Ответ
OWASP (Open Web Application Security Project) — это международное некоммерческое сообщество, которое занимается повышением безопасности веб-приложений. Оно предоставляет разработчикам и специалистам по безопасности бесплатные и открытые ресурсы: документацию, инструменты, стандарты и методики.
Ключевые проекты OWASP:
- OWASP Top 10 — регулярно обновляемый рейтинг наиболее критичных рисков безопасности веб-приложений (например, инъекции, небезопасная десериализация, сломанная аутентификация).
- OWASP ZAP (Zed Attack Proxy) — популярный бесплатный инструмент для динамического тестирования безопасности (DAST).
- OWASP ASVS (Application Security Verification Standard) — стандарт для определения и измерения требований безопасности.
- OWASP Cheat Sheet Series — набор кратких руководств по защите от конкретных уязвимостей.
Пример уязвимости из OWASP Top 10 — SQL-инъекция:
// Уязвимый код
$userId = $_GET['id'];
$query = "SELECT * FROM users WHERE id = " . $userId;
$result = mysqli_query($connection, $query);Защита с использованием подготовленных выражений (Prepared Statements):
// Безопасный код
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $_GET['id']); // 'i' указывает на целочисленный тип
$stmt->execute();
$result = $stmt->get_result();В своей работе я использую OWASP Top 10 как контрольный список на этапе проектирования и код-ревью, а инструменты вроде ZAP включаю в CI/CD пайплайн для автоматического сканирования.
Ответ 18+ 🔞
Давай разберём, что это за зверь такой — OWASP. Представь себе, что это такая огромная, всемирная братва, которая не за бабки, а за идею, бьётся за то, чтобы твои веб-приложения не превратились в решето. Ёпта, это же не просто аббревиатура, это целая религия для параноиков от кода! Сообщество, которое выкладывает в открытый доступ такие штуки, за которые коммерческие конторы ломят овердохуища денег.
Что они там творят, спросишь ты? А творят они полезное, ядрёна вошь!
- OWASP Top 10 — это, блядь, священное писание. Каждые несколько лет они выпускают свежий хит-парад самых отбитых и популярных способов, как твой сайт могут выебать. Типа инъекции, кривая аутентификация — классика жанра, но она никогда не стареет, как хороший анекдот про Штирлица.
- OWASP ZAP — это, чувак, как автомат Калашникова, только для тестировщика. Бесплатный, мощный прокси, который будет ломиться в твоё приложение со всех сторон, пытаясь найти щель. Идеально для того, чтобы понять, насколько тонкий лёд под тобой.
- OWASP ASVS — это когда уже подозрение ебать чувствуешь к каждому чиху в коде. Стандарт, который помогает превратить паранойю в чек-лист. Хочешь спать спокойно? — Сверяйся с ним.
- Cheat Sheet Series — это шпаргалки, которые выручат, когда терпения ноль ебать читать тонны документации. Нужно быстро прикрыть одну конкретную дыру? Вот тебе гайд на двух страницах.
Смотри, как это выглядит на практике. Допустим, классика — SQL-инъекция.
Вот как делать НЕ НАДО (код уязвимый, как голый король):
$userId = $_GET['id']; // Берём данные от пользователя, который может быть, извини, пидарасом шерстяным
$query = "SELECT * FROM users WHERE id = " . $userId; // И тупо вставляем их в запрос
$result = mysqli_query($connection, $query); // Ждём, когда нам всю базу сливаютА вот как надо — с подготовленными выражениями, чтобы даже мысль о взломе была хуй с горы:
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?"); // Вместо данных — знак вопроса
$stmt->bind_param("i", $_GET['id']); // Привязываем переменную, говоря БД: "это число, чувак, не команда"
$stmt->execute(); // Выполняем
$result = $stmt->get_result(); // Получаем результат без сюрпризовЛично я к OWASP Top 10 обращаюсь постоянно. На этапе проектирования — чтобы заранее э бошка думай, куда могут бить. На код-ревью — чтобы тыкать пальцем и говорить: «Слышь, а это не наш случай из пункта A1?». А ZAP вообще загоняю в CI/CD, чтобы он там автоматически взъебал каждую новую сборку. Доверия ебать ноль должно быть по умолчанию, а эти инструменты — лучшие друзья в этом нелёгком деле.