OWASP - 누구?

나는 최근에 단문 한 편을 써서 모든 개발자에게 추천하는 팟캐스트 다섯 명을 소개했다. 그들의 기술 수준이 어떻든지 간에.다음 링크에서 읽을 수 있습니다.

내 팟캐스트 구독

제이미・ 2018년 9월 7일・ 4분 읽기

#podcast #productivity #audio

그 게시물의 댓글에 내 친한 친구 김이 말했다.

Sung M. Kim
•
와, 제이미, 목록과 팟캐스트 개요 고마워요.💃.
우선 Git에 대한 팟캐스트가 놀랍다.
나는 숀 윌드머스의 방송인을 전혀 모른다.
놀랍게도 팟캐스트를 위해 얼마나 많은 시간과 정력을 들였고 다른 사람들이 OwaspHeaders.Core 라이브러리의 OWASP의 안전성에 관심을 가지도록 도와주었는지 알 수 있다.
보아하니 너와 마틴은 모두 안전에 관심이 있는 것 같다.
InfoSec의 팟캐스트가 있습니다.

내 팟캐스트 구독

마틴 리델

#podcast#productivity

나중에 OWASP가 무엇인지, 왜 우리가 안전성에 더 관심을 가져야 하는지에 대한 글을 올릴 수 있는지 보고 싶어요.😉
이에 근거하여 나는 OWASP에 관한 게시물을 쓸 것이다. 그것이 무엇인지, 그리고 그들의 목표가 무엇인지.

OWASP

NIST라고 들어봤어요?영국 National Cyber Security Centre 어때요?이러한 조직의 목표는 애플리케이션 보안을 향상시키는 Best Practice 및 권장 사항을 요약하는 것입니다.
그러나 그들이 내놓은 대부분의 건의는 통상적으로 apply to most services, 또는 대략 specific service 으로 모호하다.
그러나 응용 프로그램의 안전성을 높이고자 하는 개발자들에게 상황은 어떨까?이것이 바로 OWASP의 용무지이다.
OWASP 또는 Open Web Application Security Project는 비영리 조직으로, 그 목표는 자신의 말로 설명하는 것이 가장 좋습니다.

OWASP is an open community dedicated to enabling organizations to conceive, develop, acquire, operate, and maintain applications that can be trusted. All of the OWASP tools, documents, forums, and chapters are free and open to anyone interested in improving application security. We advocate approaching application security as a people, process, and technology problem because the most effective approaches to application security include improvements in all of these areas.

Source

그런데 이게 나한테 무슨 도움이 돼?

우리는 모두 가장 안전한 응용 프로그램을 만들고 싶어 한다. 그렇지?우리는 당연히 이렇게 할 것이다. 그러나 해커가 자신의 응용 프로그램 (또는 조직이 만든 응용 프로그램) 을 침입하는 것은 약간 회색일 수 있다.
이것이 바로 OWASP를 만드는 이유 중 하나입니다. 모든 기술 창고를 정리하는 데 가장 좋은 안전 조언입니다.
나는 보통 사무실에서 일한다.NET 기술 세트some의 projects에서 알 수 있듯이 코드 심사와 필기시험을 위한 프로젝트를 제출할 때 응용 프로그램을 어떻게 보호하는지 어디로 가야 할지 모르겠어요.
다행히도 OWASP는 일련의 cheat sheets 을 가지고 있어 개발자들이 응용 프로그램을 보호하는 속도를 가속화할 수 있도록 도와준다.그들의 대다수 건의는 말하지 않아도 알 수 있듯이 parameterising your SQL inputs 또는 유사한 Object-Relation Manager 실체 프레임워크를 사용하여 SQL 주입 공격을 피하는 것) 코드에서 실현하기 어려운 것들 (예를 들어 IIS 설정) 이다.

OWASPs 권장 사항 구현

단원 테스트나 행위 테스트처럼 응용 프로그램에서 안전성을 설계하는 것이 사후에 안전성을 실현하는 것보다 훨씬 쉽다.이것은 이미 존재하는 코드 라이브러리를 완성할 수 없다는 것이 아니지만, 더 많은 노력과 고려가 필요할 것이다.본질적으로 말하자면, 보안을 실현하는 최선의 실천은 현재의 코드를 파괴할 것이다. 특히 바쁜 와중에 응용 프로그램을 구축하고 문제를 정확하게 생각하지 않으면.
따라서 그들의 건의를 파악하고 가능한 한 빨리 코드 라이브러리에 구현하는 것이 좋다.물리적 건축도 마찬가지다. 건축이 건설되기 전에 건축을 더욱 안전하게 하기 쉽기 때문이다.
OWASP 권장 사항을 구체적으로 구현하는 방법은 애플리케이션 구축을 위한 프레임워크, 기술 및 언어에 따라 다릅니다.나는 보통 그들과 함께 일한다.NET.NET Framework.NET Core) 구현 목록은 다음과 같이 보입니다.

httpContext.Response.Headers.Add("X-XSS-Protection", "1; mode=block");

사실상, 위의 코드 블록은 OWASP recommended HTTP headers 헤더를 하나의 값에 추가합니다. 이 값은 브라우저가 가능한 X-XSS-Protection 을 검출할 때 페이지를 표시하지 말라고 알려 줍니다.
HTTP 헤더의 경우 사이트에서 생성된 모든 응답에 추가할 수 있는 두 가지 방법이 있습니다.

코드 (위)

웹 서버/리버스 에이전트 수준

나는 코드로 작성하는 것을 더욱 좋아한다. 이렇게 하면 너의 응용 프로그램은 웹 서버/역방향 에이전트에 의존하지 않을 것이다.그러나, 만약nginx로 같은 머리를 실현하고 싶다면.그것은 보기에 이렇다.

add_header X-XSS-Protection "1; mode=block";

겸사겸사 한마디: 나처럼 ASP로 대량개발을 한다면.NET Core, 그럼 내 것Cross Site Scripting attack이나 그것OwaspHeaders.Core project을 보고 싶을 수도 있어.

NuGet 패키지 결론

당신은 지금 OWASP가 누구와 무엇인지, 그리고 그들의 업무와 건의가 어떻게 당신의 응용 프로그램을 더욱 안전하게 하는지 더 잘 알아야 합니다.
OWASPs를 어떻게 실현하는지에 대한 모든 건의와 최선의 실천이 본고의 범위를 넘어섰지만, 지금은'미지의 미지'단계를 넘길 수 있는 충분한 정보가 있기를 바랍니다.
인터넷을 더욱 안전한 곳으로 만들자.