dodany: 11.01.2013 | tagi: , , ,

Autor:

Co oferuje nam OWASP?

9

OWASP – z ang. Open Web Application Security Project – jest globalną, profesjonalną fundacją, działającą charytatywnie (non-profit), otwartą dla każdego, kto interesuje się zabezpieczeniami w oprogramowaniu. Główną ideą stowarzyszenia jest poprawa bezpieczeństwa aplikacji webowych i nie tylko. Organizacja działa na rzecz stworzenia swobodnie dostępnych artykułów, metodologii, dokumentacji, narzędzi i technologii. Od czerwca 2011 zarejestrowana jest również w Europie. Społeczność obejmuje korporacje, organizacje oraz osoby indywidualne z całego świata. Również polski oddział działa prężnie.

Organizacja pragnie pozostać możliwie obiektywną w przekazywaniu praktycznych informacji na temat bezpieczeństwa czy ekonomii używania konkretnych aplikacji. Z założenia nie chce wiązać się z żadną firmą technologiczną. Chociaż wspiera świadome wykorzystywanie technologii bezpieczeństwa, to nie wspiera produktów lub usług komercyjnych. Uniknięcie jakiejkolwiek przynależności czy powiązań ma zagwarantować wolność podczas badań oraz publikacji ich wyników.

 

Biurokracją zajmuje się centrala, a Polakom zawdzięczamy wiele rozwiązań

OWASP obejmuje około 100 lokalnych oddziałów na całym świecie i tysiące uczestników na listach dyskusyjnych projektu. Lokalne oddziały prowadzone są niezależnie. Polski oddział działa przy organizacyjnym i administracyjnym wsparciu zagranicy, jednak określone zadania, np. organizacja spotkań, należą do ich własnych kompetencji.

Jest o tyle istotne, że w wielu projektach otwartych brak wsparcia potrafił rozłożyć cały projekt. W kwestiach merytorycznych natomiast praktycznie nie istnieje podział na „centralę” i „oddziały” – wszystkie oddziały starają się publikować swoje materiały na stronie OWASP, wszyscy też z nich chętnie korzystają

– mówi Paweł Krawczyk, członek zarządu OWASP w Polsce.

Na przykładzie OWASP można zobaczyć, jak bardzo zglobalizowany jest świat bezpieczeństwa aplikacji oraz jak widoczną pozycję zajmuje w nim nasz kraj. Wielu polskich członków OWASP regularnie występuje na światowych konferencjach. Np. Krzysztof Kotowicz brał udział w międzynarodowych konferencjach (np. BlackHat). Do tej pory prowadził prelekcje na temat ataków wykorzystujących implementacje HTML5, obecnie zajmuje się atakami na pluginy. Piotr Bucki ma na koncie ciekawe publikacje na temat dziur w J2EE, a Sławomir Jasek o frameworkach aplikacyjnych dla Javy. Paweł Krawczyk natomiast w zeszłym roku pokazywał w Londynie wyniki swoich prac nad zarządzaniem bezpieczeństwem dużych zbiorów aplikacji.

Ściśle współpracujemy też z innymi polskimi organizacjami z naszej branży – m.in. z ISACA czy fundacją ProIdea, której konferencja CONFidence jest już marką doskonale rozpoznawalną na świecie i ściągającą do Krakowa pół Europy :)

– dodaje Paweł Krawczyk.

OWASP organizuje także cykle konferencji w celu dalszego budowania wspólnoty bezpieczeństwa aplikacji. Polskie spotkania odbywają się co dwa miesiące w Krakowie i Warszawie, a od stycznia – również w Poznaniu.

Pod koniec stycznia odbędzie się inauguracyjne spotkanie OWASP w Poznaniu, na luty jest planowane kolejne spotkanie w Krakowie (szukamy prelegentów). W tym roku chcemy też zorganizować pierwszy polski OWASP Day, czyli jednodniową konferencję z prawdziwego zdarzenia

– mówi P. Krawczyk.

 

Niektóre projekty dostają wsparcie finansowe

OWASP istnieje od 9 września 2001 r., zostało założone przez Marka Curphey’a i Dennisa Govesa. Obecnym przewodniczącym jest Michael Coates. W 2004, w USA, powstała fundacja charytatywna (OWASP Foundation), wspierająca infrastrukturę i projekty OWASP. Członkom nie zależy na indywidualnym uznaniu, ale na dzieleniu się swoją wiedzą ze społecznością.

