[FSUG PD] OWASP Testing Guide: la bibbia delle Web Vulnerabilities

[Luca Berton]

Perdonate il cut and paste da
http://www.lastknight.com/2007/02/13/owasp-testing-guide-la-bibbia-delle-web-vulnerabilities/ ma è veramente interessante:

Inizia in sordina la mail di Matteo
Meucci (http://www.isacaroma.it/html/newsletter/node/78) (che dirige il
chapter OWASP Italy) sulla lista OWASP (http://www.owasp.org/), ma è una
delle comunicazioni che non capita tutti i giorni di ascoltare:

    Hi all,
    thank for your great feedback! I’ve published the v2 of our Testing Guide in doc format.

Già, poche righe di descrizione per un lavoro impressionante, una guida entusiasmante per chiunque voglia approfondire gli argomenti della Sicurezza Web e del Testing e Pentesting Web di applicazioni, oltre soprattutto a rappresentare una pietra miliare nel campo dell’editoria Online di Sicurezza Informatica.
E così, grazie a Matteo Meucci ma anche e soprattutto ad una serie di italiani che il mondo intero ci invidia come Matteo Meucci, Mauro Bregolin, Luca Carettoni, Stefano Di Paola, Giorgio Fedon, Andrea Lombardini, Claudio Merloni, Antonio Parata, Carlo Pelliccioni e Alberto Revelli (in rigoroso ordine alfabetico) il baricentro della Sicurezza Web si è inesorabilmente spostato dagli Stati Uniti alla nostra bella penisola.

Ma cos’è la OWASP Testing Guide? Eccone il breve sunto direttamente dalle pagine del Wiki:

    This document is designed to help organizations understand what comprises a testing program, and to help them identify the steps that they need to undertake to build and operate that testing program on their web applications.
    It is intended to give a broad view of the elements required to make a comprehensive web application security program.
    This guide can be used as a reference and as a methodology to help determine the gap between your existing practices and industry best practices. This guide allows organizations to compare themselves against industry peers, understand the magnitude of resources required to test and remediate their software, or prepare for an audit.
    This document does not go into the technical details of how to test an application, as the intent is to provide a typical security organizational framework.

Una lettura d’obbligo quindi sia per sviluppatori e manager di progetti Web, sia soprattutto per chi fa dell’application/penetration testing la sua scelta professionale.

Sorprendente poi che un documento dello spessore e della precisione di
questa guida sia stato realizzato in modo completamente collaborativo
utilizzando un Wiki
(http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents).
Certo è che senza il prezioso contributo di Matteo Meucci, che guida il
progetto OWASP Testing Guide dal lontano 2005, il documento
probabilmente non sarebbe mai giunto a termine ;) Ah, e se per caso
trovate il nome “Matteo G.P. Flora” tra i reviewer non fateci caso,
trattasi semplicemente di un rifuso ;)

Quindi buona lettura con la versione Wiki, con la versione DOC
(http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_doc.zip)
scaricabile oppure nella comoda versione
PDF (http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_pdf.zip).
E se proprio non ne avete abbastanza è anche possibile visitare
direttamente il sito di OWASP per altri documenti dello stesso livello
editoriale e altri impressionanti applicazioni di Sicurezza.
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: non disponibile
URL:         <http://lists.fsugpadova.org/pipermail/fsug-pd/attachments/20070213/c04dbd0a/attachment.sig>