OWASP Top 10? Che ne dici di OWASP Top 1000?

5

Molte persone conoscono "OWASP Top 10". Mi chiedo se OWASP (o qualsiasi altra autorità simile) sia andato ben oltre i 10 principali attacchi più comuni e abbia creato un elenco più ampio (ad esempio "OWASP Top 1.000", ecc.).

Sto mettendo a punto i requisiti per la mia prima grande app web e voglio essere sicuro di essere il più preparato possibile. Mi piacerebbe sapere dove posso trovare un elenco di vulnerabilità più ampio (ma ancora gestibile, non come decine di migliaia!) Di cui ho bisogno per difendere la mia rete e le mie applicazioni.

Se non esiste una tale "lista principale", in che modo IT Sec consiglia di eseguire ricerche e proteggere la mia app Web (oltre all'assunzione di uno di voi come consulente!)? Qualche libro / articolo / blog "da leggere"? Grazie in anticipo!

    
posta zharvey 02.07.2012 - 14:20
fonte

3 risposte

12

Non c'è una top 1000, perché in realtà non sarebbe rilevante per la maggior parte delle persone. I 10 migliori OWASP vengono scelti perché sono applicabili nella maggior parte delle applicazioni Web e potrebbero essere sfruttati se non li si protegge.

Oltre a ciò, se stai partendo da una posizione in cui hai già applicazioni e infrastrutture:

  • Comprendi le tue risorse - hai un elenco di tutte le tue applicazioni, piattaforme e versioni

Questo può essere molto impegnativo in una grande organizzazione, ma senza di essa, in che modo saprai a cosa sei vulnerabile?

  • Fai riferimento a questo elenco con il database CVE per comprendere i tipi e il numero di vulnerabilità che si applicano alle tue risorse

Il database CVE raggiunge il livello di versioni specifiche di applicazioni e piattaforme in modo da ottenere una vista molto personalizzata delle vulnerabilità di cui dovresti essere a conoscenza. Fornisce anche una valutazione (da 1 a 10) e una descrizione di come la vulenabilità può essere sfruttata (es. Locale, remoto ecc.)

  • Identifica i tuoi agenti per le minacce

Potrebbero essere attivisti ambientali, terroristi, concorrenti, governi stranieri, studenti annoiati, bande criminali organizzate ecc.

  • Valutare l'impatto e la verosimiglianza in base ai passaggi precedenti e stabilire la priorità della correzione

Non puoi mai proteggere da tutti i possibili attacchi, quindi questo passaggio è essenziale per aiutarti a decidere dove il tuo budget limitato e il tempo avranno il miglior rendimento. Se non riesci ad articolare il valore di un progetto di riparazione sul tabellone, potresti trovare difficoltà ad ottenere il buy-in e il budget.

  • Implementa attività di riparazione

  • Risciacquo e ripeti - la sicurezza non finisce mai

Una posizione migliore è quella di costruire un framework di governance della sicurezza che aiuti a definire e assicurare la sicurezza nel ciclo di vita dello sviluppo, quindi questo ti aiuterà a costruire un'architettura e un piano di test per aiutare a ridurre la probabilità che le vulnerabilità entrino nel codice - ma questa è una discussione molto più lunga, e probabilmente ti vedremo usare i consulenti: -)

tl; dr - OWASP Top 10 ti offrirà la migliore vista iniziale su ciò che devi fare per proteggerti. Successivamente, controllare il database CVE per le vulnerabilità specifiche del proprio codice. Migliorare le tue procedure / framework / SDLC ti proteggerà meglio a lungo termine. Proattivo, piuttosto che reattivo.

    
risposta data 02.07.2012 - 14:38
fonte
1

OWASP elenca molti più attacchi che solo i primi 10. Vedi la categoria di attacco su OWASP wiki.

    
risposta data 02.07.2012 - 17:36
fonte
0

OWASP Le prime 10 categorie coprono quasi tutti i problemi per le applicazioni web. Questa è la lista di 10 problemi, tuttavia se si approfondisce si arriva a conoscere la categorizzazione dietro questo.

Leggi link

    
risposta data 01.04.2016 - 12:09
fonte

Leggi altre domande sui tag