– Większość osób działających w OWASP trafiła tutaj w sposób bardzo naturalny – po prostu szukając czegokolwiek na temat bezpieczeństwa aplikacji, zwykle w pierwszym rzędzie trafia się na stronę OWASP. Później dostrzegłem tematy, w których mógłbym dodać coś od siebie, ulepszyć, dodać nowe informacje – coś jak na Wikipedii – stąd coraz większe zaangażowanie w współtworzenie OWASP

– opisuje swoją prace w organizacji Paweł Krawczyk.

Niektóre kluczowe projekty dostają wsparcie finansowe. Dodatkowo możliwy jest sponsoring konkretnych projektów przez darczyńców, ale bez możliwości wpływania na dotowany projekt.

Przydatne projekty

Ideą organizacji jest wspieranie oraz dotarcie do jak najszerszego grona użytkowników. Chociaż narzędzia i publikacje OWASP są dziś standardem, barierą w ich użyciu nadal pozostaje język. Większość materiałów publikowana jest w języku angielskim, często w czysto technicznej nomenklaturze. To utrudnia korzystanie z nich np. osobom początkującym. Do tej pory członkom krajowego oddziału udało się przetłumaczyć na język polski jeden z kluczowych dokumentów OWASP ASVS.

– Kilkakrotnie pod sztandarem OWASP składaliśmy również uwagi do rozmaitych projektów aktów prawnych (m.in. Krajowych Ram Interoperacyjności). W najbliższym czasie przygotujemy także (we współpracy z fundacją Miasta w Internecie) podręcznik bezpieczeństwa aplikacji, przeznaczony już konkretnie dla polskiego sektora publicznego i mocno osadzony w naszych realiach

– opowiada Paweł Krawczyk.

Wśród najbardziej udanych czy przydatnych projektów i narzędzi, Paweł Krawczyk wymienia cyfrowe publikacje dokumentujące dobre praktyki w zakresie pisania i rozwijania bezpiecznych aplikacji (guides), poradniki poświęcone konkretnym zagadnieniom technicznym (cheatsheet) oraz OWASP Top 10.

Tym ostatnim posługują się już chyba wszystkie narzędzia dostępne na rynku

– zaznacza P. Krawczyk.

Poza tym jest kilka projektów, w ramach których powstaje oprogramowanie do testowania lub zabezpieczania aplikacji – np. ESAPI (produkcyjna wersja niestety tylko dla Javy), Zed Attack Proxy czy WebGoat. Jednym z najbardziej udanych, choć mało znanych, jest Lapse+. Jest to skaner kodu źródłowego dla Javy, integrujący się z Eclipse, który daje całkiem niezłe wyniki zwłaszcza biorąc pod uwagę, ile kosztują komercyjne narzędzia z tej branży

– dodaje.

 

Co oferuje nam OWASP?

Poniżej opisaliśmy kilka wartych uwagi projektów i narzędzi.

OWASP Top Ten – zbiór 10 najistotniejszych błędów w zabezpieczeniach aplikacji internetowych. W celu stworzenia tej listy zaangażowano ekspertów ds. bezpieczeństwa z całego świata. Jest dobra podstawą na początku procesu tworzenia bezpiecznego oprogramowania.

OWASP Application Security Verification Standard (w skr. ASVS) – standard umożliwiający weryfikację bezpieczeństwa na poziomie aplikacji.

OWASP Guide – dokument zawierający szczegółowe wytyczne, dotyczące bezpieczeństwa aplikacji WWW. Przewodnik skierowany jest do architektów oraz programistów i jest obszerną instrukcją do projektowania, tworzenia i wdrażania bezpiecznych aplikacji i usług sieci Web. Zawiera praktyczne wskazówki, obejmujące J2EE, ASP.NET oraz próbki kodu PHP. Obejmuje wiele zagadnień na poziomie bezpieczeństwa aplikacji: od SQL Injection, przez współczesne problemy, takie jak phishing, obsługa kart kredytowych, session fixation, CRSF oraz zagadnienia prywatności. Oryginalny przewodnik stał się podstawą dla wielu specjalistów od bezpieczeństwa sieci. Od 2002 roku pierwsza wersja została pobrana ponad 2 miliony razy.

ESAPI – (z ang. OWASP Enterprise Security API Project) – bezpłatny i otwarty zbiór metod i zabezpieczeń niezbędnych do budowy bezpiecznych aplikacji internetowych.

