Tag: OWASP

OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

03 marca 2020, 12:37 | W biegu | komentarzy 5
OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są…

Czytaj dalej »

Jak zadbać o bezpieczeństwo API? OWASP API Security Top Ten

23 stycznia 2020, 10:15 | W biegu | 0 komentarzy
Jak zadbać o bezpieczeństwo API? OWASP API Security Top Ten

Niedawno udostępniono wersję 1.0 nowej dokumentacji od OWASP – API Security Top Ten. Mamy tutaj 10 najczęstszych/najgroźniejszych klas podatności w API (REST-owych). Najwięcej miejsca poświęcono problemom związanym z uwierzytelnianiem / autoryzacją. Mamy również całkiem osobne, ciekawe przypadki jak choćby Mass Assignment czy tematykę Rate Limiting. Nie można też zapomnieć o całej klasyce…

Czytaj dalej »

OWASP ASVS 4.0 – czyli jak w uporządkowany sposób sprawdzić bezpieczeństwo aplikacji?

06 marca 2019, 16:10 | Aktualności | komentarze 2
OWASP ASVS 4.0 – czyli jak w uporządkowany sposób sprawdzić bezpieczeństwo aplikacji?

Najnowszy dokument dostępny jest tutaj. W największym skrócie jest to duża checklista podzielona na obszary (architektura, walidacja wejścia, uwierzytelnienie, obsługa błędów, …). W każdej z nich znajdziecie masę zaleceń służących zwiększeniu bezpieczeństwa aplikacji webowej. Co zmieniło się w porównaniu do poprzednich wersji? Jak sami autorzy dość górnolotnie piszą: New in…

Czytaj dalej »

Lista dobrych praktyk bezpieczeństwa dla programistów? OWASP Top Ten Proactive Controls Project.

08 maja 2018, 19:19 | W biegu | 0 komentarzy

Mamy OWASP Top Ten, mamy OWASP ASVS (również w wersji mobilnej) – ale to dokumenty albo dla zupełnie początkujących (Top Ten), albo dla zaawansowanych i to z nastawieniem na testy (ASVS). Projekt OWASP udostępnia jednak mniej znany OWASP Top Ten Proactive Controls Project – czyli zestaw zaleceń dla programistów, dotyczący…

Czytaj dalej »

Jak sprawdzić bezpieczeństwo aplikacji mobilnej? OWASP MASVS 1.0

13 stycznia 2018, 20:27 | W biegu | 0 komentarzy

Właśnie udostępniono wersję 1.0 projektu OWASP Mobile Application Security Verification Standard. Zasadnicza część dokumentu to checklista, podzielona na takie obszary jak: architektura, składowanie danych, komunikacja sieciowa czy kryptografia – mamy w sumie aż 8 takich obszarów. W każdym z obszarów znajdziecie z kolei serię pytań kontrolnych typu: czy aplikacja zapisuje wrażliwe dane do…

Czytaj dalej »

OWASP Dependency Check 2 – sprawdź czy używasz podatne biblioteki

19 lipca 2017, 22:42 | W biegu | komentarze 3

Podatności w bibliotekach to jedna ze zmór ludzi dbających o bezpieczeństwo wdrażanych systemów, ale i deweloperów, którzy często „przymuszani” są do zaktualizowania komponentów używanych w swoich aplikacjach. Pierwszy przykład z brzegu? Proszę, proszę i proszę. I tu z pomocą przychodzi nam projekt OWASP Depencency Check, o którym już dość rozlegle…

Czytaj dalej »

Czym jest OWASP OpenSAMM? Czyli jak zwiększyć bezpieczeństwo tworzonego oprogramowania

11 lipca 2017, 19:26 | Teksty | 0 komentarzy
Czym jest OWASP OpenSAMM? Czyli jak zwiększyć bezpieczeństwo tworzonego oprogramowania

OWASP OpenSAMM (Open Software Assurance Maturity Model) to otwarty framework pozwalający na sprawne opracowanie i wdrożenie strategii dot. bezpieczeństwa oprogramowania rozwijany przez OWASP.

OpenSAMM do tematu bezpieczeństwa oprogramowania podchodzi systematycznie i całościowo, definiując 12 praktyk bezpieczeństwa pogrupowanych w 4 podstawowe funkcje biznesowe: Governance, Construction, Verification and Deployment.

Czytaj dalej »

Bezpłatna książka „OWASP Mobile Security Testing Guide” dostępna w PDF/EPUB/MOBI

05 lipca 2017, 19:15 | W biegu | komentarze 4

Standardowy projekt OWASP-u „Testing guide” jak można się domyślić dotyczy testowania bezpieczeństwa aplikacji webowych. Od jakiegoś czasu OWASP zajmuje się też nieco pobocznymi obszarami jak: bezpieczeństwo aplikacji mobilnych czy IoT. Tym razem dostępną mamy w wersji beta, książkę „Mobile Security Testing Guide„, która pokazuje jak przetestować pod względem bezpieczeństwa aplikacje przygotowane…

Czytaj dalej »

OWASP Top Ten 2017 – RC1

12 kwietnia 2017, 18:59 | W biegu | 0 komentarzy

OWASP właśnie udostępnił długo wyczekiwaną wersję release candidate dokumentu Top Ten – czyli w pewnym uproszeniu listę dziesięciu najistotniejszych klas podatności w aplikacjach webowych. Jakie szykują się zmiany? Mamy przede wszystkim zupełnie nowe, dwie kategorie: A7 – Insufficient Attack Protection A10 – Underprotected APIs W A7 czytamy między innymi: The…

Czytaj dalej »

Testowanie aplikacji mobilnych – OWASP publikuje kilka dokumentów o bezpieczeństwie

28 stycznia 2017, 10:56 | W biegu | 0 komentarzy

W ramach dokumentacji OWASP mamy dostępnych kilka dokumentów które w tym roku mają uzyskać wersję 1.0. Jest to przede wszystkim OWASP Mobile ASVS (Mobile Appsec Verification Standard). Podobnie jak w przypadku klasycznego ASVS, mamy tu do czynienia z rozbudowanymi checklistami dotyczącymi rozmaitych sprawdzeń bezpieczeństwa: Jeszcze chyba ciekawszym dokumentem jest OWASP Mobile…

Czytaj dalej »

Wprowadzenie do narzędzia Zed Attack Proxy (ZAP)

25 października 2016, 19:44 | Narzędzia, Teksty | komentarzy 6
Wprowadzenie do narzędzia Zed Attack Proxy (ZAP)

W wersji podstawowej, jest to program pośredniczący w ruchu HTTP i HTTPS, pozwalający zatrzymywać, edytować i odrzucać wysyłane żądania z przeglądarki internetowej. Niezwykle przydatny do sprawdzania zachowania web aplikacji, po wysłaniu danych innych, niż pozwala użytkownikowi jej frontend. Można to robić w czasie rzeczywistym (czyli zatrzymać żądanie, zmodyfikować i przesłać…

Czytaj dalej »

OWASP Application Security Verification Standard (ASVS) – jest wersja 3.0.1

29 czerwca 2016, 19:32 | W biegu | 0 komentarzy

Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…

Czytaj dalej »