PT methodologiesБЛОГ

WASC (Web Application Security Consortium)

WASC_logo

Идентифицирането на рисковете за приложенията изисква цялостна и точна процедура за тестване, която може да бъде следвана през времето на SDLC. WASC класификацията е още един отворен стандарт, който оценява сигурността на уеб приложенията. Подобно на OWASP, той също се класифицира в определен брой атаки и уязвимости, но ги адресира по далеч по-дълбок начин. Използването на този стандарт изисква следване на методика, която може лесно да се приспособи към технологичната тестова среда. Стандарта се състои от три различни изгледа (views) за да спомогне разработчиците и одиторите по сигурността да разберат визията на заплахите за уеб приложенията:

  • Списък (enumeration view) – този изглед осигурява преглед на базата уязвимости и слабости на уеб приложенията. Всяка от тези атаки и уязвимости се дискутира индивидуално с нейната кратка дефиниция, тип и уникален идентификатор, който може да бъде полезен за достъп (referencing). Общият брой от 49 уязвимости се идентифицират със статичен WASC-ID номер (1 до 49). Тази номерация не показва степента на риск, а просто служи като вариант за достъп.
  • Разработка (development view) – комбинира набора от атаки и слабости в уязвимости, които е вероятно да се случат във всяка една от трите последователни фази на разработка. Уязвимостите по време на имплементация биват въвеждани поради използване на несигурни практики и принципи за програмиране. Уязвимостите при разработка са резултат от грешки при конфигурация на приложения, уеб сървъри или други външни системи. Поради това, изгледа разширява обхвата чрез интегриране на най-добри практики в
  • Таксономия (taxonomy cross-reference view) – прегледа на множество стандарти за сигурност на уеб приложенията може да помогне на одиторите и разработчиците да свържат терминологията от един стандарт с друг. Чрез полагане на малко допълнителни усилия може да се изпълняват няколко стандарта едновременно. Въпреки това, всеки стандарт за сигурност дефинира свои собствени критерии за оценка на сигурността от различни гледни точки и измерва риска, свързан с тях. Това означава, че всеки стандарт изисква полагането на различни усилия за да калкулира рисковете и техните нива на сигурност.

Ключови свойства и предимства на WASC

В следващите редове са обобщени някои от ключовите свойства и предимства на WASC:

  • WASC-TC осигурява задълбочени знания за оценка на уеб приложенията срещу най-често използваните атаки и уязвимости
  • Атаките и уязвимостите представени в WASC-TC могат да бъдат използвани за тестване и верификация на всяка една уеб платформа, използвайки комбинация от инструменти главно от Linux-базирани операционни системи.
  • Стандарта осигурява три различни изгледа, съответно списък, разработка и таксономия. Първият служи като база за всички атаки и слабости, намиращи се в уеб приложенията. Вторият обединява тези атаки и слабости в уязвимости и ги категоризира според това колко често се срещат във всяка фаза от цикъла за разработка на приложения. Третият изглед има за цел препратка към други стандарти.
  • WASC-TC вече е интегриран в много решения – комерсиални и с отворен код, предимно в процеса по оценка на уязвимостите.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *