O Open Web Application Security Project ( OWASP ) é uma comunidade online que trabalha com segurança de aplicativos da web . Sua filosofia é ser livre e aberto a todos. Seu objetivo é publicar recomendações de segurança da Web e oferecer aos usuários da Internet, administradores e empresas métodos e ferramentas de referência para controlar o nível de segurança de seus aplicativos da Web .
A Fundação OWASP é uma instituição de caridade 501 (c) (3) registrada nos Estados Unidos desde 2004 e registrada na Europa desdejunho de 2011como uma organização sem fins lucrativos que apoia as infraestruturas e projetos OWASP. A OWASP é hoje reconhecida no mundo da segurança de sistemas de informação por seu trabalho e recomendações relacionadas a aplicações web .
OWASP foi criado por Mark Curphey em 9 de setembro de 2001. Jeff Williams foi nomeado presidente voluntário no final de 2003 e foi substituído por Tobias Gondrom emsetembro de 2011.
Quatro meses antes da publicação do memorando de Bill Gates "computação confiável" (que abordava a necessidade com a mais alta prioridade de ter sistemas de computador seguros e confiáveis), a comunidade OWASP foi criada emSetembro de 2001 com o objetivo de fornecer elementos, informações e soluções para os desenvolvedores tomarem decisões em termos de segurança de suas aplicações web.
Os projetos mais famosos são:
O objetivo deste projeto é fornecer uma lista dos dez riscos de segurança de aplicativos da web mais críticos. Esta classificação é a referência hoje no campo da segurança: é citada por muitas organizações de auditoria e segurança de sistemas de informação ( DoD , PCI Security Standard). Em 2013, o OWASP atualizou sua classificação com o lançamento do Top Ten OWASP 2013, que visa educar os desenvolvedores sobre as vulnerabilidades da web mais importantes. A maioria das auditorias de segurança de computadores da web é baseada neste Top Ten.
Os dez riscos dos dez primeiros em ordem de periculosidade:
Uma atualização deste top ten foi publicada em 2017 e está disponível no site da Owasp.
É uma plataforma de treinamento que permite ao usuário aprender a explorar as vulnerabilidades mais comuns em uma aplicação web.
É um proxy com muitos recursos úteis ao realizar auditorias de segurança. Além de oferecer ao usuário a possibilidade de visualizar as solicitações trocadas com um servidor Web, é possível modificar essas solicitações, analisar os IDs de sessão , etc.
É um documento de várias centenas de páginas que visa ajudar uma pessoa a avaliar o nível de segurança de um aplicativo da web.
É um documento de várias centenas de páginas que apresenta um método de revisão do código de segurança.
Além disso, o OWASP organiza regularmente reuniões em todo o mundo. Durante essas reuniões, palestrantes do mundo da segurança apresentam um produto, uma falha, um projeto OWASP, etc.