AntiSamy – jest to webowe narzędzie sprawdzania poprawności danych wejściowych, a kodujące dane wyjściowe.

XSSer – framework, który automatycznie wykrywa luki XSS w aplikacjach internetowych.

WebGoat – aplikacja internetowa, celowo stworzona przez OWASP jako niezabezpieczona, będąca przewodnikiem dla bezpiecznych praktyk programowania. Po pobraniu aplikacji otrzymujemy samouczek i zestaw różnych lekcji, które pokazują jak aplikacja wykorzystuje luki oraz wskazują jak bezpiecznie napisać kod.

WebScarab – open-source’owe narzędzie do testowania aplikacji internetowych. Służy jako narzędzie przechwytujące żądania przeglądarki internetowej i odpowiedzi serwera WWW. Pozwala użytkownikowi lepiej zrozumieć jakie informacje, które są przesyłane do i z serwerów internetowych, mogą być używane do wykrywania ewentualny luk.

OWASP Mantra Security Framework – bardzo ciekawa i przydatna, rozbudowana aplikacja, oparta na Firefoksie. Jest to kolekcja narzędzi hakerskich, dodatków i skryptów, pozwalająca na testy penetracyjne stron i aplikacji webowych. Daje możliwość przeprowadzania badań każdemu, również nieprofesjonalnemu, twórcy stron czy aplikacji webowych, ponieważ zawiera także testy automatyczne. Pozwala na ominięcie żmudnego procesu instalacji wszelkich rozszerzeń do Firefoxa w celu wykonania testu.

OWASP Mantra OS – oparty o Ubuntu i Mantra Security Framework system operacyjny, wykorzystujący środowisko sandbox dla testowania aplikacji.

• OWASP publikuje również szereg tutoriali, np. w formie filmików (całą serię można znaleźć na YouTube).

 

Manta na Ubuntu

Chociaż Mantra wymaga poświęcenia sporej ilości czasu, warto zainteresować się tym narzędziem. Na powyższym screenie Mantra na Ubuntu. Screen oraz logo pochodzą ze strony owasp.org.

Zapraszamy na stronę OWASP, gdzie można znaleźć wszelkie wspominane publikacje oraz narzędzia.

Informacje o spotkaniach OWASP w Polsce można znaleźć na stronie polskiego oddziału.

 

Redaktorka WebSecurity.pl. Z zamiłowania i wykształcenia dziennikarka. Szlify dziennikarskie zdobywała w prasie lokalnej. W wolnym czasie czyta książki, ogląda filmy albo scrobbluje na last.fmie.

9 odpowiedzi na “Co oferuje nam OWASP?”

  1. avatar Adam napisał(a):

    Witam,
    ABstrahując od treści artykułu, poniższe tłumaczenie jest chyba niewłaściwe:
    OWASP – Projekt Otwartych Bezpiecznych Aplikacji Sieciowych (z ang. Open Web Application Security Project)
    Przetłumaczyłbym to: Otwarty projekt bezpieczeństwa aplikacji webowych.

  2. avatar bl4de napisał(a):

    "XSSer – framework, który automatycznie wykrywa, eksploatuje i zgłasza luki XSS w aplikacjach internetowych."

    Luk się nie "eksploatuje", jeśli już, to "exploituje" (od angielskiego 'exploit') , choć to też brzmi kalecznie :)

  3. avatar Katarzyna Sejdak napisał(a):

    Poprawiliśmy niektóre nieścisłości, a z tłumaczenia nazwy zrezygnowaliśmy. Dzięki za czujność :)

  4. Pretty nice post. I just stumbled upon your weblog and wanted
    to say that I have truly enjoyed surfing around your blog
    posts. In any case I’ll be subscribing to your feed and I hope you write again soon!

  5. avatar blog prestamos napisał(a):

    Un sitio muy interesante, llegué por casualidad y mola bastante. Saludos.

  6. avatar Josefa napisał(a):

    Muy interesante el sitio web. He llegado por casualidad y me ha encantado. Very interesting site. Amazing.

  7. Hi, There’s no doubt that your site might be having web browser compatibility problems.
    When I take a look at your web site in Safari, it looks fine however, if opening in IE, it’s
    got some overlapping issues. I just wanted to give you a quick heads up!

    Aside from that, great site!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *