Testy Penetracyjne

W ramach projektu OWASP Automated Threats to Web Applications zakończono przegląd raportów, artykułów naukowych i innych, wiadomości i taksonomii / list podatności na zagrożenia, aby zidentyfikować, nazwać i sklasyfikować te scenariusze – zautomatyzowane przez oprogramowanie powodujące rozbieżność z zaakceptowanymi zachowaniami powodującymi jedno lub więcej niepożądanych wpływ na aplikację internetową, ale z wyłączeniem opartego na narzędziach wykorzystania luk w zabezpieczeniach pojedynczego problemu. Pierwotnym celem było stworzenie ontologii zapewniającej wspólny język dla programistów, architektów, operatorów, właścicieli firm, inżynierów bezpieczeństwa, nabywców i dostawców / dostawców, aby ułatwić przejrzystą komunikację i pomóc w rozwiązaniu problemów. Projekt identyfikuje także objawy, środki zaradcze i kontrole w tym obszarze problemu. Podobnie jak wszystkie wyjścia OWASP, wszystko jest bezpłatne i publikowane przy użyciu licencji open source.
Opis

Aplikacje internetowe podlegają niechcianemu zautomatyzowanemu użyciu – z dnia na dzień. Często te zdarzenia odnoszą się raczej do niewłaściwego wykorzystania nieodłącznej prawidłowej funkcjonalności, niż do próby wykorzystania nieskrępowanych luk. Ponadto nadmierne niewłaściwe użycie jest często błędnie zgłaszane jako odmowa usługi (DoS) aplikacji, taka jak zalewanie HTTP, podczas gdy w rzeczywistości DoS jest efektem ubocznym, a nie głównym celem. Często mają one nazwy specyficzne dla sektora. Większość tych problemów regularnie spotykanych przez właścicieli aplikacji internetowych nie znajduje się na żadnej pierwszej dziesiątce OWASP ani na innej liście najważniejszych problemów. Ponadto nie są one wyliczone ani odpowiednio zdefiniowane w istniejących słownikach. testy bezpieczeństwa te przyczyniły się do nieodpowiedniej widoczności i niekonsekwencji w określaniu takich zagrożeń, aw konsekwencji do braku jasności w próbach rozwiązania problemów.

Bez wspólnego języka dla deweloperów, architektów, właścicieli firm, inżynierów bezpieczeństwa, nabywców i dostawców / sprzedawców, każdy musi dołożyć dodatkowych starań, aby komunikować się wyraźnie. Nieporozumienia mogą być kosztowne. Negatywne skutki wpływają na prywatność i bezpieczeństwo osób, a także na bezpieczeństwo aplikacji i powiązanych komponentów systemu.