OWASP

  • 0

OWASP

Tags :

owaps

La fundación OWASP, es una fundación nacida en el año 2004 con objeto de mejorar la seguridad en el software. Mayormente esta fundación se dedica a difundir información para mejorar la seguridad, ya sea a través de sus publicaciones, libros, conferencias, cursos y otro tipo de eventos. Es una comunidad que se rige por varios principios:

Libre y Abierto
Gobernado por consenso
Cumplir con un código ético
Sin ánimo de lucro
No impulsada por intereses comerciales
Enfoque basado en el riesgo

 
 
 
 

Entre sus proyectos locales encontramos:

– Evaluación de la seguridad del DNIe (dni electrónico)

https://www.owasp.org/index.php/Spain/Projects/DNIe

– La especificación de los requisitos legales para aplicaciones web en España.

Identificación de las leyes y reglamentos que pueden afectar a la especificación de requisitos de una aplicación Web

https://owasp.org/index.php/Spain/Projects/Requerimientos_Legales

OWASP reune una gran cantidad de proyectos que están siendo desarrollados en los que encontramos utilidades para la mejora de la seguridad, tales como validadores de formularios para javascript, JSON, etc. y todo tipo de herramientas que dan al desarrollador control sobre lo que hace, normalmente bajo un principio: Se conservador en lo que tu haces, pero se liberal con lo que aceptas de los demás.

Básicamente nos viene a decir que no pierdas el control de lo que estás programando sin restringir en exceso la libertad del usuario. Sobre todo a la hora de validar los datos de entrada de una aplicación, que es mayor foco de vulnerabilidades normalmente.

Entre sus proyectos estrella encontramos OWASP Enterprise Security API, un conjunto de APIS que nos permitirán validar la fiabilidad de nuestro código fuente, ya sea PHP, .NET, python, java, javascript o asp. Muy interesante para alguien que quiera desarrollar código fuente reforzando aspectos de la seguridad.

https://owasp.org/index.php/File:OWASP_Classic_ASP_ESAPI.zip

Además sus tres herramientas más conocidas:

OWASP Web Testing Enviroment Project – Un live CD con las herramientas y la documentación necesaria para comenzar a utilizar OWASP

OWASP WebGoatProject – Es un proyecto web insecuro (a propósito claro) para poder hacer pruebas de pentesting. Está diseñado para probar y divulgar lecciones de seguridad.

OWASP Zed Attack Proxy – Es una herramienta para testear la seguridad de las páginas web, proporciona los escáneres necesarios para detectar vulnerabilidades.

En resumen OWASP es una comunidad abierta y libre sobre la seguridad en aplicaciones, que contiene un montón de proyectos, algunos bien conocidos por los hackers como joomscan.

Además sus libros realmente nos parecen bastante asequibles en cuanto a precio y muy interesantes.

http://www.lulu.com/spotlight/owasp


Leave a Reply