Как стать автором
Обновить
31.94
Рейтинг
OWASP
Open Web Application Security Project
Сначала показывать
  • Новые
  • Лучшие

Перевод OWASP API Security Top 10

Блог компании OWASP API *
Перевод

Эта статья - перевод OWASP API Security Top 10, опубликованного в 2019 году. Проект состоит из десяти наиболее актуальных рисков безопасности API. Полная версия документа на русском языке опубликована здесь.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 4K
Комментарии 0

Шпаргалки по безопасности: сброс пароля

Блог компании OWASP Блог компании Акрибия Информационная безопасность *
Перевод

Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.

Читать далее
Всего голосов 2: ↑2 и ↓0 +2
Просмотры 3.9K
Комментарии 2

Перевод стандарта ASVS 4.0. Часть 1

Блог компании OWASP Блог компании Акрибия Информационная безопасность *
Перевод

Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного обеспечения. Первая группа (V1) содержит в себе требования к архитектуре и моделированию угроз для основных функций ПО, таких как, аутентификация, управления сеансами, контроль доступа и др. Последующие группы расширяют список требований для каждой из функций.

В статье описывается концепция стандарта ASVS, способы его применения, также переведена первая группа требований к архитектуре и моделированию угроз.

Читать далее
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 3.1K
Комментарии 0

Консорциум OWASP обновил Web Security Testing Guide

Блог компании OWASP Информационная безопасность *


Проект «Руководство по тестированию веб-безопасности» (Web Security Testing Guide — WSTG) является основной методологией тестирования безопасности для разработчиков веб-приложений и специалистов по информационной безопасности и разрабатывается международным консорциумом OWASP.
Читать дальше →
Всего голосов 12: ↑11 и ↓1 +10
Просмотры 4.1K
Комментарии 2

OWASP Moscow 2020/1 записи докладов

Блог компании OWASP Информационная безопасность *


5 марта 2020 года в московском офисе компании OZON прошла очередная встреча Московского отделения сообщества OWASP. В этой статье будут представлены материалы с прошедшей встречи.
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 3.5K
Комментарии 0

OWASP Moscow 2020/1

Блог компании OWASP Информационная безопасность *
image

5 марта 2020 года в московском офисе компании OZON пройдёт очередная встреча Московского отделения сообщества OWASP, на которой соберутся специалисты по информационной безопасности.
Читать дальше →
Всего голосов 9: ↑8 и ↓1 +7
Просмотры 2.7K
Комментарии 0

OWASP Moscow Meetup #9: записи выступлений

Блог компании OWASP Информационная безопасность *
image

6 декабря 2019 года в московском офисе BI.ZONE прошел очередной OWASP Meetup — встреча Московского отделения сообщества. В под катом представлены выступления и презентации докладчиков.
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.1K
Комментарии 0

OWASP Moscow Meetup #9

Блог компании OWASP Информационная безопасность *
image

6 декабря 2019 года в московском офисе BI.ZONE пройдёт очередной OWASP Meetup — встреча Московского отделения сообщества, на которой соберутся специалисты по информационной безопасности.

Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.2K
Комментарии 0

OWASP Moscow (Russia) meetup 12/19 CFP

Блог компании OWASP Информационная безопасность *Тестирование веб-сервисов *
image
Последняя в этом году встреча российского отделения OWASP пройдет 6 декабря 2019 года в московском офисе компании BI.ZONE.

Вас ждут интересные доклады и обсуждения, программа и планы сообщества на 2020 год, участие в активностях сообщества и реорганизация локальных OWASP chapters.
Читать дальше →
Всего голосов 19: ↑17 и ↓2 +15
Просмотры 1.6K
Комментарии 2

OWASP API Security Top 10 RC

Блог компании OWASP Информационная безопасность *Разработка веб-сайтов *API *
image
Этот проект предназначен для постоянно растущего числа организаций, которые внедряют потенциально чувствительные API в рамках своих программных решений. API используются для внутренних задач и для взаимодействия со сторонними сервисами. К сожалению, многие API не проходят тщательного тестирования безопасности, которое сделало бы их защищенными от атак, увеличивая ландшафт угроз для веб-приложения.

Проект безопасности OWASP API Security Top 10 предназначен подчеркнуть потенциальные риски в небезопасных API и предложить меры снижения таких рисков.
Читать дальше →
Всего голосов 39: ↑38 и ↓1 +37
Просмотры 8.4K
Комментарии 1

Массовый взлом ВКонтакте [XSS-червь]

Блог компании OWASP Информационная безопасность *

 
В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя.


В данный момент уязвимость устранена.

