loading...

Conhecendo a OWASP

fguisso profile image Fernando Guisso ・3 min read

Open Web Application Security Project

Open Community

OWASP é uma comunidade internacional aberta, dedicada em ajudar organizações a manter, desenvolver, adquirir e operar aplicações confiáveis. Com ferramentas, documentos, fóruns e capítulos, abertas e gratuitas para qualquer pessoa interessada em melhorar a segurança de suas aplicações.

O projeto também mantem a Fundação OWASP, uma instituição internacional para dar suporte aos projetos de longo prazo da comunidade.

Valores

OPEN/ABERTO; Tudo é radicalmente transparente, desde as finanças até o nosso código.

INNOVATION/INOVAÇÃO; Incentiva e apoia inovações e experimentos para solucionar desafios de segurança do software.

GLOBAL; Qualquer pessoa em todo o mundo é incentivada a participar da comunidade.

INTEGRITY/INTEGRIDADE; É uma comunidade global honesta e verdadeira, neutra em relação a fornecedores.

Projetos

Vamos apresentar agora alguns projetos conhecidos da OWASP, sempre lembrando que você pode encontrar todo o conteúdo aberto pela internet e também pode colaborar com a construção deles.

OWASP Top 10

É um documento de conscientização para segurança de aplicações web. Ele reune os riscos mais críticos de segurança de aplicações web. Nesta lista você pode encontrar algumas vulnerabilidades, como checar se sua aplicação não esta vulnerável a elas e também algumas contramedidas. Link do projeto.

OWASP Zed Attack Proxy (ZAP)

O ZAP é uma ferramenta de testes de vulnerabilidades popular entre profissionais de segurança e pentesters. Ele pode te ajudar no processo de encontrar e tratar vulnerabilidades em suas aplicações web. Link do projeto.

OWASP Offensive Web Testing Framework (OWTF)

Também uma ferramenta para te auxiliar na busca de vulnerabilidades, o OWTF foi criado para automatizar estes processos e tornar os testes manuais e repetitivos menos chatos. Com suporte direto para os padrões NTIS e PTES. Link do projeto.

OWASP DefectDojo

Uma ótima ferramenta de gerenciamento de vulnerabilidades, otimiza o processo de teste, com ferramentas de modelagem, geração de relatórios e métricas. Pare de gastar uma fortuna com outros gerenciadores de vulnerabilidades e comece contribuindo com o código dessa poderosa ferramenta. Github

OWASP Amass

Enumeração de DNS e mapeamento de infraestrutura com técnicas para obter subdomínios com scraping na web, APIs e consultando bancos de dados públicos. Todo esse poder em uma simples ferramenta, vale a pena colocar no seu bat-cinto de utilidades. Github

OWASP D4N155

OSINT de uma maneira inteligente, este projeto cria wordlists baseado no conteúdo do seu alvo, juntamente com técnicas de Google Dorks. Futuramente algumas features de inteligência de dados serão adicionados e você pode fazer parte do desenvolvimento desta ferramenta. Github

OWASP Juice Shop Project

Como eles gostam de dizer, *é provavelmente a mais moderna e sofisticada aplicação web insegura! *Sim, é isso mesmo, uma aplicação insegura para você testar e aprender sobre as Top 10 vulnerabilidades, com todo um suporte de aprendizagem, livro e ferramentas para facilitar na hora de aprender. Link do projeto.

Estes são alguns dos muitos projetos, caso você queira conhecer todos os projetos, pode dar uma olhada no repositório de projetos. Caso você queira participar dos projetos, entre no github do projeto ou entre em contato com o seu Project Leader.

Posted on by:

fguisso profile

Fernando Guisso

@fguisso

Software developer in blockchain and security evangelist

Discussion

markdown guide