OWASP

开放式Web应用程序安全项目（OWASP）是一个在线社区，在Web应用安全（英语：Web application security）领域提供免费的文章，方法，文档，工具和技术。^[2][3]

OWASP

成立时间	2001[1]
创始人	Mark Curphey[1]
类型	501(c)(3) Nonprofit organization
法律地位	特拉华州法公司[*]
坐标	39°44′47″N 75°33′03″W
方法	Industry standards, Conferences, Workshops
董事	Martin Knobloch, Chair; Chenxi Wang, Co-Chair; Andrew van der Stock, Treasurer; Owen Pendlebury, Secretary; Matt Konda; Greg Anderson; Sherif Mansour
重要人物	Karen Staley, Executive Director; Kelly Santalucia, Membership and Business Liaison; Laura Grau, Event Manager; Tiffany Long, Community Manager; Claudia Cassanovas, Project Coordinator; Dawn Aitken, Program Assistant
员工数	8
志愿者数	42,000+
目标	Web Security, Application Security, Vulnerability Assessment
网站	www.owasp.org

历史

Mark Curphey于2001年9月9日创办了OWASP。^[1] Jeff Williams从2003年底到2011年9月担任OWASP的志愿者主席。截至2015年 (2015-Missing required parameter 1=month!)^[update]，Matt Konda担任董事会主席。^[4]

OWASP基金会是一家成立于2004年的501(c)(3)非营利组织（美国），支持OWASP基础设施和项目。自2011年以来，OWASP还以OWASP Europe VZW的名义在比利时注册为非营利组织。^[5]

出版物及资源

• OWASP Top Ten：2003年首次出版的“Top Ten”会定期更新。^[6] 它旨在通过识别组织面临的一些最重要的风险来提高对应用程序安全性的认识。^[7][8][9] 许多标准，书籍，工具和组织参考了Top 10项目，包括MITRE、PCI DSS（英语：Payment Card Industry Data Security Standard）、^[10]国防信息系统局（英语：Defense Information Systems Agency）（DISA-STIG（英语：Security Technical Implementation Guide））、美国联邦贸易委员会（FTC）。^[11]
• OWASP软件保障成熟度模型：软件保障成熟度模型（SAMM）项目致力于构建可用的框架，以帮助组织制定和实施针对组织面临的特定业务风险量身定制的应用程序安全性策略。
• OWASP开发指南：“开发指南”提供了实用指南，包括J2EE，ASP.NET和PHP代码示例。“开发指南”涵盖了广泛的应用程序级安全问题，从SQL注入到现代问题，如网络钓鱼，信用卡处理，会话固定，跨站请求伪造，合规性和隐私问题。
• OWASP测试指南：OWASP测试指南包括用户可以在自己的组织中实施的“最佳实践”渗透测试框架，以及描述测试最常见Web应用程序和Web服务安全问题的技术的“低级”渗透测试指南。第4版于2014年9月发布，共有60人参与。^[12]
• OWASP Code Review 指南：code review指南目前发布版本为2.0，于2017年7月发布。
• OWASP应用安全验证标准（ASVS）：执行应用程序级安全性验证的标准。^[13]
• OWASP XML安全网关（XSG）评估标准项目。^[14]
• OWASP Top 10 事件响应指南：该项目为事件响应计划提供了主动方法。本文档的目标读者包括企业所有者，安全工程师，开发人员，审计人员，项目经理，执法和法律委员会。^[15]
• OWASP ZAP项目：Zed Attack Proxy（ZAP）是一种易于使用的集成渗透测试工具，用于查找Web应用程序中的漏洞。它旨在供具有广泛安全经验的人员使用，包括不熟悉渗透测试的开发人员和功能测试人员。
• Webgoat：由OWASP创建的故意不安全的Web应用程序，作为安全编程实践的指南。^[1] 下载后，该应用程序会附带一个教程和一组不同的课程，指导学生如何利用漏洞，以教他们如何安全地编写代码。
• OWASP AppSec Pipeline：应用程序安全（AppSec）Rugged DevOps管道项目是一个查找提高应用程序安全程序速度和自动化所需信息的地方。AppSec Pipelines采用DevOps和Lean的原则，并将其应用于应用程序安全程序。^[16]
• OWASP对Web应用程序的自动威胁：2015年7月发布^[17] — OWASP Web应用自动威胁项目旨在为架构师，开发人员，测试人员和其他人提供确切的信息和其他资源，以帮助抵御凭证填充等自动威胁。该项目概述了OWASP定义的前20个自动威胁。^[18]

奖项

OWASP组织获得2014年SC杂志编辑选择奖。^[3][19]

另请参阅

• Metasploit
• w3af

参考文献

1. Huseby, Sverre. Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. 2004: 203. ISBN 0470857447.
2. OWASP top 10 vulnerabilities. developerWorks. IBM. 20 April 2015 [28 November 2015]. （原始内容存档于2019-03-27）.
3. SC Magazine Awards 2014 (PDF). Media.scmagazine.com. [3 November 2014]. （原始内容 (PDF)存档于2014-09-22）.
4. Board （页面存档备份，存于互联网档案馆）. OWASP. Retrieved on 2015-02-27.
5. OWASP Europe （页面存档备份，存于互联网档案馆）, OWASP, 2016
6. OWASP Top Ten Project on owasp.org. [2018-12-16]. （原始内容存档于2019-12-01）.
7. Trevathan, Matt. Seven Best Practices for Internet of Things. Database and Network Journal. 1 October 2015 [28 November 2015]. （原始内容存档于2015-11-28） –通过Template:Highbeam.
8. Crosman, Penny. Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. 24 July 2015 [28 November 2015]. （原始内容存档于2015-11-28） –通过Template:Highbeam.
9. Pauli, Darren. Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. 4 December 2015 [4 December 2015]. （原始内容存档于2019-04-14）.
10. Payment Card Industry (PCI) Data Security Standard (PDF). PCI Security Standards Council: 55. November 2013 [3 December 2015]. （原始内容存档 (PDF)于2016-04-03）.
11. Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017 [2017-07-20]. （原始内容存档于2019-04-06）. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
12. Pauli, Darren. Comprehensive guide to obliterating web apps published. The Register. 18 September 2014 [28 November 2015]. （原始内容存档于2019-04-06）.
13. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees. Foundations of Information Security Based on ISO27001 and ISO27002 3. Van Haren. 2015: 144. ISBN 9789401800129.
14. Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. [November 3, 2014]. （原始内容存档于2014-11-03）.
15. 存档副本. [2018-12-16]. （原始内容存档于2019-04-06）.
16. OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). [26 February 2017]. （原始内容存档于2017-02-27）.
17. AUTOMATED THREATS to Web applications (PDF). OWASP. July 2015 [2018-12-16]. （原始内容存档 (PDF)于2018-07-11）.
18. The list of automated threat events. [2018-12-16]. （原始内容存档于2019-01-26）.
19. Winners | SC Magazine Awards. Awards.scmagazine.com. [2014-07-17]. （原始内容存档于2014-08-20）. Editor's Choice [...] Winner: OWASP Foundation

外部链接

• 官方网站