Open Web Application Security Project
Das Open Web Application Security Project (OWASP) ist eine Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen und Diensten im World Wide Web zu verbessern. Durch Schaffung von Transparenz sollen Endanwender und Organisationen fundierte Entscheidungen über wirkliche Sicherheitsrisiken in Software treffen können.
An der OWASP-Community sind Firmen, Bildungseinrichtungen und Einzelpersonen aus aller Welt beteiligt. Innerhalb der Gemeinschaft werden frei verfügbare Informationsmaterialien, Methoden, Werkzeuge und Technologien erarbeitet.
Das OWASP steht nicht mit Technologiefirmen in Verbindung, obgleich es den bedachten Einsatz von Sicherheitstechnologie unterstützt. Die Verbindungen werden vermieden, um frei von organisationsseitigen Zwängen zu sein. Dadurch wird es leichter, unvoreingenommene, praxisnahe und wirtschaftliche Informationen über Applikationssicherheit bereitzustellen.
Das OWASP verfolgt den Ansatz, Informationssicherheit unter Berücksichtigung der Beteiligten, Abläufe und Ausmaße der Technologie zu erreichen.
Projekte
Die OWASP-Projekte sind weitgehend in zwei Hauptkategorien aufgeteilt: Entwicklungs- und Dokumentationsprojekte.
Das Dokumentationsprojekt besteht momentan aus:
- OWASP Application Security Verification Standard (ASVS)
- ein Standard zur Durchführung von Sicherheitsverifizierungen auf Applikationsebene.
- The Guide
- Dieses Dokument beinhaltet detaillierte Handlungsempfehlungen zur Web-Applikationssicherheit.
- Top Ten Most * DotNet
- eine Vielzahl von Werkzeugen, um .Net-Framework-Umgebungen abzusichern.
- Enigform
- eine Zusammenstellung aus beispielhaften endgerät- und serverseitigen Anwendungen mit OpenPGP-Funktionen (u. a. Verschlüsselung, Signierung) im HTTP zu realisieren.
- ESAPI OWASP Enterprise Security API (ESAPI) Project
- eine freie und offene Sammlung von Methoden, die benötigt werden, um sichere Webapplikationen zu erstellen.
- AntiSamy
- ein Werkzeug zur Validierung von Eingaben im Web und Enkodierung des Ergebnisses.
- XSSer
- ein automatisches System zum Erkennen, Ausnutzen und Melden von Cross-Site-Scripting-Schwachstellen in Webapplikationen.
- Webgoat
- eine absichtlich unsichere Webanwendung, hergestellt von OWASP als eine Anleitung für sichere Programmiermethoden.
- WebScarab
- ein http- und https-Proxyserver, der genutzt werden kann, um Inhalte von Datenpaketen zu ändern, zu prüfen und die Übertragung zu unterbrechen. Dies bietet dem Anwender ein besseres Verständnis dafür, welche Informationen vom Webserver übermittelt werden, und kann genutzt werden, um mögliche Verwundbarkeiten aufzudecken.
- OWASP Mantra Security Framework
- eine Sammlung von Hacker-Werkzeugen, Erweiterungen und Skripten, basierend auf Mozilla Firefox.[1]
Organisation
Das OWASP hat fünf Angestellte und sehr geringe Ausgaben, die durch Konferenzen, Sponsoring und Werbebanner abgedeckt werden. Es werden jährlich tausende US-Dollar an Prämien als Zuschüsse für vielversprechende Applikations-Sicherheits-Forschungsprojekte ausgezahlt.