Số là ngày trước tiên đi làm, CCO (Chief Consulting Officer) xếp mình vào một trong những dự án công trình nội cỗ của doanh nghiệp. Trước trên đây đang có source code, tuy nhiên nhằm kịp chạy thử hay sao ấy, bọn họ chỉ bao gồm mainflow và không tuân hành theo tiêu chuẩn của OWASP. Họ mong ước mình có tác dụng lại đồ họa đến nhỏ gọn hơn và vận dụng tiêu chuẩn chỉnh OWASP.. Trong quá trình khám phá, mình share với đa số fan luôn luôn.

Bạn đang xem: Owasp là gì

*

Giới thiệu về OWASP

OWASP là 1 trong tiêu chuẩn nhằm phục vụ Việc kiểm demo của Penetration Testing (Pentest) bởi vì tổ chức xuất hiện Web Application Security Project(OWASP) đề xuất. OWASP. là tổ chức phi ROI cùng giới thiệu chuẩn chỉnh OWASP.. giao hàng mang đến công việc penkiểm tra hiệu quả cùng chi tiết. Tuy nhiên, nhằm rõ rộng, bản thân xin reviews sơ qua Penthử nghiệm là gì.

Penthử nghiệm là gì?

Penetration Testing giỏi thường Điện thoại tư vấn là "pentest" hoặc “security testing" có thể gọi đơn giản và dễ dàng là reviews độ an ninh bằng cách tiến công vào khối hệ thống (Điện thoại tư vấn là tấn công trận giả). Người triển khai một thí điểm xâm nhập được điện thoại tư vấn là đánh giá đột nhập hoặc pentester. Có một tư tưởng không giống cơ mà nhiều khi ta thường lầm lẫn với Penetration Testing (PT) đó là Vulnerability Assessment (VA). Vậy VA là gì với nó không giống gì so với PT? Thực hóa học VA là quá trình thanh tra rà soát lại những hình thức dịch vụ cùng khối hệ thống để tìm thấy các sự việc an toàn tiềm ẩn hoặc dò tìm kiếm các dấu tích lúc khối hệ thống bị tổn định tmùi hương. Ngược lại PT tiến hành khai thác và tấn công phân tách (POC attack) nhằm mục tiêu nhằm đưa ra vấn đề bình an mãi mãi. Do kia PT đi xa hơn VA một bước bằng phương pháp dựa theo những vận động thực sự của một hacker. Thâm nhập thử nghiệm gồm một kinh nghiệm là các bạn phải nhận ra sự cho phép của người cài khối hệ thống. Nếu ko, các bạn sẽ được nhìn nhận như là đã haông chồng khối hệ thống, chính là phi pháp ngơi nghỉ hầu hết các quốc gia. Nói giải pháp khác: Sự khác hoàn toàn thân thử nghiệm thâm nhập và hachồng là các bạn có sự được cho phép của nhà cài khối hệ thống.

Xem thêm: Ca Sĩ Young Uno Tên Thật - Young Uno Tái Xuất Làng Nhạc

OWASPhường là 1 vào một vài tiêu chuẩn chỉnh nhằm review bảo mật thông tin. Trong khi, còn tồn tại những tiêu chuẩn chỉnh không giống như:

Nội dung

Bạn có thể xem thêm nkhô cứng OWASP Secure Coding Practices - Quick Reference Guide. Tại trên đây, mình xin liệt kê một số thành phần nằm trong tiêu chuẩn này.

Xem thêm: Galadriel Là Ai - Thắc Mắc Về Galadriel Trong Lotr Và Hobbit

Input Validation quý khách hàng buộc phải đánh giá format, min, max, độ lâu năm chất nhận được của những ô nhập liệu. Ngoài ra, các bạn ghi nhớ mã hoá những ký từ quan trọng đặc biệt. Không lúc nào tin cậy hoàn toàn người dùng, kia là một trong phương châm siêu đặc biệt quan trọng đối với thiết kế viên. Việc bình chọn dữ liệu được nhtràn vào từ người dùng là các bước cực kì đặc trưng. Mục đích để tách đa số không nên sót ko xứng đáng gồm cùng những vẻ bên ngoài tiến công XSS, CSRF.