Читать дальше →
Всего голосов 80: ↑71 и ↓9 +62
Просмотры 54K
Комментарии 41

Полезные нагрузки для тестирования веб-приложений

Блог компании OWASP Информационная безопасность *
image
 
Использование полезных нагрузок (пейлоадов) позволяет проводить фаззинг веб-приложения, для выявления аномалий/признаков уязвимостей. В этой статье я рассмотрю несколько вариантов пейлоадов для тестирования веб-приложений.
Читать дальше →
Всего голосов 22: ↑19 и ↓3 +16
Просмотры 11K
Комментарии 0

ZalgoFuzzing: использование нестандартных методов размытия пейлоадов

Блог компании OWASP Информационная безопасность *


Использование нестандартных техник обфускации пейлоада (полезной нагрузки) при проведении тестирования на проникновение веб-приложений может позволить обходить фильтрацию защитных средств и способствовать реализации вектора атаки. В этой статье я расскажу про т.н. Z̴a҉̠͚l͍̠̫͕̮̟͕g͚o̯̬̣̻F̮̫̣̩͓͟ͅu̯z̡͉͍z̪͈̞̯̳̠ͅi̴̜̹̠̲͇n̰g̱͕̫̹͉͓ как метод обфускации (размытия) пейлоадов.
Читать дальше →
Всего голосов 37: ↑37 и ↓0 +37
Просмотры 7.6K
Комментарии 3

Обход авторизации SAML

Блог компании OWASP Информационная безопасность *
image

 
Обнаружена критичная уязвимость в SAML (Security Assertion Markup Language), с помощью которой
можно осуществить обход авторизации. Уязвимости подвержены решения различных SSO-провайдеров и несколько библиотек, использующих SAML SSO (Single Sign-On).

Читать дальше →
Всего голосов 34: ↑33 и ↓1 +32
Просмотры 7.7K
Комментарии 3

OWASP Automated Threat: автоматизированные угрозы веб-приложений

Блог компании OWASP Информационная безопасность *
image

 
В методологии OWASP Automated Threat Handbook представлена информация защите веб-приложений от автоматизированных угроз. Эти угрозы связаны с использованием автоматизированных средств, отказа от обслуживания, нарушения логики работы приложения, "брошенные корзины", незавершенные транзакции и т.д.

Читать дальше →
Всего голосов 34: ↑34 и ↓0 +34
Просмотры 6.3K
Комментарии 0

The Browser Exploitation Framework Project: от XSS до полного контроля

Блог компании OWASP Информационная безопасность *
image
 
BeEF (сокращение от Browser Exploitation Framework) – платформа для эксплуатации клиент-сайд уязвимостей, таких как XSS (cross-site scripting).

Эксплуатации XSS уязвимостей зачастую уделяется мало внимания, т.к. вектора атаки нацелены на пользователей веб-приложения, а не на веб-приложение или веб-сервер. BeEF позволяет реализовывать атакующие векторы, использующие в качестве точки входа веб-браузер. Такие атаки могут использоваться в контексте watering hole и spear phishing атак, а также в контексте APT.
Читать дальше →
Всего голосов 36: ↑34 и ↓2 +32
Просмотры 9.4K
Комментарии 3

Layer 7 DoS: атаки на отказ от обслуживания веб-приложения

Блог компании OWASP Информационная безопасность *

Распределенные атаки на отказ в обслуживании, которым подвергаются популярные сайты обычно происходят с тысяч и тысяч взломанных устройств. Эти атаки в основном направлены на подавление целевой системы масштабным трафиком, забиванием канала связи. Эти атаки относятся к layer 3 (сетевой уровень модели ISO/OSI) DoS/DDoS и характеризуются большим количеством пакетов, которыми атакуется ресурс. Layer 7 (прикладной уровень модели ISO/OSI) DoS/DDoS обычно направлен на "слабые" места веб-приложения.

Читать дальше →
Всего голосов 32: ↑31 и ↓1 +30
Просмотры 11K
Комментарии 1

OWASP Top 10 2017

Блог компании OWASP Информационная безопасность *
image
 
Состоялся финальный релиз Топ-10 уязвимостей от OWASP — наиболее критичных рисков безопасности веб-приложений. Обновление происходит примерно раз в 3-4 года, этот релиз затрагивает текущие и будущие проблемы безопасности веб приложений.
Читать дальше →
Всего голосов 30: ↑28 и ↓2 +26
Просмотры 14K
Комментарии 5

unCAPTCHA: использование сервисов Google для обхода Google reCAPTCHA

Блог компании OWASP Информационная безопасность *
image

unCAPTCHA – автоматизированная система, разработанная экспертами Мэрилендского университета, способная обойти reCAPTCHA от Google с точностью до 85 %. Им это удалось благодаря распознаванию аудио-версии подсказки для людей с ограниченными возможностями.
Всего голосов 48: ↑46 и ↓2 +44
Просмотры 26K
Комментарии 31

Состоялся релиз OWASP Top 10 2017 RC 2

Блог компании OWASP Информационная безопасность *
image

Обновился список Топ-10 уязвимостей от OWASP (Release Candidat 2)— наиболее критичных рисков безопасности веб-приложений.

На проект OWASP Топ-10 ссылается множество стандартов, инструментов и организаций, включая MITRE, PCI DSS, DISA, FTC, и множество других. OWASP Топ-10 является признанной методологией оценки уязвимостей веб-приложений во всем мире. Проект OWASP Топ-10 отражает наиболее значимые угрозы веб-приложению.
Читать дальше →
Всего голосов 22: ↑22 и ↓0 +22
Просмотры 6.5K
Комментарии 0
1

Информация

Дата основания
Местоположение
Россия
Сайт
owasp.org
Численность
1 001–5 000 человек
Дата регистрации
Представитель
Лука Сафонов