OWASP

O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.^[1]^[2]

Todas as ferramentas, documentos, fóruns e capítulos do OWASP são grátis e abertos a todos os interessados em aperfeiçoar a segurança em aplicações. Promovemos a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. A OWASP é um novo tipo de organização. O fato de ser livre de pressões comerciais permite fornecer informação de segurança de aplicações imparcial, prática e de custo eficiente.

A OWASP não é filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurança comercial. Da mesma forma que muitos projetos de software de código aberto, a OWASP produz vários tipos de materiais de maneira colaborativa e aberta.

História[editar | editar código-fonte]

OWASP foi iniciada em 9 de setembro de 2001 por Mark Curphey.^[3]^[4] Jeff Williams serviu como voluntário do final de 2003 até setembro de 2011. O atual presidente é Tobias Gondrom e o vice-presidente é Josh Sokol.^[5]

A Fundação OWASP é uma organização 501(c)(3) organização sem fins lucrativos (nos EUA), foi criada em 2004 e oferece suporte a infraestrutura e aos projetos da OWASP.

Desde 2011, a OWASP é também registrada como uma organização sem fins lucrativos na Bélgica, sob o nome de OWASP Europa VZW.^[6]

Owasp Projetos[editar | editar código-fonte]

Esta é uma das divisões mais populares da OWASP, uma vez que dá aos membros a oportunidade de testar teorias e idéias livremente com o aconselhamento profissional e apoio da comunidade OWASP. Você pode visualizar todas as listas, examinar seus arquivos, e subscrever qualquer projeto, visitando as Listas de Discussão do Owasp Projeto.

Inventário do OWASP Projetos[editar | editar código-fonte]

Flagship Projetos[editar | editar código-fonte]

A designação OWASP Flagship é dada aos projetos que tenham demonstrados valor estratégico para OWASP e segurança do aplicativo como um todo.

Projetos de Laboratório[editar | editar código-fonte]

Representam projetos que produziram um produto de valor, embora normalmente não estejam prontos para a produção.

Incubadora de Projetos[editar | editar código-fonte]

Representam os projetos que estão em desenvolvimento, ideias sendo comprovadas e projetos sendo concretizados.

Low Activity Project[editar | editar código-fonte]

Projetos de baixa atividade, projetos que não tiveram lançamento em pelo menos um ano, no entanto, tem mostrado ser ferramentas valiosas

Owasp TOP 10[editar | editar código-fonte]

O OWASP Top 10 é um documento de conscientização para a segurança das aplicações web. O OWASP Top 10 representa um amplo consenso sobre o que são as falhas de segurança de aplicativos web mais importantes. Os membros do projeto incluem uma variedade de especialistas em segurança de todo o mundo que compartilharam seus conhecimentos para produzir essa lista.^[7]

O OWASP Top 10 possui licença gratuita, contando também com diferentes traduções, onde se é dada por usuários voluntários.^[8]

O OWASP Top 10 de 2017^[7] foi:

Injeção de Código
Quebra de Autenticação
Exposição de Dados Sensíveis
Entidades Externas de XML
Quebra de Controle de Acesso
Configuração Incorreta de Segurança
Cross-Site Scripting (XSS)
Deserialização Insegura
Utilização de Componentes com Vulnerabilidades Conhecidas
Log e Monitoramento Ineficientes

Top 10 Controles Preventivos[editar | editar código-fonte]

O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de software. Eles são ordenados por ordem de importância, sendo o primeiro o mais importante:

verificar a segurança cedo e frequentemente;
parametrizar consultas;
codificar dados;
validar todas as entradas;
implementar controles de identidade e autenticação;
implementar controles de acesso;
proteger os dados;
implementar LOG e detecção de intrusão;
aproveitar as estruturas de segurança e bibliotecas;
manipulação de erros e exceções.

Referências

↑ security editors, developerWorks (25 de abril de 2015). «OWASP top 10 vulnerabilities». OWASP top 10 vulnerabilities. Consultado em 25 de outubro de 2016
↑ «AWARDS 2014. Honored in the U.S.» (PDF). AWARDS 2014. Honored in the U.S. SC Magazine. 25 de fevereiro de 2014. Consultado em 25 de outubro de 2016
↑ Huseby, Sverre (2004).
↑ Curphey, Mark (27 de maio de 2014). «The Start of OWASP – A True Story». The Start of OWASP – A True Story. SourceClear. Consultado em 25 de outubro de 2016
↑ Board.
↑ OWASP Europe, OWASP, 2016
↑ ^a ^b Acesse os top 10
↑ All versions of the OWASP Top 10 - 2013

Ligações externas[editar | editar código-fonte]

[1] security editors, developerWorks (25 de abril de 2015). «OWASP top 10 vulnerabilities». OWASP top 10 vulnerabilities. Consultado em 25 de outubro de 2016

[SCmag14-2] «AWARDS 2014. Honored in the U.S.» (PDF). AWARDS 2014. Honored in the U.S. SC Magazine. 25 de fevereiro de 2014. Consultado em 25 de outubro de 2016

[ICSH-3] Huseby, Sverre (2004).

[4] Curphey, Mark (27 de maio de 2014). «The Start of OWASP – A True Story». The Start of OWASP – A True Story. SourceClear. Consultado em 25 de outubro de 2016

[5] Board.

[6] OWASP Europe, OWASP, 2016

[:0-7] Acesse os top 10

[8] All versions of the OWASP Top 10 - 2013

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]