đầu ra Encoding Mã hoá các cực hiếm được trao từ các nguồn đến website. Thông thường, làm việc client được nhận thêm các cực hiếm không xứng đáng bao gồm nhỏng đoạn mã tương quan mang lại XSS, nếu như không tồn tại phần nhiều biện pháp cách xử lý trước lúc hiển thị sẽ vô tình kích hoạt bẫy của hacker.

Authentication and Password Management Kiểm tra bảo mật với chức năng singin là sự việc cực kỳ quan trọng, các bạn đề xuất bảo vệ việc đăng nhập đề nghị sự an toàn và đúng với ý định ở trong nhà xây dừng vận dụng.

Session Management Kiếm tra phiên singin để tránh các lỗi tiến công nlỗi Session Hijacking, Man in the Middle,... Bạn có thể tìm gọi qua nội dung bài viết sau

Access Control Lúc người tiêu dùng bị tiêu giảm kiểm soát điều hành truy cập, hacker rất có thể khai quật cùng truy cập những chức năng hoặc dữ liệu bất hợp pháp. Kiểm rà soát truy vấn nhằm mục tiêu kiểm soát và điều hành người tiêu dùng được ủy quyền được phép hay không được phép làm cái gi vào một vận dụng và để tùy chỉnh quyền điều hành và kiểm soát truy cập một phương pháp hợp lý và phải chăng, ứng dụng cần bảo đảm an toàn rằng nó đang nghiêm túc tiến hành bình chọn ủy quyền và xác thực phù hợp lệ nhằm xác minh người tiêu dùng được độc quyền, thực tiễn là các người dùng Internet tự nhiên.

Cryptographic Practices Kiểm tra mã hóa ban bố trên phố truyền. Đối với đối thượng là các trang web thương thơm mại năng lượng điện tử hay giao dịch thanh toán thì bài toán kiểm tra, mã hóa đường truyền là một trong những sự việc hết sức đặc biệt quan trọng. Phần này đã gợi nhắc chúng ta một trong những lời khuyên ổn hữu ích.

Error Handling và Logging Kiểm tra phương pháp xử lý lỗi của áp dụng đọc tin về lỗi cũng là 1 trong những nguồn tích lũy dữ liệu cho hacker hoàn toàn có thể tiến công vào website. Những cơ hội kia ứng dụng cần phải có hiệ tượng xử lý để ko chạm chán đề nghị hiện tượng tự nhiên và thoải mái lăn uống đùng ra chết nhưng mà quản lí trị chẳng giỏi chết lúc nào và vì sao lại bị tiêu diệt. Để biết điều, kia ta đề xuất ghi Log các hoạt động của khối hệ thống. Tuy nhiên, hacker hoàn toàn có thể khai quật log để tấn công hệ thống.

Communication Security Bạn phải điều hành và kiểm soát ngặt nghèo quá trình tiếp xúc với các yếu tắc khác ví như API, VPS không giống trải qua giao thức liên kết, VPN,... Chẳng hạn nlỗi HTTPS không được thực hiện chính xác cùng giữ lại lỗ hổng, giúp tin tặc rất có thể ăn cắp thông báo thông tin tài khoản, mật khẩu đăng nhập, liên quan giỏi bất kể công bố có giá trị như thế nào khác.

System Configuration Cần Review về hệ thống máy chủ, không những dừng ở bước đánh giá áp dụng, bạn cần phải tiến công túi tiền căn cơ nhưng những áp dụng chạy trên kia bởi vì nó hoàn toàn có thể tạo nguy khốn không chỉ có cho web ngoài ra tới cả khối hệ thống hệ thống. Hình thức chất vấn được sử dụng là whitebox và graybox. Bên cạnh đó, vị cấu hình an ninh đàng hoàng trên những tầng phong cách xây dựng của website nlỗi nền tảng gốc rễ, framework, sever, đại lý tài liệu cùng mã tùy chỉnh đề xuất tin tặc rất có thể khai quật tấn công và gồm quyền truy vấn tài liệu. Vì nạm, toàn bộ những tầng phong cách xây dựng của website yêu cầu được cập nhật thường xuyên.

Tài liệu liên quan

Khoảng vài ba năm, OWASPhường có công bố các lỗi bảo mật hay xuất xắc gặp gỡ. quý khách hoàn toàn có thể xem thêm trên Official OWASPhường. Top 10 Document Repository.


Chuyên mục: Ý NGHĨA
Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *