今天來介紹一個致力全球網路安全非常知名且重要的組織,也就是漏洞開放網頁應用程式安全計畫 (Open Web Application Security Project, OWASP),相信很多人都有聽過知名的OWASP TOP 10漏洞排行,而那就是他們其中一項研究專案的產物。OWASP是在2001建立的組織,並在2004年登記為非營利組織,並強調他們跟資安公司無任何關係,且不會跟商業利益掛勾。
除了OWASP TOP 10軟體漏洞排行外,他們其實還有很多有用的專案,像是有針對Java、.NET等程式語言的專案,也有針對App安全性進行研究的專案,可以說是包羅萬象,而且也很實用。
專案列表網址:https://www.owasp.org/index.php/Category:OWASP_Project
這邊就來推薦一個可以練習網頁漏洞基礎的專案,也就是相信也已經很多人認識的WebGoat(網址:https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project )。這個專案讓使用者在本機上安裝一台網頁伺服器,啟動後,使用者就可以在上面進行各種基礎網頁漏洞的練習,由一關一關循序漸進的方式來熟悉網頁常見漏洞有哪些,可以了解各種網頁漏洞會出現在什麼地方,以及他的形態會是怎樣,對於初學者來說是很好用的工具。
之前其實自己都沒有認真玩完過Webgoat,這次就利用幾天的時間,在未來幾天跟大家一起玩一輪Webgoat,就敬請期待囉~
參考資料
[1] https://www.owasp.org/index.php/Main_Page
[2] https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
介紹兩個我最喜歡的專案:
The OWASP Zed Attack Proxy (ZAP)
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP ModSecurity Core Rule Set (CRS)
https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
感謝推薦~之後也來拜讀一下