Skocz do treści

Tag: OWASP

Nowy OWASP ASVS

Na stronie projektu OWASP można pobrać nowy standard weryfikacji bezpieczeństwa aplikacji – ASVS 4.0.1 OWASP ASVS ma postać wymagań zebranych w grupy, na podstawie których można zmierzyć obiektywny poziom bezpieczeństwa aplikacji webowej w zależności od wrażliwości danych, które są przetwarzane w aplikacji. Standard wyróżnia trzy poziomy wrażliwości : Poziom pierwszy (Level 1) – niski poziom zapewnienia bezpieczeństwa danych Poziom drugi (Level 2) – aplikacje przetwarzające dane wymagające ochrony (kwalifikują się tu na przykład dane osobowe, zamówienia sklepów internetowych, itd) Poziom trzeci (Level 3) – aplikacje przetwarzające dane wymagające największej ochrony: transakcje wysokiej wartości, dane wrażliwe (na przykład medyczne) Grupy wymagań…

OWASP Top Ten IoT 2018

Społeczność utrzymująca projekt OWASP opublikowała 19 grudnia zaktualizowaną listę najczęściej występujących zagrożeń w Internecie Rzeczy (Internet of Things). Na pierwszym miejscu znajduje się stosowanie domyślnych, słabych lub zaszytych na stałe przez producenta w oprogramowaniu, danych dostępowych do urządzeń. Jest to olbrzymi problem, który zauważyli nawet politycy: w październiku w Kalifornii ustanowiono prawo zakazujące stosowania przez producentów haseł domyślnych, wspólnych dla serii urządzeń. Pozostałe miejsca na liście zajmują kolejno: niepotrzebne lub uznawane za niebezpieczne protokoły i usługi sieciowe niebezpieczne (ze słabym uwierzytelnieniem, otwarte, bez filtrowania wejścia) interfejsy ekosystemu brak bezpiecznych mechanizmów aktualizacji oprogramowania przestarzałe komponenty systemów niewystarczające zabezpieczenie prywatności / danych…