OWASP چیست؟ همه چیز در مورد استاندارد OWASP | پارمونت

OWASP چیست؟

owasp چیست؟ مخفف owasp عبارت است از Open Web Application Security Protocol. اجازه بدهید که با یک مقدمه کوتاه درباره متدولوژی owasp شروع کنم. شاید عنوان شغلی کارشناس امنیت اطلاعات و ارتباطات موضوع خیلی آشنایی برایتان باشد. یکی از دغدغه‌های اصلی شخصی که امنیت نرم‌افزاری می‌خواند آشنایی با متدولوژی owasp و همچنین تاریخچه owasp و… است. در این مقاله همراه ما باشید تا با چک لیست owasp، آسیب‌های owasp و… آشنا شوید.

OWASP چیست؟

owasp چیست؟ مخفف کلمه OWASP عبارت است از Open Web Application Security Protocol Project است و یک پروژه غیر دولتی یا بهتر بگوییم یک متدولوژی است که در آن به شما به عنوان یک کارشناس برنامه‌نویس تحت وب، معیار‌هایی که باید برای امن‌تر شدن پلتفرم یا به عبارتی نرم‌افزار خود بکار ببرید را به صورت کلی برایتان تشریح شده است. OWASP یک متدولوژی است، به عبارت دیگر راهکاری را به کاربران خود نشان می‌دهد، این متدولوژی منحصر به فرد یا شرکت یا سازمان خاصی نیست و نبوده و یک پروژه به صورت متن باز Open Source است که هر فردی در هر جای دنیا که قرار گرفته باشد این توانایی را دارد تا به آن‌ها بپیوندد و همچنین در آن‌ها شرکت کنند.

جامعه آماری که برای پروژه OWASP به صورت مستمر در حال فعالیت است در زمینه‌های گوناگونی مثل شرکت در تالار‌های گفتمان، تولید مقالات، تولید و معرفی نرم‌افزار‌های امنیتی وب، متدولوژی‌های امنیتی و تولید مستندات به صورت کاملاً رایگان در حال فعالیت است و نتیجه فعالیتش را در مستند نهایی و به اتمام رسیده این پروژه می‌توانید مشاهده کنید. پروژه OWASP در ابتدا تحت عنوان یک استاندارد مطرح نشد ولی در حال حاضر به عنوان معیار اصلی یا بهتر است بگوییم Baseline امنیتی تولید و طراحی امنیت در نرم‌افزار‌های تحت وب استفاده می‌شود.

قبل از صحبت درباره تاریخچه owasp، پیشنهاد میکنم، خواندن انی دسک چیست را از دست ندهید.

تاریخچه OWASP

 تاریخچه OWASP

برای داشتن یک تاریخچه از اقدامات و فعالیت‌ها اواسپ نیاز است که برگردیم به سال 2001. نخستین بار در این سال اواسپ به عنوان مجموعه‌ای غیر رسمی شروع به جمع‌آوری روش‌های برنامه‌نویسی ایمن نمود و فعالیت رسمی‌اش را آغاز کرد. در این زمان اواسپ به این درجه معروف نشده نبود و هنوز در دید عموم مردم و کاربران معتبر خوانده نمی‌شد.

در سال 2004، OWASP شروع فعالیت‌های رسمی خود را از این سال آغاز نمود و به عنوان یک سازمان غیردولتی ثبت گردید. این سازمان که در پی جلوگیری از حملات سایبری معمول و روتین در برنامه‌های کاربردی بود، رفته رفته و با گذشت زمان شناخته‌تر شد و قدرت بیشتری گرفت. در واقع این نخستین تلاش برای استانداردسازی و معمول کردن شیوه‌های کدنویسی با ایمنی بالا بود. این یعنی اواسپ به نخستین سازمان بیطرف با رویکردی مبتنی بر ریسک تبدیل شد که جهت جلوگیری از نفوذ به هر سازمان یا شرکتی طراحی شده است.

قابل ذکر است که از همین زمان‌ها جف ویلیامز بود که ریاست هیئت مدیره اواسپ را به صورت داوطلبانه قبول کرد و به عهده گرفت.

ریاست هیئت مدیره اواسپ در سال 2015 توسط مت کوندا قبول شد و ایشان تا سال 2018 این عنوان را اداره نمودند.

آقای اندرو ون مدیر حال حاضر OWASP در استاک می‌باشد که فعالیت خود را از سال 2018 با این عنوان آغاز نموده است. قابل ذکر است که اواسپ تحت نام OWASP Europe VZW در کشور بلژیک ثبت شده است.

چک لیست (Authentication) OWASP

چک لیست OWASP

برای تأیید امنیت احراز هویت یک وب سایت چک لیستی که وب سایت OWASP ارایه نموده است شامل موارد زیر است:

  • تست ضعف کش مرورگر
  • تست دور زدن الگوی احراز هویت
  • تست ضعف سیاست پسورد
  • تست ضعف امنیت سؤال/جواب
  • تست ضعف مکانیزم تحریم
  • تست گواهی‌نامه‌های پیشفرض
  • تست احراز هویت ضعیف‌تر در کانال‌های جایگزین
  • تست آسیب‌پذیری عملکرد به خاطر سپردن رمز عبور
  • تست ضعف عملکرد تغییر یا بازنشانی کلمه عبور
  • تست گواهی‌نامه‌های ارسال شده توسط یک کانال رمزگذاری شده

آسیب هایowasp :

در ادامه به بخش مهمی از آسیب‌های owasp اشاره می‌کنیم که عبارتند از:

  • آسیب‌پذیری تزریق یاInjection
  • آسیب‌پذیری Broken Authentication
  • آسیب‌پذیری Sensitive Data Exposure
  • آسیب‌پذیری XML External Entities XXE
  • آسیب‌پذیری Broken Access Control
  • آسیب‌پذیری Security Misconfiguration
  • آسیب‌پذیری Cross-Site Scripting XSS
  • آسیب‌پذیری Insecure Deserialization

نتیجه‌گیری

دانستید که owasp یک متدولوژی است، به عبارت دیگر راهکاری را به کاربران خود نشان می‌دهد، این متدولوژی منحصر به فرد یا شرکت یا سازمان خاصی نیست و نبوده و یک پروژه به صورت متن باز Open Source است که هر فردی در هر جای دنیا که قرار گرفته باشد این توانایی را دارد تا به آن‌ها بپیوندد و همچنین در آن‌ها شرکت کنند. در سال 2004، OWASP شروع فعالیت‌های رسمی خود را از این سال آغاز نمود و به عنوان یک سازمان غیردولتی ثبت گردید. این سازمان که در پی جلوگیری از حملات سایبری معمول و روتین در برنامه‌های کاربردی بود، رفته رفته و با گذشت زمان شناخته‌تر شد و قدرت بیشتری گرفت. . از اینکه تا انتهای این مقاله همراه ما بودید از شما سپاسگزاریم.

در پایان از شما دعوت می کنیم سری به مقاله کلاینت چیست بزنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *