Open Web Application Security Projects (OWASP)

Deskribapena

OWASP (Open Web Application Security Project-en akronimoa) kode irekiko ekimen bat da, eta softwarea segurua ez izateko arrazoiak zehaztea eta haiei aurre egitea du helburu.

OWASP Fundazioaren inguruan enpresak, hezkuntza erakundeak eta mundu osoko milaka lagun biltzen dira. Haiek osatzen dute OWASP komunitatea. Material didaktikoak (dibulgazio-artikuluak, metodologiak, jardunbide egokien adibideak, dokumentazioa, eskuliburuak, etab.), lan-tresnak eta teknologiak sortzea da bere asmoa. Baliabide horiek guztiak modu librean eta dohainik erabil daitezke, eta inguru teknologiko seguruago bat bultzatu nahi dute.

OWASP

Helburuak

Hauek dira ekimen honen helburuak:

Web aplikazioen segurtasuna bultzatzea.
Softwarearen segurtasunik ezaren arrazoiak bilatzea.
Aplikazioek jasaten dituzten mehatxuen aurrean konponbideak eskaintzea.
Enpresei laguntzea web aplikazioen segurtasuna ulertzen eta aplikazio seguruagoak garatzen.
Open source lan-tresnak, dokumentazioa eta estandarrak sortzea.

Onurak

OWASPen gomendioei jarraitu, bere lan-tresnak eta teknologiak erabili eta, azken batean, garapen seguruko metodologia baliatuz gero, erakunde batean arrisku orokorra murriztu daiteke, eta konfiantza handitu. Era berean, abantaila hauek nabarmentzen dira:

Oso software segurua lortzen da, segurtasuna hasieratik bertatik zaindu delako, eta horri esker, segurtasun akatsak hauteman eta berehala konpon daitezke.
Kostuak murrizten dira, hautematen diren segurtasun akatsak konpontzeko denbora laburragoa delako, eta zailtasuna txikiagoa.
Arrazoiak identifikatuta, segurtasun akats ohikoenak ekidin daitezke, beraz, behin betiko produktuek kalteak izateko aukerak murriztu egiten dira.
Garapen-zikloan hauteman gabeko akatsek izan ditzaketen ondorioak murrizten dira.
Garapen-zikloan parte hartzen duten lantaldeengan segurtasun-kontzientzia pizten da.
Softwarea segurtasun-egoera egiazta daitekeenez, segurtasunarekin lotutako erabakiak har daitezke, baita haren gaineko ezagutza eta erregistroa burutu ere.

Proiektuak

Hona hemen OWASP komunitateak garatutako proiektu nagusiak:

OWASP Top 10: Txosten honek web aplikazioen akats ohikoenak jasotzen ditu, baita horiek nola saihets daitezkeen azaldu ere. Azken txostenak alderdi hauen inguruko akatsak biltzen ditu: injekzioa, egiaztatzea eta saioen kudeaketa; XSS; sarbide-kontrola; segurtasunaren konfigurazioa; datu pribatuak agerian geratzea; erasoen aurreko babes ez-nahikoa; CSRF; akats ezagunak dituzten osagaiak eta babesik gabeko APIak erabiltzea. Azken batean, erakundeek aurre egin behar dieten erronken gaineko kontzientzia pizten du, eta horrek web aplikazioen segurtasuna bermatzen du etengabe aldatzen ari den inguru batean.

OWASP Proactive Controls: Softwarea garatzeko proiektu guztietan jarraitu beharko liratekeen jardunbide egokiak laburbiltzen dituen dokumentua da. Hauek dira neurri garrantzitsuenak, hurrenez hurren:

Segurtasuna hasieratik bertatik eta maiz egiaztatzea.
Kontsulten parametroak erregistratzea.
Datuak kodetzea.
Sarbide guztiak egiaztatzea.
Egiaztatze- eta identifikazio-kontrolak txertatzea.
Sarbide-kontrol egokiak txertatzea.
Datuak babestea.
Baimenik gabeko pertsonak hautematea eta erregistratzea.
Framework direlakoak eta segurtasun-liburutegiak erabiltzea.
Akatsak eta salbuespenak kudeatzea.

OWASP Application Security Verification Standard (ASVS): Aplikazioan segurtasun mailako egiaztapenak burutzeko estandarra.

3 arrisku maila zehazten ditu:

1. maila: software mota guztietarako pentsatua.
2. maila: babestu beharreko informazio garrantzitsua duten aplikazioetarako pentsatua.
3. maila: aplikazio kritikoenetarako pentsatua –balio handiko transakzioak egiten dituzten aplikazioak, informazio mediko garrantzitsua gorde dutenak edo konfiantza maila handiena eskatzen duen beste edozein aplikazio–.

Maila bakoitzak softwarean mapeatu beharreko eskakizun zerrenda bat du, beharrezko segurtasun-eskakizunak betetzeko.

ASVSen eskakizunak helburu hauekin garatu ziren:

Neurri gisa baliatzeko: garatzaile eta arduradunei beren aplikazioekiko konfiantza neurtzeko aukera ematen die.
Gida gisa baliatzeko: segurtasun-kontrolen garatzaileei segurtasun-eskakizunak betetzeko zein funtzio txertatu behar dituzten adierazten die.
Erosketetan baliatzeko: beste norbaiti erositako aplikazioen segurtasun-eskakizunak zehazten dituen base bat eskaintzen die.

OWASP “Cheat Sheet”: Prebentzioarekin eta babesarekin lotutako jardunbide egokien gida multzoa, aplikazioen oinarrizko alderdiak programatzen ari direnean teknika egokiak aplikatzeko eta ezinbesteko segurtasun-informazioa eskura izateko. Adibidez: XSSen erasoak saihesteko cheat sheet delakoa, SQLren injekzio bidezko erasoak saihestekoa, gordailu kriptografikoaren gainekoa, etab.

Lan-tresnak

OWASPek aplikazioen segurtasuna sendotzea helburu duten beste hainbat proiektu ere burutzen ditu. Hona hemen proiektu horietako batzuk eta haietako bakoitzaren deskribapen laburra:

Zed Attack Proxy: Webguneen pentesting lan-tresna, aplikazioetan akatsak topatzen laguntzen duena.
Dependency Check: Aplikazioen atal guztiak aztertzen eta akatsik ote duten bilatzen duen lan-tresna.
Mobile Security Project: Mugikorren aplikazioetan pentesting egiten duen lan-tresna.
SSL advanced forensic tool: SSL eta ziurtagiriei buruzko informazioa erakusten duen lan-tresna.
WebGoat: Segurtasun-akatsak topatzeko proba-base bat eskaintzen duen hezkuntza arloko aplikazioa. XSSen eta SQL Injectionen erasoei, saio-lapurretei, XPath injekzioari eta abarrei buruz ikasteko balio du.
WebScarab: HTTP/HTTPS trafikoa aztertzeko framework-a, nabigatzailearen eta zerbitzariaren arteko trafikoari erreparatuz, eremu ezkutuak agerian utziz, cookieak aztertuz eta bilduz, etab.