PDF《OWASP AppSec》

groupID=2766908 在美国AppSec大会,OWASP的领导人 遇见了出席会议的Mozilla团队,并与该团队 在以浏览器安全为主题的午餐中进行了讨 论.这只是一个OWASP大会中的一个例 子,这些大会的作用是把优秀的应用安全想 法聚集到一起,以便共同探讨这些实际问 题,以及那些对于应用安全问题真正更重要 的解决方案. 这里有一个Mozilla团队的Sid Stamm的 博客链接: http://blog.sidstamm.com/2010/09/ appsec-usa-was-great.html 在2010美国AppSec大会期间,Mozilla 团队介绍了内容安全策略(CSP).内容安 全策略减轻了跨站脚本攻击(XSS)、clickjacking和数据包嗅探攻击的风险.以下 链接包括并大致说明了包含一个参考部分的 内容安全策略,其中包括该规范的详细说 明,以及如何在网站上部署CSP. https://developer.mozilla.org/en/ Introducing_Content_Security_Policy 作为2010美国AppSec大会以浏览器安全为 主题的午餐一个结果,一个新的浏览器安全项目 被创建.这个项目目前仍处于初始阶段,但你可 以在Firefox中找到很多与安全特性相关的链接. http://www.owasp.org/index.php/ OWASP_Browser_Security_Project#tab=Mozilla _Firefox Jim Manico就内容安全策略采访Brandon Sterne的内容已在AppSec 2010的Ep 75中发布, OWASP有一个支持Mozilla的XSS项目-http:// www.owasp.org/index.php/ Testing_for_Reflected_Cross_site_scripting_ (OWASP-DV-001) 以及Cross Site Scripting Pre- vention Cheat Sheet http://www.owasp.org/ index.php/XSS_(Cross_Site_Scripting) _Prevention_Cheat_Sheet 第2页OWASP Podcasts Series 由Jim Manico主办 Ep

71 Top Ten― Robert Hansen (Redirects) Ep

72 Ivan Ristic (WAF) Ep

73 Jeremiah and Robert Hansen Ep

74 Eoin Keary (Code Review) Ep

75 Brandon Sterne (Content Security Policy) Ep

76 Bill Cheswick (Account Lockout) Mozilla在2010美国AppSec大会 跟随OWASP OWASP的Twitter feed Www.twitter. com/owasp OWASP新项目和新发布 新项目: OWASP Alchemist项目,由Bishan Singh、 Chandrakanth Narreddy和Naveen Rudrappa共同领导. 新发布: The Top Ten-法语版本现已发布. ModSecurity 2.0.6版已被 正式 审核并被评 级为稳定发布. http://www.owasp.org/ index.php/Projects/ OWASP_ModSecurity_Core_Rule_Set_Pr oject/Releases/ModSecurity_2.0.6/ Assessment http://www.owasp.org/index.php/ Category:OWASP_Project_Assessment 项目贡献及审核人员―Ryan Barnet, Brian Rec- tanus, Ivan Ristic和Leonardo Cavallari. 第3页 信息安全和密码学国家研讨会 Lucas Fereira 性.该讨论板块将在一个友好合作的环境 下聚集来自行业和学术界的专家以讨论 ENaPI(国家基础设施防御应用).由此 产生的想法应该将作为一个基础,以便在 未来几年内进行实施. 巴西政府的安全办公室正在组织 IIISenasic(信息安全和密码学国家研讨会- https://wiki.planalto.gov.br/comsic/bin/ view/ComSic/IIISENaSIC).本次研讨会 的目的是将巴西的信息安全社团聚集在一 起,并在一些重要议题上交换意见信息. 研讨会将包含来自巴西和国际的一些演 讲,以及一系列板块去讨论以下主题: - 随机性;

- UAV 通信安全;

- 量子理论应用;

- 关于国家网络信息安全和密码学的重要项 目;

-对巴西网络防御演习的参数定义. OWASP巴西分部的Lucas C. Ferreira 和Wagner Elias将分别在研讨会中进行讲 演,并主持和参与 对巴西网络防御演习 的参数定义 的讨论板块. 该讨论板块的主要目标是确定一个重 要防御基础设施和网络应用的需要和可能 8月和9月的最新合作 赞助商:感谢你们的支 持! OWASP新加坡 Cecil Su OWASP新加坡分部与SITSA(新加坡 IT安全管理局)共同举办了一个CtF竞赛. CtF面向新加坡所有的主流高等教育机构开 放.这是该竞赛第一次在从1991年开始一 年一度的2010年GovernmentWare大会和 展览中举办. http://www.govware.sg 这是一个学生们能在安全和现实的环境中 检验他们IT安全技能的比赛.SITSA和OWASP 维护以保证信息安全不应该是一个特殊的技 能,而是在这个网络时代中每个人都应该有机 会了解的. OWASP被W3C的移动Web应用文档引用 OWASP在即将于2010年9月发布的移动 Web应用工作文档中被W3C引用. 这是一个非常好的实例文档. http://www.w3.org/2005/MWI/BPWG/ Group/Drafts/BestPractices-2.0/latest 非常感谢更新了对 OWASP基金的合作伙 伴. OWASP的开发指南有了新的项目负 责人.Vishal Garg和Anurag Agarwal 目 前正在承担以前由Andrew van der Stock 执行的任务.我们感谢后者的相关贡 献,并祝新的领导人好. http://www.owasp.org/index.php/ User:Vishal_Garg http://www.owasp.org/index.php/ User:Vanderaj http://www.owasp.org/index.php/ Catego- ry:OWASP_Guide_Project#tab=Project _About 三大OWASP的指南-开发、测试和 代码审核正在其领导人和贡献者的推动 下,将尽快发布下一个新版本.他们每 个人都已获得了5000美元的资助. http://www.owasp.org/index.php/ Catego- ry:OWASP_Testing_Project#tab=Proje ct_About http://www.owasp.org/ index.php/ Catego- ry:OWASP_Guide_Project#tab=Project _About http://www.owasp.org/index.php/ Catego- ry:OWASP_Code_Review_Project#tab =Project_About ASVS项目的领导者职位正处于申请 程序中,并获得了OWASP社区的热情回 应.有五位候选人已表示愿意领导或共 同领导这个OWASP的旗舰项目.GPC项 目已产生了一个推荐以供OWASP委员会 做决定. http://www.owasp.org/index.php/ Request_For_Proposals/ Seeking_New_Project_Leader_For/ ASVS OWASP CTF项目已经有了一名新的 领导人.原来的Martin Knoblochy已被 Steven van der Baan取代.我们感谢 Martin做出的相关贡献并祝新的领导人 好. http:........