OWASP là gì và tại sao ta nên biết về nó?

Mục lục

• OWASP là gì ?
• Khám phá 10 lỗ hổng hàng đầu của OWASP
• Dự án 10 lỗi Internet vạn vật hàng đầu của OWASP
• OWASP Juice Shop là gì?
• Lợi ích của việc sử dụng OWASP Juice Shop ?
• OWASP IoT Goat là gì?
• OWASP Zed Attack Proxy (ZAP) là gì?
• OWASP được biết đến vì liên quan đến bảo mật nào?
  • OWASP Cheat Sheet Series (OCSS)
  • Mô hình đảm bảo an ninh OWASP (SAMM)
  • Khung kiến ​​thức bảo mật OWASP (SKF)
• Lời kết

OWASP là gì ?

Dự án Bảo mật Ứng dụng Web Mở, hay OWASP, là một tổ chức phi lợi nhuận có uy tín cam kết tăng cường bảo mật cho các công ty, người tiêu dùng và các nhà phát triển. OWASP đạt được điều này thông qua một số dự án mã nguồn mở, cơ hội hợp tác và đào tạo. OWASP dành cho tất cả mọi người, cho dù bạn là người mới bắt đầu hay một nhà phát triển phần mềm dày dạn kinh nghiệm.

OWASP rất nổi tiếng trong cộng đồng bảo mật ứng dụng và là một tổ chức khổng lồ, có định hướng với hàng chục nghìn thành viên trải rộng trên 275 chi hội địa phương trên toàn thế giới!  OWASP đã tập hợp các chuyên gia lại với nhau kể từ năm 2001 để làm việc hướng tới một mục tiêu chung là tăng cường bảo vệ ứng dụng.

Mọi người nghĩ về OWASP đầu tiên với bảng xếp hạng top 10 lỗi bảo mật thông dụng có tên OWASP Top 10. 

Khám phá 10 lỗ hổng hàng đầu của OWASP

Chúng ta sẽ không đi sâu vào chi tiết về 10 lỗ hổng hàng đầu của OWASP trong bài này, nhưng sẽ thiếu sót nếu không liệt kê chúng. Đó là một khía cạnh quan trọng của việc trả lời câu hỏi, “OWASP là gì?”

Danh sách 10 lỗ hổng bảo mật hàng đầu của OWASP đúng như tên gọi : Là danh sách mười mối đe dọa bảo mật quan trọng nhất đối với các ứng dụng web được các nhà phát triển tìm thấy. Đó là một công cụ vô giá có thể hỗ trợ bạn cải thiện khả năng bảo vệ và tạo ra sự thay đổi trong công ty đồng thời giảm thiểu rủi ro. Đó là thứ mà các nhà phát triển và công ty trên toàn thế giới dựa vào để biết chi tiết về các lỗ hổng bảo mật mạng quan trọng. Nó được cập nhật vài năm một lần

Vì vậy, chính xác thì mười lỗi bảo mật ứng dụng hàng đầu là gì?

1. Chèn hoặc tiêm dữ liệu đầu vào độc hại (Injection)
2. Xác thực bị hỏng
3. Phơi nhiễm dữ liệu nhạy cảm
4. Các thực thể bên ngoài XML (XXE)
5. Kiểm soát truy cập bị hỏng
6. Cấu hình sai bảo mật
7. Kịch bản chéo trang (XSS)
8. Hủy đăng ký không an toàn
9. Sử dụng các thành phần có lỗ hổng đã biết
10. Ghi nhật ký & Giám sát không đầy đủ

Dự án 10 Internet vạn vật hàng đầu của OWASP

Internet of Things (IoT) đang mở rộng với tốc độ chóng mặt. Theo Gartner, sẽ có 25 tỷ thiết bị được kết nối được sử dụng vào năm 2021. Điều này cho bạn ý tưởng về loại hình phát triển mà chúng ta đang nói đến. Đó là rất nhiều thiết bị có khả năng dễ bị tấn công được kết nối với mạng, tạo ra các lỗ hổng mà tin tặc có thể lợi dụng.

