OWASP یا همان Open Web Application Security Project در واقع یک پروژه خصوصی است که برای کمک به سازمان ها و ارائه دهندگان نرم افزار و اپلیکیشن ها و برنامه نویسان تحت وب ایجاد شده است تا به کمک آن بتوانند امنیت نرم افزار های خود را بهبود ببخشند.
همانطور که می دانیم امروزه با پیشرفت تکنولوژی و افزایش نیاز کاربران در سرتاسر جهان، مشاغل و شرکت های زیادی در جهت ارائه نرم افزار ها، سایت ها و … ایجاد شده اند و هر فرد و هرچیزی به نوعی با دنیای اینترنت در ارتباط است. همین امر سبب شده است تا برای انتشار و ارائه خدمات رسانی های رایانه ای، بازاری با رقابت زیاد در این خصوص شکل بگیرد که طبق آمار های موجود در سال 2019، 38% از توسعه دهندگان این صنعت اعلام کرده اند که خدمات و محصولات خود را به صورت ماهانه و یا حتی سریع تر منتشر کنند. با توجه به اینکه صاحبان این کسب و کار ها برای تولید نسخه های جدید، سرعت را ارجح می دانند امنیت خدمات کاهش می یابد چراکه محصول مورد نظر در آخرین مراحل به دست تیم های امنیتی می رسد و معمولا این افراد زمان کمی برای بررسی نرم افزار داشته و اگر متوجه مشکلی شوند، زمان کمی برای عیب یابی و رفع آن دارند. اینجاست که OWASP به کمک برنامه نویسان نرم افزار های تحت وب می رود.
با توجه به پیچیدگی روز افزون دنیای وب و رشد ساختار برنامه نویسی، OWASP به زیر پروژه های مختلفی تقسیم می شود که هرکدام از آن ها به صورت تخصصی تر مقولات امنیتی را بررسی می کنند که در زیر به دو پروژه کاربردی آن می پردازیم:
OWASP Amass
پروژه و ابزار دیگری از OWASP که تمرکز خاصی برو روی داده های DNS ، HTTP و SSL / TLS دارد و از تکنیک های خاص خود برای پیدا کردن حملات استفاده می کند همچنین بر روی سیستم عامل های مختلف نیز قابل نصب و راه اندازی است.
OWASP Cheat Sheet Series
OWASP Cheat Sheet Series یک منبع امنیتی واقعا مفید برای توسعه دهندگان و تیم های امنیتی است که یک مرور مختصر از بهترین شیوه های امنیتی در مورد موضوعات مختلف امنیت برنامه ارائه می دهد. این پروژه در عین اختصار، به برنامه نویسان شیوه های ارزشمندی را که می توانند به سرعت آن ها را اجرا کنند، پیشنهاد می کند.
برخی از مباحث امنیتی ذکر شده در OWASP Cheat Sheet Series عبارتند از:
- تجزیه و تحلیل سطح حمله(Attack surface analysis)
- امنیتی محتوا(Content security policy)
- درخواست جلوگیری از جعل(Cross-site request forgery prevention)
- امنیت پایگاه داده(Database security)
- محدودیت در خدمات(Denial of service)
- ورود به سیستم(Logging)
- امنیت XML یا (XML security)
با ما همراه باشید…
