Projekt OWASP už v rámci bezpečnostnej komunity nemusíme zvlášť predstavovať. Ide o projekt zaoberajúci sa bezpečnosťou webových aplikácií na viacerých úrovniach. Jeho dielčie projekty súvisia ako s designom bezpečných webových aplikácií, tak s detekovaním zraniteľností a ich správnym testovaním.
Medzi jeden z najznámejších počinov tejto otvorenej komunity nadšencov webovej bezpečnosti patrí už niekoľko rokov zoznam desiatich najkritickejších zraniteľností, ktoré sa vo webových aplikáciach vyskytujú. Dokument známy ako „OWASP Top 10“ prešiel v roku 2013 už svojou štvrtou editáciou a o stále pretrvávajúcom záujme o tento manuál svedčí tiež fakt, že bol preložený už do dvanástich jazykov, čo značne otvorilo priestor pre jeho využitie širšej mase ľudí. A keďže tento manuál využívame aktívne aj my v rámci služby Skener webu, rozhodli sme sa ho preložiť do češtiny a priblížiť problematiku bezpečnosti webových aplikácií aj českým tvorcom a administrátorom webových stránok. Spolu s týmom CSIRT.CZ stojí za prekladom tiež kolega Petr Závodský, ktorý sa OWASPu venuje dlhodobo; mimochodom aj v rámci vzdelávacieho centra Akademie CZ.NIC.
Dokument je štruktúrovaný spôsobom, ktorý umožní čitateľom pochopiť princíp samotnej zraniteľnosti, vysvetliť možné spôsoby jej zneužitia a takisto objasniť obranu. Krok po kroku tak prevádza čitateľa cez časti webových aplikácií, ktoré môžu predstavovať kritické riziko nielen pre samotnú aplikáciu, ale aj pre meno organizácie, ktorá ju prevádzkuje. Zo skúsenosti zo služby Skener webu vieme, že vzhľadom ku komplexnosti webových aplikácií sa chybička môže objaviť.
Stav, kedy budú všetky webové aplikácie bez bezpečnostných chýb, nedosiahneme. Dôležité však je, aby webový administrátori mali v prípade záujmu na dosah manuál, ktorý im pomôže priblížiť sa k tomu.
Ak vás teda zaujíma, kde všade sa kritické zraniteľnosti v aplikácií môžu vyskytovať, ako ich detekovať a následne ošetriť, manuál Owasp Top 10 nájdete v češtine ako na stránkach Skeneru webu, tak na oficiálnych stránkach neziskovej organizácie OWASP.
Zrovna se mi to hodí :)