Практическая польза методологии OWASP

Многие из читателей статьи (да, пожалуй, все) наслышаны о методологии Open Web Application Security Project (OWASP). Давайте немного углубимся в тему и вкратце опишем удобства и преимущества, которые даёт использование методологии OWASP.

Как известно, используя в высказываниях аббревиатуру OWASP, мы чаще всего имеем в виду именно список из десяти наиболее существенных групп уязвимостей, которые сумели вычленить представители движения OWASP и которые размещены в свободном доступе по адресу https://owasp.org/Top10/. При переходе на данную страницу мы видим страницу интро, на которой наглядно изображены зависимости изменений, которые претерпел данный список в 2021 году, когда была пересмотрена версия 2017 года. При этом сам список расположен в левой части страницы.

На наш взгляд, наиболее существенным изменением, которое нашло своё отражение в актуальном OWASP Top 10 list 2021, стало выделение вида уязвимостей А04:2021 – Insecure design в отдельную категорию. Таким образом, сообщество OWASP последовательно «шифтит влево» в полном соответствии с общепризнанными практиками и настаивает на том, что вопросы секьюрити не должны решаться по остаточному принципу на стадии уже работающего приложения, когда что-то изменить достаточно сложно и проблематично, не говоря уже о запросах бизнеса на непрерывность работы приложения. Группировка уязвимостей А04:2021 отсылает архитекторов, разработчиков и специалистов по безопасности к стадии дизайна и проектирования приложения, когда действительно самое лучшее время, чтобы предусмотреть секьюрити контроли и контрмеры.

При этом работая со страницей OWASP Top 10 пользователи имеют возможность активации любой из категорий. К примеру, активировав А04 Insecure design в левой части страницы мы видим отображение описания данной категории в центральной части с примерами и со ссылками на полезную документацию, к примеру, на глобальные принципы секьюрного дизайна: https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html

Чуть ниже полезных ссылок в той же центральной части страницы мы имеем подборку всех CWE, относящихся к категории А04:2021, от CWE-73 до CWE-1173. При этом данный список также представляет собой набор интерактивных ссылок, при активации которых мы попадаем прямиком на https://cwe.mitre.org ресурс с детальным разбором любой заявленной уязвимости. К примеру, по CWE-209 (раскрытие чувствительной информации в сообщениях об ошибках) при активации ссылки мы попадем на CWE - CWE-209: Generation of Error Message Containing Sensitive Information (4.11) (mitre.org). Далее в дело подключается уже методология MITRE, как одна из основных классификаций всех известных уязвимостей в их совокупности и взаимосвязи.

Таким образом, используя размещенный в открытом доступе список OWASP Top 10 (в настоящее время – в редакции 2021 года), можно успешно классифицировать любую обнаруженную (или потенциальную) уязвимость, а также получить практические рекомендации относительно того, как лучше её устранить, для чего можно использовать ссылки на документацию OWASP.

Пользоваться ресурсом www.owasp.org достаточно просто. В целом, очень рекомендуем ознакомление с различными разделами OWASP ресурса всем, кто осуществляет практические мероприятия в сфере секьюрности веб-приложений. Как вариант для продвинутых специалистов – OWASP приглашает принимать активное участие в доработке, правке и корректировке уже имеющихся и создании новых документов всех небезразличных участников коммьюнити.