اواسپ
پروژه امنیت نرمافزاری تحت وب (به انگلیسی: Open Web Application Security Project) (به اختصار:OWASP)، یک انجمن آنلاین است که مقالات، روشها، اسناد، ابزارها و فناوریهای آزاد در زمینه امنیت وب را تولید میکند.[۱][۲]
تاریخچه
ویرایشمارک کرپی، اواسپ را در تاریخ نهم سپتامبر ۲۰۰۱ بنیان نهاد. جف ویلیامز از اواخر سال ۲۰۰۳ تا سپتامبر ۲۰۱۱ به عنوان داوطلب ریاست هیئت مدیره اواسپ را برعهده داشت. از سال ۲۰۱۵، مت کوندا ریاست هیئت مدیره را تقبل کرد.[۳]
بنیاد اواسپ، سازمانی غیرانتفاعی از نوع ۵۰۱(سی)(۳) (در ایالات متحده آمریکا) که در سال ۲۰۰۴ تأسیس شد، از زیرساختها و پروژههای این سازمان پشتیبانی میکند. از سال ۲۰۱۱، OWASP نیز به عنوان یک سازمان غیرانتفاعی در بلژیک تحت نام OWASP Europe VZW ثبت شدهاست.[۴]
انتشارات و منابع
ویرایش- پروژه ۱۰ آسیبپذیری اول نرمافزارهای تحت وب که اولین بار در سال ۲۰۰۳ منتشر شد، بهطور مرتب به روزرسانی میشود.[۵] هدف آن ارتقاء آگاهی دربارهٔ امنیت نرمافزارها با شناسایی برخی از مهمترین خطرات سازمان است.[۶][۷][۸] بسیاری از استانداردها، کتابها، ابزارها و سازمانها به این پروژه اشاره دارند از جمله[۹] PCI DSS, MITRE آژانس سیستمهای اطلاعاتی ([۱۰] DISA-STIG), کمیسیون تجاری فدرال ایالات متحده (FTC)[۱۱] و بسیار بیشتر.
- مدل بلوغ اطمینان نرمافزاری اواسپ: مدل بلوغ اطمینان نرمافزاری (SAMM) متعهد به ایجاد یک چارچوب قابل استفاده برای کمک به سازماندهی و تدوین یک استراتژی برای امنیت نرمافزار است که به خطرات خاص کسب و کار سازمان مربوط میشود.
- راهنمای توسعه اواسپ: راهنمای توسعه فراهمکننده راهنماییهای عملی شامل J2EE, ASP. NET و نمونه کد PHP است. راهنمای توسعه مجموعه گستردهای از مسائل مربوط به امنیت در سطح نرمافزار را پوشش میدهد از تزریق SQL تا نگرانیهای مدرن مانند فیشینگ، اداره کارت اعتباری، تداوم جلسات، جعل درخواست میان وبگاهی،[۱۲] توافق و مسائل مربوط به حریم خصوصی.
- راهنمای تست نفوذپذیری اواسپ: راهنمای تست نفوذپذیری اواسپ شامل چارچوب تست نفوذ "تجربه برتر[۱۳]" که کاربران میتوانند در سازمانهای خود پیادهسازی کنند و یک راهنمای تست نفوذ "سطح پایین" است که تکنیکهایی را برای تست رایجترین نرمافزارهای تحت وب و مسائل امنیتی مربوط به خدمات وب ارائه میدهد. نسخه ۴ آن در سپتامبر ۲۰۱۴ با درونداد ۶۰ نفر منتشر شد.[۱۴]
- راهنمای بررسی کد اواسپ: راهنمای بررسی کد در حال حاضر در نسخه ۲ و در ژوئیه ۲۰۱۷ منتشر شد.
- استاندارد تأیید امنیتی (ASVS) اواسپ: یک استاندارد برای اجرای بررسیهای امنیتی در سطح نرمافزار.[۱۵]
- دروازه امنیتی XML اواسپ (XSG) یا معیارهای ارزیابی پروژه.[۱۶]
- پروژه ۱۰ راهنمای ارزیابی حوادث اواسپ: این پروژه یک رویکرد پیشگیرانه برای برنامهریزی خطرات حوادث فراهم میکند. مخاطب مورد نظر این سند شامل صاحبان کسبوکار برای مهندسان امنیت، توسعه دهندگان، حسابرسی، مدیران برنامه، اجرای قانون و شورای حقوقی است.[۱۷]
- پروژه ZAP اواسپ (The Zed Attack Proxy یا به اختصار ZAP):[۱۸] یک ابزار تست نفوذپذیری مجتمع، با قابلیت استفاده آسان برای یافتن حفرههای آسیبپذیری در نرمافزارهای تحت وب است. این ابزار طراحی شدهاست تا توسط افراد با طیف گستردهای از تجربه امنیتی از جمله توسعه دهندگان و ارزیابندههای عملکردی که به تازگی با تست نفوذ آشنا شدهاند مورد استفاده قرارگیرد.
- Webgoat: یک نرمافزار تحت وب که توسط اواسپ عمداً ناامن ایجاد شدهاست تا به عنوان یک راهنما برای شیوههای برنامهنویسی امن مورد استفاده قرارگیرد. پس از دانلود، نرمافزار با آموختار و مجموعهای از درسهای مختلف همراه است که به دانشجویان نحوه بهرهبرداری از آسیبپذیریها را آموزش میدهد. هدف این است که نحوه نوشتن ایمن کد را به آنها بیاموزد.
- جریان امنیت نرمافزاری اواسپ: این پروژه یک محل برای یافتن اطلاعات مورد نیاز جهت افزایش سرعت و اتوماسیون برنامههای امنیتی نرمافزار است. جریانهای امنیت نرمافزاری، اصول دواپس[۱۹] را بر عهده میگیرند و آن را به برنامه امنیتی نرمافزار اعمال میکنند.[۲۰]
- تهدیدات خودکار اواسپ برای نرمافزارهای کاربردی تحت وب: هدف از پروژه تهدیدات خودکار اواسپ برای نرمافزارهای کاربردی تحت وب، که در ژوئیه ۲۰۱۵ منتشر شدهاست،[۲۱] فراهم کردن اطلاعات قطعی و دیگر منابع برای معماران، توسعه دهندگان، ارزیابندگان و دیگران است تا به دفاع از تهدیدات خودکاری چون تهیه اعتبار[۲۲] کمک کنند. نمای کلی این پروژه ۲۰ تهدید به صورت خودکار توسط اواسپ تعریف میکند.[۲۳]
جوایز
ویرایشسازمان اواسپ جایزه SC Magazine Editor's Choice را در سال ۲۰۱۴ میلادی دریافت کرد.[۲][۲۴]
جستارهای وابسته
ویرایش- پروژه Metasploit
- w3af
منابع
ویرایش- ↑ "OWASP top 10 vulnerabilities". developerWorks. IBM. 20 April 2015. Retrieved 28 November 2015.
- ↑ ۲٫۰ ۲٫۱ "SC Magazine Awards 2014" (PDF). Media.scmagazine.com. Archived from the original (PDF) on 22 September 2014. Retrieved 3 November 2014.
- ↑ Board «نسخه آرشیو شده». بایگانیشده از اصلی در ۱۶ سپتامبر ۲۰۱۷. دریافتشده در ۲۶ ژانویه ۲۰۱۹. . OWASP. Retrieved on 2015-02-27.
- ↑ OWASP Europe , OWASP، 2016
- ↑ OWASP ده پروژه برتر در owasp.org
- ↑ Trevathan, Matt (1 October 2015). "Seven Best Practices for Internet of Things". Database and Network Journal. Archived from the original on 28 November 2015. Retrieved 28 November 2015.
- ↑ Crosman, Penny (24 July 2015). "Leaky Bank Websites Let Clickjacking, Other Threats Seep In". American Banker. Archived from the original on 28 November 2015. Retrieved 28 November 2015.
- ↑ Pauli, Darren (4 December 2015). "Infosec bods rate app languages; find Java 'king', put PHP in bin". The Register. Retrieved 4 December 2015.
- ↑ "Payment Card Industry Data Security Standard". Wikipedia (به انگلیسی). 2019-01-23.
- ↑ "Security Technical Implementation Guide". Wikipedia (به انگلیسی). 2018-11-29.
- ↑ "Open Web Application Security Project Top 10 (OWASP Top 10)". Synopsys. Synopsys, Inc. 2017. Retrieved 2017-07-20.
Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
- ↑ "Cross-site request forgery". Wikipedia (به انگلیسی). 2019-01-04.
- ↑ "Search results". Wikipedia (به انگلیسی). 2019-01-25.
- ↑ Pauli, Darren (18 September 2014). "Comprehensive guide to obliterating web apps published". The Register. Retrieved 28 November 2015.
- ↑ Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees (2015). Foundations of Information Security Based on ISO27001 and ISO27002 (3 ed.). Van Haren. p. 144. ISBN 9789401800129.
- ↑ "Category:OWASP XML Security Gateway Evaluation Criteria Project Latest". Owasp.org. Archived from the original on 3 November 2014. Retrieved November 3, 2014.
- ↑ «نسخه آرشیو شده». بایگانیشده از اصلی در ۶ آوریل ۲۰۱۹. دریافتشده در ۲۶ ژانویه ۲۰۱۹.
- ↑ "OWASP ZAP". Wikipedia (به انگلیسی). 2018-12-24.
- ↑ "دواپس". ویکیپدیا، دانشنامهٔ آزاد. 2018-10-31.
- ↑ "OWASP AppSec Pipeline". Open Web Application Security Project (OWASP). Archived from the original on 27 February 2017. Retrieved 26 February 2017.
- ↑ «OWASP Automated Threats to Web Applications - OWASP». www.owasp.org. دریافتشده در ۲۰۱۹-۰۱-۲۶.
- ↑ «Credential stuffing - OWASP». www.owasp.org. دریافتشده در ۲۰۱۹-۰۱-۲۶.
- ↑ لیست وقایع تهدید خودکار
- ↑ "Winners | SC Magazine Awards". Awards.scmagazine.com. Archived from the original on August 20, 2014. Retrieved 2014-07-17.
Editor's Choice [...] Winner: OWASP Foundation