OWASP WebGoat - sécurité des applications WEB
Fondation OWASP
Présentation
OWASP (The Open Web Application Security Project) est une organisation internationale à but non-lucratif créée au début des années 2000, mettant à disposition des supports de bonnes pratiques de développement, des outils et une méthodologie aidant dans les tests de sécurité et dans l'identification de vulnérabilités potentielles. Elle réunit principalement des professionnels de domaines liés à la sécurité des systèmes d'information mais implique également des développeurs et chefs de projet, mettant en commun leurs expériences et savoir-faire à la disposition de tout à chacun afin de sensibiliser un large public aux problèmes que peuvent poser la sécurité d'applications mal conçues ou développées, ou dont l'équipe de projet aurait fait l'impasse sur cette composante.
Rôle et objectifs
OWASP se veut être un opérateur de confiance, innovant et intègre pour les entreprises, aidant dans la réussite de projets à long terme, guidant les équipes de développement par des standards de conformité logicielle, des bonnes pratiques et recommandations assurant ainsi un niveau de sécurité acceptable pour leurs applications. Le groupe OWASP expose princialement des supports (méthodologie, outils) aidant dans la détection et l'exploitation de failles de sécurité au niveau d'une application WEB (tests de pénétration).
Principaux projets
- Top Ten vulnerabilities : les vulnérabilités les plus rencontrées avec les applications WEB (internet ou intranet d'entrerpise)
e.g: injections SQL, XSS, etc... - ZAP Proxy, WebScarab : ce sont des outils de test basés sur l'utilisation d'un proxy permettant d'intercepter des échanges (requêtes et réponses) liés au protocole HTTP
- OWASP development Guide, OWASP Code Review Guide
- ASVS - Application Security Verification Standards
- Mantra : un navigateur embarquant divers outils utiles lors de tests d'intrusion
- WebGoat