OWASP

O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.^[1][2]

Todas as ferramentas, documentos, fóruns e capítulos do OWASP são grátis e abertos a todos os interessados em aperfeiçoar a segurança em aplicações. Promovemos a abordagem da segurança em aplicações como um problema de pessoas, processos e tecnologia, porque as abordagens mais eficazes em segurança de aplicações requerem melhorias nestas áreas. A OWASP é um novo tipo de organização. O fato de ser livre de pressões comerciais permite fornecer informação de segurança de aplicações imparcial, prática e de custo eficiente.

A OWASP não é filiada a nenhuma empresa de tecnologia, apesar de apoiar o uso de tecnologia de segurança comercial. Da mesma forma que muitos projetos de software de código aberto, a OWASP produz vários tipos de materiais de maneira colaborativa e aberta. 

OWASP foi iniciada em 9 de setembro de 2001 por Mark Curphey.^[3][4] Jeff Williams serviu como voluntário do final de 2003 até setembro de 2011. O atual presidente é Tobias Gondrom e o vice-presidente é Josh Sokol.^[5]

A Fundação OWASP é uma organização 501(c)(3) organização sem fins lucrativos (nos EUA), foi criada em 2004 e oferece suporte a infraestrutura e aos projetos da OWASP.

Desde 2011, a OWASP é também registrada como uma organização sem fins lucrativos na Bélgica, sob o nome de OWASP Europa VZW.^[6]

Esta é uma das divisões mais populares da OWASP, uma vez que dá aos membros a oportunidade de testar teorias e idéias livremente com o aconselhamento profissional e apoio da comunidade OWASP. Você pode visualizar todas as listas, examinar seus arquivos, e subscrever qualquer projeto, visitando as Listas de Discussão do Owasp Projeto.

A designação OWASP Flagship é dada aos projetos que tenham demonstrados valor estratégico para OWASP e segurança do aplicativo como um todo.

Representam projetos que produziram um produto de valor, embora normalmente não estejam prontos para a produção.

Representam os projetos que estão em desenvolvimento, ideias sendo comprovadas e projetos sendo concretizados.

Projetos de baixa atividade, projetos que não tiveram lançamento em pelo menos um ano, no entanto, tem mostrado ser ferramentas valiosas

O OWASP Top 10 é um documento de conscientização para a segurança das aplicações web. O OWASP Top 10 representa um amplo consenso sobre o que são as falhas de segurança de aplicativos web mais importantes. Os membros do projeto incluem uma variedade de especialistas em segurança de todo o mundo que compartilharam seus conhecimentos para produzir essa lista.^[7]

O OWASP Top 10 possui licença gratuita, contando também com diferentes traduções, onde se é dada por usuários voluntários.^[8]

O OWASP Top 10 de 2017^[7] foi:

1. Injeção de Código
2. Quebra de Autenticação
3. Exposição de Dados Sensíveis
4. Entidades Externas de XML
5. Quebra de Controle de Acesso
6. Configuração Incorreta de Segurança
7. Cross-Site Scripting (XSS)
8. Deserialização Insegura
9. Utilização de Componentes com Vulnerabilidades Conhecidas
10. Log e Monitoramento Ineficientes

O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de software. Eles são ordenados por ordem de importância, sendo o primeiro o mais importante:

1. verificar a segurança cedo e frequentemente;
2. parametrizar consultas;
3. codificar dados;
4. validar todas as entradas;
5. implementar controles de identidade e autenticação;
6. implementar controles de acesso;
7. proteger os dados;
8. implementar LOG e detecção de intrusão;
9. aproveitar as estruturas de segurança e bibliotecas;
10. manipulação de erros e exceções.

Referências

• «Sítio oficial» 
• Comprehensive Guide to OWASP Penetration Testing