مختصری در باره OWASP

   
نام نویسنده:
|
دسته بندی:
|
کلمه OWASP مخفف  Open Web Application Security Protocol Project است و یک جامعه(community) اختصاصی  آنلاین برای امنیت نرم افزارهای تحت وب است. این جامعه از شرکتها، موسسات آموزشی و افراد مختلفی در سراسر دنیا تشکیل شده است. هدف این جامعه ایجاد مقالات، روشها، اسناد، ابزارها و فناوری های امنیت نرم افزارهای تحت وب برای همه افراد است. به عبارتی کلیه موارد ذکر شده به رایگان در اختیار همه قرار می گیرد. این پروژه منحصر به شرکت یا فرد یا سازمان خاصی نبوده و نیست و یک پروژه کاملا متن باز(Open Source) است که هر کسی در هر جای دنیا می تواند به آن بپیوندد و در آن شرکت کند.  بنیاد OWASP، یک موسسه و سازمان غیر انتفاعی است که پروژه OWASP و زیرساختهای آن را مدیریت و حمایت می کند.


**پروژه های OWASP  
مجموعه ای از کارهای مرتبط که اعضا و نقشه راه مشخصی دارند را در OWASP پروژه می گویند. سه گروه اصلی پروژه های OWASP عبارتند از:
* پروژه های نابالغ (Incubator)
* پروژه های آزمایشگاهی (Lab)
* پروژه های پرچمدار (Flagship)
تعدادی از پروژه های مشهور OWASP عبارتند از:
* OWASP Top Ten   
هدف از این پروژه اطلاع رسانی در خصوص مشکلات امنیتی نرم افزارهای تحت وب و هشدار دهی به سازمان ها در خصوص امنیت برنامه های تحت وب می باشد. در این پروژه انواع و اقسام مختلفی از ابزارها ، کد ها ، راهنماها و ... معرفی و استفاده می شود.
* OWASP Software Assurance Maturity Model
 این پروژه یک راهنما برای سازمان ها است تا بتوانند یک چارچوب درست امنیتی و تحلیل امنیتی برای نرم افزارهای تحت وب خود ایجاد کنند تا بتوانند با مشکلات امنیتی نرم افزارهای کاربردی تحت وب و ریسک های آن بصورت هدفمند و روشمند مقابله و برخورد کنند.
* OWASP Development Guide  
راهنمای توسعه نرم افزار برای برنامه نویسان وب است و شامل یک سری نمونه کدهای کاربردی و مثالهایی از زبانهای برنامه نویسی مانند J2EE و ASP .NET و PHP می باشد. در این راهنمای برنامه نویسی و توسعه نرم افزارهای وب، برنامه نویس با انواع و اقسام حملات تحت وب از قبیلInjection و همچنین حملات جدیدتر شاملPhishing   و حتی مباحث کارت های اعتباری و امنیت تبادلات الکترونیک ، Session Fixation  و بسیاری دیگر از مسائل مهم مانند مشکلات حریم خصوصی در وب سایت ها آشنا می شود و به آنها در جهت رفع مشکلات احتمالی در خصوص این نرم افزارها راهنمایی های لازم ارائه می شود.
* OWASP Testing Guide
 همانطور که از نام این پروژه مشخص است راهنمایی برای تست و آزمون گرفتن از نرم افزارهای کاربری تحت وب است. این پروژه در واقع یک راهنمای مقدماتی برای برنامه نویسان وب می باشد تا بتوانند در پروژه های تست نفوذ سنجی به نرم افزارهای تحت وب از آن استفاده کرده و آن را معیار امنیتی خود قرار بدهند. در این راهنما تکنیک های مقدماتی نفوذ و حمله به نرم افزارهای تحت وب و سرویس های تحت وب تشریح شده است.
* OWASP Code Review Guide  
 راهنمایی برای مرور کدهای نوشته شده و مستند سازی کدهای نوشته شده می باشد که برنامه نویس بتواند پس از نوشتن یا توسعه نرم افزار کاربردی وب، خود آن را آزمایش کرده و نقاط ضعف در کدهای نوشته شده را برطرف کند.
* OWASP Application Security Verification Standard    
استاندارد تایید امنیت نرم افزارهای کاربردی یا ASVS همانطور که از نام این پروژه پیداست برای دریافت تاییده برای نرم افزارهای وب در خصوص رعایت استاندارد های امنیت بکار گرفته می شود. بر طبق این استاندارد یک سری تست های امنیتی بر روی نرم افزار از قبیل Cross Site Scripting وInjection و حملاتی از این دست انجام می شود و در صورت رعایت شدن این موارد در نرم افزار ، موفق به دریافت تاییدیه می شوند.
* OWASP XML Security Gateway
 این استاندارد بصورت پایلوت فعلا ایجاد شده است و بصورت ویژه برای برقراری امنیت برای ساختار XML مورد استفاده قرار می گیرد.
* OWASP ZAP Project  
این پروژه یک نرم افزار تست نفوذ سنجی تقریبا ساده می باشد که برای انجام تست های نفوذ سنجی به نرم افزار های کاربردی تحت وب مورد استفاده قرار می گیرد. این ابزار برای استفاده برنامه نویسان و هکرهای قانومند بسیار مناسب و کاربردی می باشد.
* Webgoat
 این پروژه یک نرم افزار کاربردی تحت وب می باشد که تمامی نقاط ضعفی که تا به حال توسط OWASP شناخته شده اند را بصورت مجازی و در قالب یک محیط برنامه نویسی شده شبیه سازی و در اختیار برنامه نویسان قرار می دهند. افرادی که با انواع حملات آشنایی پیدا کرده اند ولی می خواهند آن را بصورت عملی درک کنند کافیست این نرم افزار را دانلود کرده و آن را نصب و از طریق راهنمای آن تمامی حملات را بصورت شبیه سازی شده انجام دهند

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید