OWASP

開放式Web應用程式安全專案（OWASP）是一個線上社區，在Web應用安全（英語：Web application security）領域提供免費的文章，方法，文件，工具和技術。^[2][3]

OWASP

成立時間	2001[1]
創始人	Mark Curphey[1]
類型	501(c)(3) Nonprofit organization
法律地位	特拉華州法公司[*]
坐標	39°44′47″N 75°33′03″W
方法	Industry standards, Conferences, Workshops
董事	Martin Knobloch, Chair; Chenxi Wang, Co-Chair; Andrew van der Stock, Treasurer; Owen Pendlebury, Secretary; Matt Konda; Greg Anderson; Sherif Mansour
重要人物	Karen Staley, Executive Director; Kelly Santalucia, Membership and Business Liaison; Laura Grau, Event Manager; Tiffany Long, Community Manager; Claudia Cassanovas, Project Coordinator; Dawn Aitken, Program Assistant
員工數	8
志願者數	42,000+
目標	Web Security, Application Security, Vulnerability Assessment
網站	www.owasp.org

歷史

Mark Curphey於2001年9月9日創辦了OWASP。^[1] Jeff Williams從2003年底到2011年9月擔任OWASP的志願者主席。截至2015年 (2015-Missing required parameter 1=month!)^[update]，Matt Konda擔任董事會主席。^[4]

OWASP基金會是一家成立於2004年的501(c)(3)非營利組織（美國），支援OWASP基礎設施和專案。自2011年以來，OWASP還以OWASP Europe VZW的名義在比利時註冊為非營利組織。^[5]

出版物及資源

• OWASP Top Ten：2003年首次出版的「Top Ten」會定期更新。^[6] 它旨在通過辨識組織面臨的一些最重要的風險來提高對應用程式安全性的認識。^[7][8][9] 許多標準，書籍，工具和組織參考了Top 10專案，包括MITRE、PCI DSS（英語：Payment Card Industry Data Security Standard）、^[10]國防資訊系統局（英語：Defense Information Systems Agency）（DISA-STIG（英語：Security Technical Implementation Guide））、美國聯邦貿易委員會（FTC）。^[11]
• OWASP軟件保障成熟度模型：軟件保障成熟度模型（SAMM）專案致力於構建可用的框架，以幫助組織制定和實施針對組織面臨的特定業務風險量身客製化的應用程式安全性策略。
• OWASP開發指南：「開發指南」提供了實用指南，包括J2EE，ASP.NET和PHP代碼範例。「開發指南」涵蓋了廣泛的應用程式級安全問題，從SQL注入到現代問題，如網絡釣魚，信用卡處理，對談固定，跨站請求偽造，合規性和私隱問題。
• OWASP測試指南：OWASP測試指南包括用戶可以在自己的組織中實施的「最佳實踐」滲透測試框架，以及描述測試最常見Web應用程式和Web服務安全問題的技術的「低階」滲透測試指南。第4版於2014年9月發佈，共有60人參與。^[12]
• OWASP Code Review 指南：code review指南目前發佈版本為2.0，於2017年7月發佈。
• OWASP應用安全驗證標準（ASVS）：執行應用程式級安全性驗證的標準。^[13]
• OWASP XML安全閘道器（XSG）評估標準專案。^[14]
• OWASP Top 10 事件響應指南：該專案為事件響應計劃提供了主動方法。本文件的目標讀者包括企業所有者，安全工程師，開發人員，審計人員，專案經理，執法和法律委員會。^[15]
• OWASP ZAP專案：Zed Attack Proxy（ZAP）是一種易於使用的整合滲透測試工具，用於尋找Web應用程式中的漏洞。它旨在供具有廣泛安全經驗的人員使用，包括不熟悉滲透測試的開發人員和功能測試人員。
• Webgoat：由OWASP建立的故意不安全的Web應用程式，作為安全編程實踐的指南。^[1] 下載後，該應用程式會附帶一個教程和一組不同的課程，指導學生如何利用漏洞，以教他們如何安全地編寫代碼。
• OWASP AppSec Pipeline：應用程式安全（AppSec）Rugged DevOps管道專案是一個尋找提高應用程式安全程式速度和自動化所需資訊的地方。AppSec Pipelines採用DevOps和Lean的原則，並將其應用於應用程式安全程式。^[16]
• OWASP對Web應用程式的自動威脅：2015年7月發佈^[17] — OWASP Web應用自動威脅專案旨在為架構師，開發人員，測試人員和其他人提供確切的資訊和其他資源，以幫助抵禦憑證填充等自動威脅。該專案概述了OWASP定義的前20個自動威脅。^[18]