Đây là một lĩnh vực mà OWASP có thể hỗ trợ. Trong môi trường IoT ngày càng phát triển, 10 lỗi bảo mật internet vạn vật hàng đầu của OWASP nhằm giúp tất cả các bên liên quan – từ nhà sản xuất và nhà phát triển đến người dùng cuối – hiểu rõ hơn về rủi ro của công nghệ với các thiết bị được kết nối

Hiện OWASP đã đưa ra danh sách mười sai lầm hàng đầu cần tránh khi thiết kế, triển khai và / hoặc xử lý các hệ thống IoT. Đó là :

1. Mật khẩu yếu, có thể đoán hoặc được mã hóa cứng
2. Dịch vụ mạng không an toàn
3. Giao diện hệ sinh thái không an toàn
4. Thiếu cơ chế cập nhật an toàn
5. Sử dụng các thành phần không an toàn hoặc lỗi thời
6. Bảo vệ quyền riêng tư không đầy đủ
7. Truyền và lưu trữ dữ liệu không an toàn
8. Thiếu quản lý thiết bị
9. Cài đặt mặc định không an toàn
10. Thiếu sự tăng cường bảo mật

OWASP Juice Shop là gì?

Theo trang web của OWASP thuật ngữ “cửa hàng nước trái cây” Juice Shop là một bản dịch ngược từng chữ của từ saftladen trong tiếng Đức, có nghĩa là “đồ bỏ đi” hoặc “trang phục vô dụng”.

OWASP’s Juice Shop về cơ bản là một nơi các nhà phát triển, người thử nghiệm bảo mật (pentester hay hacker ) và những người dùng khác có thể dùng để kiểm tra và khai thác lỗi trên các hệ thống dễ bị tấn công.  OWASP’s Juice Shop là một ứng dụng web hiện đại và phức tạp được xây dựng có chủ đích để c1o thể bị khai thác, tấn công.  OWASP’s Juice Shop được thiết kế để chứa danh sách 10 lỗ hổng hàng đầu của OWASP.

Nhưng tại sao mọi người lại tạo ra một thứ gì đó không an toàn như vậy? OWASP Juice Shop được xây dựng chủ yếu để hoạt động như một con lợn guinea và nơi thử nghiệm cho cả các nhà phát triển và chuyên gia bảo mật CNTT. Nền tảng đa năng này có thể được sử dụng cho các chiến dịch nâng cao nhận thức cộng đồng, các hoạt động bắt cờ (CTF), đào tạo an ninh và hơn thế nữa.

Lợi ích của việc sử dụng OWASP Juice Shop là gì?

• Hoàn toàn miễn phí và mở cho công chúng.  Một trong những điều tuyệt vời về OWASP Juice Shop là hoàn toàn miễn phí và bạn không phải tốn nhiều tiền hay thời gian để sử dụng. 
• Khép kín và tự động đặt lại. Tất cả những gì bạn cần đều được đóng gói sẵn và tải xuống ngay lập tức. Hơn nữa, nó tự động xóa và lưu trữ lại cơ sở dữ liệu sau khi bạn sử dụng chúng mỗi khi máy chủ khởi động lại. Bằng cách này, bạn sẽ không phải suy nghĩ về việc thiết lập lại theo cách thủ công trong lần sử dụng tiếp theo.
• Nhiều tùy chọn cài đặt có sẵn. Bạn có muốn chọn và chọn những gì bạn chạy trên Windows và Linux không? Điều này thật tuyệt. Bạn có thể lựa chọn sử dụng Docker, Node.js hoặc Vagrant.
• Thật dễ dàng để theo dõi. Cân nhắc một ứng dụng gửi thông báo cho bạn bất cứ khi nào hoàn thành một thử thách. Đó là những gì OWASP Juice Shop làm. Ngoài ra, bạn có thể sử dụng tính năng bảng điểm thân thiện với người dùng của nó để theo dõi các hoạt động khai thác lỗ hổng bảo mật.
• Làm cho nó trở nên đặc biệt đối với bạn. Bạn có muốn ứng dụng trở thành một trong những giải pháp của công ty bạn không? Không sao đâu. Về mặt thương hiệu, cửa hàng nước trái cây OWASP hoàn toàn có thể tùy chỉnh.

OWASP IoT Goat là gì?

OWASP IoTGoat (được phát hành vào tháng 12 năm 2019) là một nền tảng không ổn định được sử dụng cho các mục đích giáo dục và trình diễn, gần giống với OWASP Juice Store.  OWASP IoTGoat được xây dựng dựa trên OpenWrt, hoặc OPEN Wireless RouTer, là một phần mềm bộ định tuyến dựa trên Linux mã nguồn mở.

IoTGoat về cơ bản là phiên bản IoT của Juice Store. IoTGoat được thiết kế với các lỗ hổng IoT được tích hợp vào đó, tương tự như cách OWASP Juice Shop tích hợp 10 lỗ hổng ứng dụng hàng đầu. Lý do cho điều này là gì? Vì có nhiều lỗ hổng chưa được khắc phục trong các thiết bị IoT, nên mục tiêu của dự án là giáo dục người dùng về các loại phổ biến nhất. Tất nhiên, điều này có nghĩa là những lỗ hổng này dựa trên 10 Lỗ hổng IoT hàng đầu của OWASP mà chúng ta đã thảo luận trước đó.

OWASP Zed Attack Proxy (ZAP) là gì?

OWASP ZAP, hoặc OWASP Zed Attack Proxy, là một nền tảng an ninh mạng linh hoạt và hữu ích cho cả các chuyên gia bảo mật ứng dụng mới và dày dạn kinh nghiệm.  OWASP ZAP chặn và kiểm tra các tin nhắn được gửi giữa máy khách và ứng dụng web đang được kiểm tra, hoạt động hiệu quả như một proxy man-in-the-middle (MitM).

ZAP giúp kiểm tra bảo mật phần mềm dễ dàng hơn cho bất kỳ ai, từ người thử nghiệm mới làm quen đến nhà phát triển ứng dụng và chuyên gia thử nghiệm dày dạn, nhờ vào các API mạnh mẽ và tự động hóa bảo mật.

OWASP được biết đến vì liên quan đến bảo mật như thế nào?

OWASP được biết đến với hơn mười danh sách hàng đầu và các môi trường dễ bị tấn công. Dự án Bảo mật Ứng dụng Web Mở cũng đang thực hiện một số dự án đáng chú ý khác cùng lúc. Các dự án của họ có thể được chia thành một số loại khác nhau:

• Các dự án hàng đầu – Danh mục này bao gồm các dự án như OWASP Juice Shop, OWASP SAMM, OWASP Top Ten, OWASP Zap, v.v.
• Dự án phòng thí nghiệm – Các dự án này bao gồm OWASP Internet of Things, OWASP WebGoat, OWASP Enterprise Security API (ESAPI), v.v.
• Dự án Vườn ươm – Nhóm dự án này bao gồm Khung đánh giá rủi ro OWASP (RAF), OWASP Docker Top 10, OWASP SamuraiWTF, v.v.
• Các dự án yêu cầu cập nhật trang web —Danh mục này bao gồm Ứng dụng web bị hỏng OWASP, Bảo mật đám mây OWASP, OWASP Honeypot, v.v.

Các dự án OWASP đáng chú ý khác bao gồm:

OWASP Cheat Sheet Series (OCSS)

Tài nguyên này được lưu trữ trong kho lưu trữ OCSS GitHub, cung cấp cho các chuyên gia bảo mật ứng dụng các lối tắt và hướng dẫn về các chủ đề liên quan đến bảo mật cụ thể thông qua “bảng gian lận”. Mục đích của Chuỗi Bảng Cheat OWASP là cung cấp các công cụ nhanh chóng giúp họ quản lý trách nhiệm của mình hiệu quả hơn.

Mô hình trưởng thành đảm bảo an ninh OWASP (SAMM)

Bạn có muốn nâng cao vị thế bảo mật của phần mềm theo cách có thể đo lường được không? Thì OWASP SAMM là công cụ dành cho bạn. Mô hình tự đánh giá này sẽ hỗ trợ bạn đánh giá các hoạt động và thực tiễn bảo mật thông tin hiện tại của bạn. Nói một cách đơn giản, đó là một nền tảng mở khác hỗ trợ các tổ chức thiết kế các chiến lược bảo vệ thông tin dành riêng cho rủi ro.

Khung kiến ​​thức bảo mật OWASP (SKF)

Bạn đang tìm kiếm các phương pháp thực hành appsec phù hợp? Bạn không chắc cách tốt nhất để viết mã an toàn là gì? Có lẽ bạn muốn tìm hiểu cách kết hợp bảo vệ bằng thiết kế vào (các) ứng dụng web của mình. OWASP sẽ bảo vệ bạn, bất kể kịch bản nào phù hợp hơn với tình huống. Khung kiến ​​thức bảo mật của họ, hay viết tắt là SFK, là một cơ sở kiến ​​thức tài nguyên nguồn mở dành cho các nhà phát triển ứng dụng cung cấp thông tin như thế này. Nó cũng hoạt động như một nền tảng đào tạo tuyệt vời, với các ví dụ và lời khuyên tuyệt vời về cách xử lý các vấn đề appec khác nhau.

Lời kết

OWASP là một nguồn tài nguyên vô giá cho các nhà phát triển phần mềm, các hacker có đạo đức và các chuyên gia bảo mật CNTT, những người muốn giữ an toàn cho doanh nghiệp và các ứng dụng phần mềm của họ.

Security365 – Đại Ngọc Sơn