Rozmiar typowej biblioteki waha się w granicach od 10 000 do 200 000 linii kodu, a przeprowadzone badania wskazują, że w przeciętnej aplikacji Javy znajduje się od 5 do 10 luk na każde 10.000 linii kodu. Bazując na tych danych, trzeba stwierdzić, że prawdopodobieństwo nie wystąpienia żadnej luki w bibliotece…
Czytaj dalej »
Rozbudowany poradnik o samym mod_security mamy na sekuraku. Przypominam – to bezpłatny web application firewall – do instalacji na Apache/IIS/Nginx.
Czytaj dalej »
W wersji podstawowej, jest to program pośredniczący w ruchu HTTP i HTTPS, pozwalający zatrzymywać, edytować i odrzucać wysyłane żądania z przeglądarki internetowej. Niezwykle przydatny do sprawdzania zachowania web aplikacji, po wysłaniu danych innych, niż pozwala użytkownikowi jej frontend. Można to robić w czasie rzeczywistym (czyli zatrzymać żądanie, zmodyfikować i przesłać…
Czytaj dalej »
Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…
Czytaj dalej »
Niedawno opublikowano wersję 1.1 projektu OWASP SAMM (Software Assurance Maturity Model), umożliwiającego zbudowanie modelu tworzenia oprogramowania tak aby: było ono bezpieczne – przy jednoczesnym optymalizowaniu kosztów całego procesu.
Czytaj dalej »
Projekt OWASP Mobile Top Ten ma się nieźle, a niedawno wypuszczono checklistę przydatną wszystkim osobom testującym bezpieczeństwo aplikacji mobilnych (OWASP Mobile Checklist Final 2016). Do projektu OWASP ASVS jeszcze trochę brakuję, ale i tak mamy 91 rzeczy do sprawdzenia – podzielone na elementy klienckie oraz server-side. –Michał Sajdak
Czytaj dalej »
Niedawno pokazała się wersja 3.0 znanego dokumentu: OWASP ASVS. W skrócie jest to rozbudowana checklista, pokazująca jak w systematyczny sposób zweryfikować bezpieczeństwo aplikacji (webowej) – dodatkowo podzielona na 3 poziomy szczegółowości badania. Zmiany w stosunku do wersji 2.0 poszły moim zdaniem w bardzo dobrym kierunku. Mamy tu bowiem: Bardziej rozbudowane…
Czytaj dalej »
Projekt AppSensor został oficjalnie dołączony do grupy flagowych (flagship) projektów organizacji OWASP. Celem tego projektu jest integracja aplikacji z metodykami wykrywania i powstrzymywania ataków (attack-aware application).
Czytaj dalej »
OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.
Czytaj dalej »
Organizacja OWASP pracuje nad odmianą znanego projektu OWASP TOP 10. Nowe przedsięwzięcie – OWASP Internet of Things Top Ten Project – ma na celu rozpowszechnienie informacji o najczęściej spotykanych błędach wśród nowoczesnych gadżetów oraz inteligentnego sprzętu domowego. Oto obecne propozycje najpowszechniejszych zagrożeń czających się w „Internet of Things„: Administrative Interface with Weak/Default Credentials…
Czytaj dalej »
Druga część tekstu o testach penetracyjnych – tym razem robimy bardziej szczegółowy przegląd po rozmaitych metodykach.
Czytaj dalej »
OWASP EU zaprasza do wzięcia udziału w nowym CTF: http://eu.honeyn3t.ie/ Jak piszą: „There are prizes to be won like an OWASP lifetime membership and tickets to Appsec EU in Hamburg.” oraz „So far there are 38 players signed up Currently in the lead is dowahlookfatindiz with a score of 394…
Czytaj dalej »
Na stronach OWASP pojawiła się finalna wersja dokumentu OWASP Top Ten 2013 – The Ten Most Critical Web Application Security Risks.
Czytaj dalej »