Spustili jsme penetrační testy webových aplikací dle OWASP

23. 9. 2013 Václav Štverka

Před několika dny jsme zahájili kampaň „Test bezpečnosti webových aplikací“ s využitím metodiky OWASP. Pokud byste se rádi této kampaně zúčasnili, neváhejte a kontaktujte nás.

Open Web Application Security Project (OWASP) Top 10 představuje nejkritičtější bezpečností rizika webových aplikací na základě posouzení a shody odborníků pro zabezepčení aplikací z celého světa. OWASP Top 10 se de facto stal standardem pro zabezpečení webových aplikací. Kromě toho je OWASP Top 10 klíčovým požadavkem v PCI DSS, která v sekci 6.5 uvádí, že webové aplikace by měly být vytvářeny na základě best practices, jakými jsou zásady OWASP.

TOP 10 hrozby pro rok 2013

A1: Injection
A2: Broken Authentication and Session Management
A3: Cross-Site Scripting (XSS)
A4: Insecure Direct Object References
A5: Security Misconfiguration
A6: Sensitive Data Exposure
A7: Missing Function Level Access Control
A8: Cross-Site Request Forgery (CSFR)
A9: Using Known Vulnerable Components
A10: Unvalidated Redirects and Forwards

OWASP Top 10 je výborným měřítkem pro organizace k měření zabezpečení svých webových aplikací. Top 10 nejen zvyšují povědomí o bezpečnostních hrozbách, ale take umožňují vývojářům a bezpečnostním profesionálům prioritizovat a nnásledně řešit tyto hrozby. Doporučená nespočtěm organizací a normalizačními instituty, včetně PCI, OWASP Top 10 je výborným prvním krokem k identifikaci a zmírnění rizik webových aplikací