Saltar para o conteúdo

OWASP

Origem: Wikipédia, a enciclopédia livre.

O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.[1][2]

Todas as ferramentas, documentos, fóruns e capítulos do OWASP são grátis e abertos a todos os interessados em aperfeiçoar a segurança em aplicações. Promovemos a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. A OWASP é um novo tipo de organização. O fato de ser livre de pressões comerciais permite fornecer informação de segurança de aplicações imparcial, prática e de custo eficiente.

A OWASP não é filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurança comercial. Da mesma forma que muitos projetos de software de código aberto, a OWASP produz vários tipos de materiais de maneira colaborativa e aberta. 

OWASP foi iniciada em 9 de setembro de 2001 por Mark Curphey.[3][4] Jeff Williams serviu como voluntário do final de 2003 até setembro de 2011. O atual presidente é Tobias Gondrom e o vice-presidente é Josh Sokol.[5]

A Fundação OWASP é uma organização 501(c)(3) organização sem fins lucrativos (nos EUA), foi criada em 2004 e oferece suporte a infraestrutura e aos projetos da OWASP.

Desde 2011, a OWASP é também registrada como uma organização sem fins lucrativos na Bélgica, sob o nome de OWASP Europa VZW.[6]

Owasp Projetos

[editar | editar código-fonte]

Esta é uma das divisões mais populares da OWASP, uma vez que dá aos membros a oportunidade de testar teorias e idéias livremente com o aconselhamento profissional e apoio da comunidade OWASP. Você pode visualizar todas as listas, examinar seus arquivos, e subscrever qualquer projeto, visitando as Listas de Discussão do Owasp Projeto.

Inventário do OWASP Projetos

[editar | editar código-fonte]

A designação OWASP Flagship é dada aos projetos que tenham demonstrados valor estratégico para OWASP e segurança do aplicativo como um todo.

Representam projetos que produziram um produto de valor, embora normalmente não estejam prontos para a produção.

Representam os projetos que estão em desenvolvimento, ideias sendo comprovadas e projetos sendo concretizados.

Projetos de baixa atividade, projetos que não tiveram lançamento em pelo menos um ano, no entanto, tem mostrado ser ferramentas valiosas

O OWASP Top 10 é um documento de conscientização para a segurança das aplicações web. O OWASP Top 10 representa um amplo consenso sobre o que são as falhas de segurança de aplicativos web mais importantes. Os membros do projeto incluem uma variedade de especialistas em segurança de todo o mundo que compartilharam seus conhecimentos para produzir essa lista.[7]

O OWASP Top 10 possui licença gratuita, contando também com diferentes traduções, onde se é dada por usuários voluntários.[8]

O OWASP Top 10 de 2017[7] foi:

  1. Injeção de Código
  2. Quebra de Autenticação
  3. Exposição de Dados Sensíveis
  4. Entidades Externas de XML
  5. Quebra de Controle de Acesso
  6. Configuração Incorreta de Segurança
  7. Cross-Site Scripting (XSS)
  8. Deserialização Insegura
  9. Utilização de Componentes com Vulnerabilidades Conhecidas
  10. Log e Monitoramento Ineficientes

Top 10 Controles Preventivos

[editar | editar código-fonte]

O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de software. Eles são ordenados por ordem de importância, sendo o primeiro o mais importante:

  1. verificar a segurança cedo e frequentemente;
  2. parametrizar consultas;
  3. codificar dados;
  4. validar todas as entradas;
  5. implementar controles de identidade e autenticação;
  6. implementar controles de acesso;
  7. proteger os dados;
  8. implementar LOG e detecção de intrusão;
  9. aproveitar as estruturas de segurança e bibliotecas;
  10. manipulação de erros e exceções.

Referências

  1. security editors, developerWorks (25 de abril de 2015). «OWASP top 10 vulnerabilities». OWASP top 10 vulnerabilities. Consultado em 25 de outubro de 2016 
  2. «AWARDS 2014. Honored in the U.S.» (PDF). AWARDS 2014. Honored in the U.S. SC Magazine. 25 de fevereiro de 2014. Consultado em 25 de outubro de 2016 
  3. Huseby, Sverre (2004).
  4. Curphey, Mark (27 de maio de 2014). «The Start of OWASP – A True Story». The Start of OWASP – A True Story. SourceClear. Consultado em 25 de outubro de 2016 
  5. Board.
  6. OWASP Europe, OWASP, 2016
  7. a b Acesse os top 10
  8. All versions of the OWASP Top 10 - 2013

Ligações externas

[editar | editar código-fonte]