Tag: OWASP

Rozmiar typowej biblioteki waha się w granicach od 10 000 do 200 000 linii kodu, a przeprowadzone badania wskazują, że w przeciętnej aplikacji Javy znajduje się od 5 do 10 luk na każde 10.000 linii kodu. Bazując na tych danych, trzeba stwierdzić, że prawdopodobieństwo nie wystąpienia żadnej luki w bibliotece…

Rozbudowany poradnik o samym mod_security mamy na sekuraku. Przypominam – to bezpłatny web application firewall – do instalacji na Apache/IIS/Nginx.

W wersji podstawowej, jest to program pośredniczący w ruchu HTTP i HTTPS, pozwalający zatrzymywać, edytować i odrzucać wysyłane żądania z przeglądarki internetowej. Niezwykle przydatny do sprawdzania zachowania web aplikacji, po wysłaniu danych innych, niż pozwala użytkownikowi jej frontend. Można to robić w czasie rzeczywistym (czyli zatrzymać żądanie, zmodyfikować i przesłać…

Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…

Niedawno opublikowano wersję 1.1 projektu OWASP SAMM (Software Assurance Maturity Model), umożliwiającego zbudowanie modelu tworzenia oprogramowania tak aby: było ono bezpieczne – przy jednoczesnym optymalizowaniu kosztów całego procesu.

Projekt OWASP Mobile Top Ten ma się nieźle, a niedawno wypuszczono checklistę przydatną wszystkim osobom testującym bezpieczeństwo aplikacji mobilnych (OWASP Mobile Checklist Final 2016). Do projektu OWASP ASVS jeszcze trochę brakuję, ale i tak mamy 91 rzeczy do sprawdzenia –  podzielone na elementy klienckie oraz server-side. –Michał Sajdak

Niedawno pokazała się wersja 3.0 znanego dokumentu: OWASP ASVS. W skrócie jest to rozbudowana checklista, pokazująca jak w systematyczny sposób zweryfikować bezpieczeństwo aplikacji (webowej) – dodatkowo podzielona na 3 poziomy szczegółowości badania. Zmiany w stosunku do wersji 2.0 poszły moim zdaniem w bardzo dobrym kierunku. Mamy tu bowiem: Bardziej rozbudowane…

Projekt AppSensor został oficjalnie dołączony do grupy flagowych (flagship) projektów organizacji OWASP. Celem tego projektu jest integracja aplikacji z metodykami wykrywania i powstrzymywania ataków (attack-aware application).

OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.

Organizacja OWASP pracuje nad odmianą znanego projektu OWASP TOP 10. Nowe przedsięwzięcie – OWASP Internet of Things Top Ten Project – ma na celu rozpowszechnienie informacji o najczęściej spotykanych błędach wśród nowoczesnych gadżetów oraz inteligentnego sprzętu domowego. Oto obecne propozycje najpowszechniejszych zagrożeń czających się w „Internet of Things„: Administrative Interface with Weak/Default Credentials…

Druga część tekstu o testach penetracyjnych – tym razem robimy bardziej szczegółowy przegląd po rozmaitych metodykach.

OWASP EU zaprasza do wzięcia udziału w nowym CTF: http://eu.honeyn3t.ie/ Jak piszą: „There are prizes to be won like an OWASP lifetime membership and tickets to Appsec EU in Hamburg.” oraz „So far there are 38 players signed up Currently in the lead is dowahlookfatindiz with a score of 394…

Na stronach OWASP pojawiła się finalna wersja dokumentu OWASP Top Ten 2013 – The Ten Most Critical Web Application Security Risks.