Vale la pena seguire OWASP AppSensor per un'applicazione web open source?

5

Sto pensando di seguire il progetto AppSensor di OWASP per creare un rilevamento delle intrusioni a livello di applicazione in un open source esistente applicazione web.

Penso che l'uso di AppSensor per rilevare attacchi generici e automatici abbia un certo valore. Tuttavia, AppSensor sembra meno prezioso contro gli attacchi diretti a questa applicazione perché chiunque può eseguire l'applicazione localmente per capire come verranno rilevati i loro attacchi.

Vale la pena seguire pienamente OWASP AppSensor per un'applicazione web open source, o sarebbe un uso più efficiente del tempo e degli sforzi per provare solo a rilevare gli attacchi automatici?

    
posta Mark Rushakoff 03.06.2013 - 04:26
fonte

2 risposte

1

Tutti gli sforzi per la sicurezza sono un investimento. Ognuno produce un ritorno diverso sul proprio investimento. Dico spesso alle persone di impegnarsi nelle pratiche di sicurezza che offrono il massimo ritorno in termini di bug rilevati, attacchi prevenuti, ecc. Il miglior uso del tempo in un progetto open source verrebbe esaminato per le vulnerabilità comuni (es. OWASP Top 10), problemi di configurazione, ecc. Quindi invia le correzioni per ciò che trovi.

    
risposta data 04.06.2013 - 04:25
fonte
0

Nick P è corretto - è certamente meglio tentare di trovare prima le vulnerabilità e avere processi che aiutino a impedire che entrino in produzione. A seconda dell'applicazione, potrebbero esserci dei vantaggi nel conoscere l'intento di un utente.

Abbiamo appena completato una nuova guida AppSensor:

link

Da scaricare gratuitamente da:

link

    
risposta data 27.05.2014 - 10:23
fonte

Leggi altre domande sui tag