Logo
Der aspectra-Blog seit 2012

OWASP: Eine Wespe für sichere Websites

Norbert Benz
05.07.2016
Sicherheit, Software, OWASP

Wer Web-Applikationen entwickelt, muss OWASP kennen. Dort findet sich eine Fülle an Informationen und Instrumenten für die Sicherheit solcher Anwendungen.

OWASP führt zwar eine Wespe im Logo, ist aber ein Akronym für eine Non-Profit-Organisation namens „Open Web Application Security Project“. Deren Ziel ist zu zeigen, wie man sichere Applikationen und Web Services entwickelt, baut und testet. Dafür setzt OWASP auf diverse Instrumente u.a. die folgenden:

  • Dependency Check: ein Dienstprogramm, das Java und .NET-Anwendungen scannt, Abhängigkeiten identifiziert und überprüft, ob irgendwelche bekannte und veröffentlichte Verwundbarkeiten existieren.
  • Proactive Controls: eine Liste von 10 Sicherheitstechniken, die in jedem Software-Entwicklungsprojekt einbezogen werden sollten, unter anderem “Verify for Security Early and Often”, “Parameterize Queries”, “Encode Data”, “Validate All Inputs” usw.
  • Zed Attack Proxy: ein kostenloses Sicherheits-Tools, das helfen soll, während der Entwicklung und beim Testen automatisch Sicherheitslücken in Web-Anwendungen zu finden.
  • Cheat Sheet Series: eine knappe und prägnante Sammlung von hochwertigen Informationen zu Web-Anwendungs-Sicherheitsthemen.
  • Top Ten: die 10 wichtigsten Sicherheitslücken von Web-Anwendungen. Derzeit läuft die Sammlung von Informationen für eine aktualisierte Version. Wir haben hier bereits darüber geschrieben.
  • Offensive Web Testing Framework: OWTF ist ein Projekt, das sich auf die Effizienz von Penetrationstests und die Ausrichtung von Sicherheitstests auf Sicherheitsstandards konzentriert.
  • Software Assurance Maturity Model: SAMM ist ein offenes Framework das Organisationen helfen soll, eine Strategie für Software-Sicherheit zu formulieren und zu implementieren, die auf die spezifischen Risiken der Organisation zugeschnitten ist.
  • AppSensor: Ein Intrusion Detection System aus der Applikation heraus, das auch automatisierte Gegenmassnahmen umfasst.

OWASP umfasst noch diverse weitere sicherheitsrelevante Projekte und es kommen auch immer wieder neue dazu. Wer also Web-Applikationen entwickelt, sollte OWASP nicht nur kennen, sondern auch über die aktuellen Entwicklungen auf dem Laufenden sein.

Links zum Thema:
OWASP the free and open software security community

Suche