اواسپ

پروژه امنیت نرم‌افزاری تحت وب

پروژه امنیت نرم‌افزاری تحت وب (به انگلیسی: Open Web Application Security Project) (به اختصار:OWASP)، یک انجمن آنلاین است که مقالات، روش‌ها، اسناد، ابزارها و فناوری‌های آزاد در زمینه امنیت وب را تولید می‌کند.[۱][۲]

پروژه امنیت نرم‌افزاری تحت وب اواسپ

تاریخچه

ویرایش

مارک کرپی، اواسپ را در تاریخ نهم سپتامبر ۲۰۰۱ بنیان نهاد. جف ویلیامز از اواخر سال ۲۰۰۳ تا سپتامبر ۲۰۱۱ به عنوان داوطلب ریاست هیئت مدیره اواسپ را برعهده داشت. از سال ۲۰۱۵، مت کوندا ریاست هیئت مدیره را تقبل کرد.[۳]

بنیاد اواسپ، سازمانی غیرانتفاعی از نوع ۵۰۱(سی)(۳) (در ایالات متحده آمریکا) که در سال ۲۰۰۴ تأسیس شد، از زیرساخت‌ها و پروژه‌های این سازمان پشتیبانی می‌کند. از سال ۲۰۱۱، OWASP نیز به عنوان یک سازمان غیرانتفاعی در بلژیک تحت نام OWASP Europe VZW ثبت شده‌است.[۴]

انتشارات و منابع

ویرایش
  • پروژه ۱۰ آسیب‌پذیری اول نرم‌افزارهای تحت وب که اولین بار در سال ۲۰۰۳ منتشر شد، به‌طور مرتب به روزرسانی می‌شود.[۵] هدف آن ارتقاء آگاهی دربارهٔ امنیت نرم‌افزارها با شناسایی برخی از مهم‌ترین خطرات سازمان است.[۶][۷][۸] بسیاری از استانداردها، کتاب‌ها، ابزارها و سازمان‌ها به این پروژه اشاره دارند از جمله[۹] PCI DSS, MITRE آژانس سیستم‌های اطلاعاتی ([۱۰] DISA-STIG), کمیسیون تجاری فدرال ایالات متحده (FTC)[۱۱] و بسیار بیشتر.
  • مدل بلوغ اطمینان نرم‌افزاری اواسپ: مدل بلوغ اطمینان نرم‌افزاری (SAMM) متعهد به ایجاد یک چارچوب قابل استفاده برای کمک به سازماندهی و تدوین یک استراتژی برای امنیت نرم‌افزار است که به خطرات خاص کسب و کار سازمان مربوط می‌شود.
  • راهنمای توسعه اواسپ: راهنمای توسعه فراهم‌کننده راهنمایی‌های عملی شامل J2EE, ASP. NET و نمونه کد PHP است. راهنمای توسعه مجموعه گسترده‌ای از مسائل مربوط به امنیت در سطح نرم‌افزار را پوشش می‌دهد از تزریق SQL تا نگرانی‌های مدرن مانند فیشینگ، اداره کارت اعتباری، تداوم جلسات، جعل درخواست میان وب‌گاهی،[۱۲] توافق و مسائل مربوط به حریم خصوصی.
  • راهنمای تست نفوذپذیری اواسپ: راهنمای تست نفوذپذیری اواسپ شامل چارچوب تست نفوذ "تجربه برتر[۱۳]" که کاربران می‌توانند در سازمان‌های خود پیاده‌سازی کنند و یک راهنمای تست نفوذ "سطح پایین" است که تکنیک‌هایی را برای تست رایج‌ترین نرم‌افزارهای تحت وب و مسائل امنیتی مربوط به خدمات وب ارائه می‌دهد. نسخه ۴ آن در سپتامبر ۲۰۱۴ با درون‌داد ۶۰ نفر منتشر شد.[۱۴]
  • راهنمای بررسی کد اواسپ: راهنمای بررسی کد در حال حاضر در نسخه ۲ و در ژوئیه ۲۰۱۷ منتشر شد.
  • استاندارد تأیید امنیتی (ASVS) اواسپ: یک استاندارد برای اجرای بررسی‌های امنیتی در سطح نرم‌افزار.[۱۵]
  • دروازه امنیتی XML اواسپ (XSG) یا معیارهای ارزیابی پروژه.[۱۶]
  • پروژه ۱۰ راهنمای ارزیابی حوادث اواسپ: این پروژه یک رویکرد پیشگیرانه برای برنامه‌ریزی خطرات حوادث فراهم می‌کند. مخاطب مورد نظر این سند شامل صاحبان کسب‌وکار برای مهندسان امنیت، توسعه دهندگان، حسابرسی، مدیران برنامه، اجرای قانون و شورای حقوقی است.[۱۷]
  • پروژه ZAP اواسپ (The Zed Attack Proxy یا به اختصار ZAP):[۱۸] یک ابزار تست نفوذپذیری مجتمع، با قابلیت استفاده آسان برای یافتن حفره‌های آسیب‌پذیری در نرم‌افزارهای تحت وب است. این ابزار طراحی شده‌است تا توسط افراد با طیف گسترده‌ای از تجربه امنیتی از جمله توسعه دهندگان و ارزیابنده‌های عملکردی که به تازگی با تست نفوذ آشنا شده‌اند مورد استفاده قرارگیرد.
  • Webgoat: یک نرم‌افزار تحت وب که توسط اواسپ عمداً ناامن ایجاد شده‌است تا به عنوان یک راهنما برای شیوه‌های برنامه‌نویسی امن مورد استفاده قرارگیرد. پس از دانلود، نرم‌افزار با آموختار و مجموعه‌ای از درس‌های مختلف همراه است که به دانشجویان نحوه بهره‌برداری از آسیب‌پذیری‌ها را آموزش می‌دهد. هدف این است که نحوه نوشتن ایمن کد را به آن‌ها بیاموزد.
  • جریان امنیت نرم‌افزاری اواسپ: این پروژه یک محل برای یافتن اطلاعات مورد نیاز جهت افزایش سرعت و اتوماسیون برنامه‌های امنیتی نرم‌افزار است. جریان‌های امنیت نرم‌افزاری، اصول دواپس[۱۹] را بر عهده می‌گیرند و آن را به برنامه امنیتی نرم‌افزار اعمال می‌کنند.[۲۰]
  • تهدیدات خودکار اواسپ برای نرم‌افزارهای کاربردی تحت وب: هدف از پروژه تهدیدات خودکار اواسپ برای نرم‌افزارهای کاربردی تحت وب، که در ژوئیه ۲۰۱۵ منتشر شده‌است،[۲۱] فراهم کردن اطلاعات قطعی و دیگر منابع برای معماران، توسعه دهندگان، ارزیابندگان و دیگران است تا به دفاع از تهدیدات خودکاری چون تهیه اعتبار[۲۲] کمک کنند. نمای کلی این پروژه ۲۰ تهدید به صورت خودکار توسط اواسپ تعریف می‌کند.[۲۳]

جوایز

ویرایش

سازمان اواسپ جایزه SC Magazine Editor's Choice را در سال ۲۰۱۴ میلادی دریافت کرد.[۲][۲۴]

جستارهای وابسته

ویرایش

منابع

ویرایش
  1. "OWASP top 10 vulnerabilities". developerWorks. IBM. 20 April 2015. Retrieved 28 November 2015.
  2. ۲٫۰ ۲٫۱ "SC Magazine Awards 2014" (PDF). Media.scmagazine.com. Archived from the original (PDF) on 22 September 2014. Retrieved 3 November 2014.
  3. Board «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۱۶ سپتامبر ۲۰۱۷. دریافت‌شده در ۲۶ ژانویه ۲۰۱۹.. OWASP. Retrieved on 2015-02-27.
  4. OWASP Europe , OWASP، 2016
  5. OWASP ده پروژه برتر در owasp.org
  6. Trevathan, Matt (1 October 2015). "Seven Best Practices for Internet of Things". Database and Network Journal. Archived from the original on 28 November 2015. Retrieved 28 November 2015.
  7. Crosman, Penny (24 July 2015). "Leaky Bank Websites Let Clickjacking, Other Threats Seep In". American Banker. Archived from the original on 28 November 2015. Retrieved 28 November 2015.
  8. Pauli, Darren (4 December 2015). "Infosec bods rate app languages; find Java 'king', put PHP in bin". The Register. Retrieved 4 December 2015.
  9. "Payment Card Industry Data Security Standard". Wikipedia (به انگلیسی). 2019-01-23.
  10. "Security Technical Implementation Guide". Wikipedia (به انگلیسی). 2018-11-29.
  11. "Open Web Application Security Project Top 10 (OWASP Top 10)". Synopsys. Synopsys, Inc. 2017. Retrieved 2017-07-20. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
  12. "Cross-site request forgery". Wikipedia (به انگلیسی). 2019-01-04.
  13. "Search results". Wikipedia (به انگلیسی). 2019-01-25.
  14. Pauli, Darren (18 September 2014). "Comprehensive guide to obliterating web apps published". The Register. Retrieved 28 November 2015.
  15. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (3 ed.). Van Haren. p. 144. ISBN 9789401800129.
  16. "Category:OWASP XML Security Gateway Evaluation Criteria Project Latest". Owasp.org. Archived from the original on 3 November 2014. Retrieved November 3, 2014.
  17. «نسخه آرشیو شده». بایگانی‌شده از اصلی در ۶ آوریل ۲۰۱۹. دریافت‌شده در ۲۶ ژانویه ۲۰۱۹.
  18. "OWASP ZAP". Wikipedia (به انگلیسی). 2018-12-24.
  19. "دواپس". ویکی‌پدیا، دانشنامهٔ آزاد. 2018-10-31.
  20. "OWASP AppSec Pipeline". Open Web Application Security Project (OWASP). Archived from the original on 27 February 2017. Retrieved 26 February 2017.
  21. «OWASP Automated Threats to Web Applications - OWASP». www.owasp.org. دریافت‌شده در ۲۰۱۹-۰۱-۲۶.
  22. «Credential stuffing - OWASP». www.owasp.org. دریافت‌شده در ۲۰۱۹-۰۱-۲۶.
  23. لیست وقایع تهدید خودکار
  24. "Winners | SC Magazine Awards". Awards.scmagazine.com. Archived from the original on August 20, 2014. Retrieved 2014-07-17. Editor's Choice [...] Winner: OWASP Foundation

پیوند به بیرون

ویرایش