным занавесом косого дождя, то вдруг расширялась, и при свете солнца далеко и ясно становились видны предметы, точно покрытые лаком. Виднелся городок под ногами с своими белыми домами и красными крышами, собором и мостом, по обеим сторонам которого, толпясь, лилися массы русских войск. Виднелись на повороте Дуная суда, и остров, и замок с парком, окруженный водами впадения Энса в Дунай, виднелся левый скалистый и покрытый сосновым лесом берег Дуная с таинственною далью зеленых вершин и голубеющими ущельями. Виднелись башни монастыря, выдававшегося из за соснового, казавшегося нетронутым, дикого леса; далеко впереди на горе, по ту сторону Энса, виднелись разъезды неприятеля.
Между орудиями, на высоте, стояли спереди начальник ариергарда генерал с свитским офицером, рассматривая в трубу местность. Несколько позади сидел на хоботе орудия Несвицкий, посланный от главнокомандующего к ариергарду.
Казак, сопутствовавший Несвицкому, подал сумочку и фляжку, и Несвицкий угощал офицеров пирожками и настоящим доппелькюмелем. Офицеры радостно окружали его, кто на коленах, кто сидя по турецки на мокрой траве.
– Да, не дурак был этот австрийский князь, что тут замок выстроил. Славное место. Что же вы не едите, господа? – говорил Несвицкий.
– Покорно благодарю, князь, – отвечал один из офицеров, с удовольствием разговаривая с таким важным штабным чиновником. – Прекрасное место. Мы мимо самого парка проходили, двух оленей видели, и дом какой чудесный!
– Посмотрите, князь, – сказал другой, которому очень хотелось взять еще пирожок, но совестно было, и который поэтому притворялся, что он оглядывает местность, – посмотрите ка, уж забрались туда наши пехотные. Вон там, на лужку, за деревней, трое тащут что то. .Они проберут этот дворец, – сказал он с видимым одобрением.
– И то, и то, – сказал Несвицкий. – Нет, а чего бы я желал, – прибавил он, прожевывая пирожок в своем красивом влажном рте, – так это вон туда забраться.
Он указывал на монастырь с башнями, видневшийся на горе. Он улыбнулся, глаза его сузились и засветились.
– А ведь хорошо бы, господа!
Офицеры засмеялись.
– Хоть бы попугать этих монашенок. Итальянки, говорят, есть молоденькие. Право, пять лет жизни отдал бы!
– Им ведь и скучно, – смеясь, сказал офицер, который был посмелее.
Между тем свитский офицер, стоявший впереди, указывал что то генералу; генерал смотрел в зрительную трубку.
– Ну, так и есть, так и есть, – сердито сказал генерал, опуская трубку от глаз и пожимая плечами, – так и есть, станут бить по переправе. И что они там мешкают?
На той стороне простым глазом виден был неприятель и его батарея, из которой показался молочно белый дымок. Вслед за дымком раздался дальний выстрел, и видно было, как наши войска заспешили на переправе.
Несвицкий, отдуваясь, поднялся и, улыбаясь, подошел к генералу.
– Не угодно ли закусить вашему превосходительству? – сказал он.
– Нехорошо дело, – сказал генерал, не отвечая ему, – замешкались наши.
– Не съездить ли, ваше превосходительство? – сказал Несвицкий.
– Да, съездите, пожалуйста, – сказал генерал, повторяя то, что уже раз подробно было приказано, – и скажите гусарам, чтобы они последние перешли и зажгли мост, как я приказывал, да чтобы горючие материалы на мосту еще осмотреть.
– Очень хорошо, – отвечал Несвицкий.
Он кликнул казака с лошадью, велел убрать сумочку и фляжку и легко перекинул свое тяжелое тело на седло.