獎項

OWASP組織獲得2014年SC雜誌編輯選擇獎。^[3][19]

另請參閱

• Metasploit
• w3af

參考文獻

1. Huseby, Sverre. Innocent Code: A Security Wake-Up Call for Web Programmers. Wiley. 2004: 203. ISBN 0470857447.
2. OWASP top 10 vulnerabilities. developerWorks. IBM. 20 April 2015 [28 November 2015]. （原始內容存檔於2019-03-27）.
3. SC Magazine Awards 2014 (PDF). Media.scmagazine.com. [3 November 2014]. （原始內容 (PDF)存檔於2014-09-22）.
4. Board （頁面存檔備份，存於互聯網檔案館）. OWASP. Retrieved on 2015-02-27.
5. OWASP Europe （頁面存檔備份，存於互聯網檔案館）, OWASP, 2016
6. OWASP Top Ten Project on owasp.org. [2018-12-16]. （原始內容存檔於2019-12-01）.
7. Trevathan, Matt. Seven Best Practices for Internet of Things. Database and Network Journal. 1 October 2015 [28 November 2015]. （原始內容存檔於2015-11-28） –透過Template:Highbeam.
8. Crosman, Penny. Leaky Bank Websites Let Clickjacking, Other Threats Seep In. American Banker. 24 July 2015 [28 November 2015]. （原始內容存檔於2015-11-28） –透過Template:Highbeam.
9. Pauli, Darren. Infosec bods rate app languages; find Java 'king', put PHP in bin. The Register. 4 December 2015 [4 December 2015]. （原始內容存檔於2019-04-14）.
10. Payment Card Industry (PCI) Data Security Standard (PDF). PCI Security Standards Council: 55. November 2013 [3 December 2015]. （原始內容存檔 (PDF)於2016-04-03）.
11. Open Web Application Security Project Top 10 (OWASP Top 10). Knowledge Database. Synopsys. Synopsys, Inc. 2017 [2017-07-20]. （原始內容存檔於2019-04-06）. Many entities including the PCI Security Standards Council, National Institute of Standards and Technology (NIST), and the Federal Trade Commission (FTC) regularly reference the OWASP Top 10 as an integral guide for mitigating Web application vulnerabilities and meeting compliance initiatives.
12. Pauli, Darren. Comprehensive guide to obliterating web apps published. The Register. 18 September 2014 [28 November 2015]. （原始內容存檔於2019-04-06）.
13. Baar, Hans; Smulters, Andre; Hintzbergen, Juls; Hintzbergen, Kees. Foundations of Information Security Based on ISO27001 and ISO27002 3. Van Haren. 2015: 144. ISBN 9789401800129.
14. Category:OWASP XML Security Gateway Evaluation Criteria Project Latest. Owasp.org. [November 3, 2014]. （原始內容存檔於2014-11-03）.
15. 存档副本. [2018-12-16]. （原始內容存檔於2019-04-06）.
16. OWASP AppSec Pipeline. Open Web Application Security Project (OWASP). [26 February 2017]. （原始內容存檔於2017-02-27）.
17. AUTOMATED THREATS to Web applications (PDF). OWASP. July 2015 [2018-12-16]. （原始內容存檔 (PDF)於2018-07-11）.
18. The list of automated threat events. [2018-12-16]. （原始內容存檔於2019-01-26）.
19. Winners | SC Magazine Awards. Awards.scmagazine.com. [2014-07-17]. （原始內容存檔於2014-08-20）. Editor's Choice [...] Winner: OWASP Foundation

外部連結

• 官方網站