Nowe bezpieczne usługi webowe

Na konferencji BlackHat swoją premierę miała nowa wersja popularnego standardu i listy kontrolnej bezpiecznych usług webowych OWASP 2.0.

Standard OWASP 2.0 (Open Web Application Security Project) jest otwartą inicjatywą, której celem jest stworzenie ogólnodostępnego zestawu procedur i standardów pozwalających programistom i projektantom na tworzenie bezpiecznych aplikacji webowych w różnych środowiskach. Standard jest także powszechnie stosowany przez audytorów i testerów bezpieczeństwa aplikacji.

Nowa wersja wyróżnia się na pierwszy rzut oka - niemal 300 stron w porównaniu do niespełna 90-ciu w wersji pierwszej. W każdym rozdziale znalazła się lista najpopularniejszych błędów popełnianych w omawianej technologii oraz zalecenia i rekomendowane praktyki inżynierskie. Obszerny rozdział Data Validation jest poświęcony metodom wprowadzania do aplikacji danych wejściowych w taki sposób aby uniknąć niespodzianek związanych ze zbyt długimi napisami, niewłaściwymi typami liczbowymi i innymi typowymi dziurami. Znacznie rozszerzona została sekcja poświęcona bezpieczeństwu PHP, które jest językiem niezwykle łatwym w stosowaniu jednak równie łatwo popełniać w nim poważne błędy (dobrym przykładem jest "czarna seria" dziur w phpBB w tym roku).

W OWASP 2.0 omówiono również procedury Threat Risk Modeling Process Microsoftu oraz metody bezpiecznego przetwarzania kart kredytowych. Tematem "na czasie" jest również szczegółowy zbiór zaleceń dotyczących bezpiecznego uwierzytelnienia i autoryzacji użytkowników w aplikacjach webowych. Problemy w tej dziedzinie często pomagają phisherom i wystawiają na ryzyko klientów nieraz poważnych instytucji finansowych.

Autorzy zapowiedzieli również że planują rozpoczęcie procesu standaryzacji OWASP przez NIST lub ISO. Byłby to znaczący krok od standardu de facto do standardu de iure, tym bardziej wartościowy że OWASP jest rozwijany przez osoby z ogromnym doświadczeniem w bezpieczeństwie aplikacji webowych i jest dokumentem odzwierciedlającym aktualny stan wiedzy w zakresie ataków i metod ochrony przed nimi.

Strona projektu: http://www.owasp.org/

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.