PDF《OWASP AppSec》

77 Rafal Los Ep

78 AppSec Roundtable with Jeff Williams, Andrew van der Stock, Tom Brennan, Samy Kamkar, Jeremiah Grossman and Jim Manico (Complete Chaos) Ep

79 Tony UV (Threat Modeling) OWASP项目更新 Paulo Coimbra 在Twitter上 跟随 OWASP @OWASP 第3页OWASP Top 10的西班牙语和意大利语版本现已发布 你可以通过以下链接找到相应的PPT和PDF版本: http://www.owasp.org/index.php/ Catego- ry:OWASP_Top_Ten_Project#tab=Spani sh_Translation 意大利语版本链接: 2010年版的OWASP Top 10现已被翻 译成西班牙语版.感谢翻译团队的以下成 员为我们带来的成果: 团队领导:Fabio Cerullo (左边第一个) 团队成员: Juan Carlos Calderon (左边第 二个) , Rodrigo Marcos (中间), Vicente Aguilera (右边第二个), Edgar Sanchez (右边第一个) .其他没有提供照片的成员: Daniel Cabezas Molina, Jose Antonio Guasch, Paulo Corondo. 11月和12月的 最新合作赞助 商:感谢你们 的支持! http://www.owasp.org/ images/f/f9/ OWASP_Top_10_- _2010_ITA.pdf 2.5―OWASP Fiddler Addons安全测试 项目, 由Chris Weber领导. 该项目(又名OWASP FAST)包括两个 互补的项目:看守人项目,一个被动的漏 洞扫描器;

X5S项目,一个主动的XSS测 试和输入/输出编码检测. -http://www.owasp.org/index.php/ OWASP_Fiddler_Addons_for_Security_ Testing_Project 2.6―OWASP应用安全技能评估,由Neil Smithline领导. 该项目(又名OWASP ASSA)是一个 在线的多项选择小测试,以帮助个人了解 他们在特定应用安全技能方面的强项与弱 项. -http://www.owasp.org/index.php/ OWASP_Application_Security_Skills_As sessment 2.7C OWASP浏览器安全项目,由Dave Wichers和Michael Coates初始创建. 该项目依然没有明确项目领导人,但 是以上提到的两人已为该项目做出了很多 的贡献.最终决定将尽快宣布. http://www.owasp.org/index.php/ OWASP_Browser_Security_Project#tab=P roject_About 3. 即将成立的项目: 3.1 C OWASP ESAPI Objective C 3.2―OWASP PASSWD 3.3―OWASP Eclipse plug-in 4. 即将重新成立的项目: 所有关于跨站请求伪造攻击(CSRF)相关 的内容. OWASP Open-sourcing JXT OWASP A10-Unvalidated Forwards ESAPI * .Net ESAPI项目的最新领导人 ― Mi- chael Weber. * Java ESAPI项目目前正处于代码审核阶 段,其审核通过的目标是总体可用发布等 级. 非常感谢更新了 对OWASP基金 赞助的合作伙 伴. 通过努力,我们正制作一个稳定而 巩固的OWASP培训模式,以作为一个强 大的工具来传播OWASP的的知识和信 息.OWASP正寻找培训教导人员以参与 旗下的 今天你可以使用的OWASP项目 和资源 活动.这种培训模式针对OWASP会员免费,并由OWASP的项目 领导人(赞助旅行的费用)进行覆盖 OWASP模块和/或项目的培训.如果你 是一位OWASP的项目领导人,并希望将 你的信息添加入OWASP的培训教导人员 名单,这就是你的机会,把你的姓名和 信息添加进入OWASP培训教导人员数据 库吧! 现在就成为一名OWASP培训教导 人员吧!点击此处查看相关数据库和条 款:http://www.owasp.org/index.php/ OWASP_Training#tab=Trainers_Database_ -_Call_for_Trainers.21 预知所有关于OWASP培训活动,请查 看:http://www.owasp.org/index.php/ OWASP_Training. 1. OWASP大学校园计划, 由Jeff Williams领导. 该项目的创建宗旨是将应用安全引入全 世界的大学校园课程. 2. OWASP 炼金术士项目, 由Bishan Singh, Chandrakanth Narreddy和Naveen Rudrappa 共同领导.该项目允许软件开发团队在高度安 全的情况下,对防御软件内置防御/控制以针 对安全有关的设计、编码和执行漏洞的认知. 第4页OWASP正在为 www.owasp.o rg(网页)寻找 一个新家.如果您 有意负责web服 务器,请通过该电 子邮件 owasp@owas p.org获得更多信 息. OWASP培训模式 Sandra Paiva 第一届OWASP中国大会已于2010年10月20号至23号在北京举行. 超过500 人参加了此次盛会. OWASP的董事会成 员Tom Brennen为此次大会揭开了序幕. 来自美国、中国大陆、台湾、香港、新加 坡等地区的信息安全专家陈述了关于最重 要安全问题的最新信息.来自Forester的 分析师王晨曦博士和OWASP的项目负责人 Pravir Chandra做了发言.由于这次大会非 常成功,我们预计在明年安排另外一次会 议. 第一届OWASP中国大会 高雯 乌拉圭的第一个OWASP活动在2010 年12月9日举行.Mateo Martinez, Mauricio Campiglia和Cristian Borghello 做了相关的演讲.更多信息请浏览: http://www.owasp.org/index.php? title=OWASP_Day_Uruguay_2010 感谢Mateo Martinez,Fabio Cerullo,Roberto Ambrosoni 和Kate Hartmann对于此次活动的 组织. 第一个乌拉圭OWASP日第5页 今年的夺旗项目分为8个分开的活动 (从瑞典斯德哥尔摩的AppSec-EU 到新加 坡的GovCert和埃因霍温的OWASP BeNe- Lux ).夺旗项目现在有了自己的标志 (http://www.owasp.org/images/8/87/ CTFLogo.jpg)并收到了一套完整的框架以 支持夺旗活动.该框架将很快发布. Steven van der Baan以替代Martin Knob- loch作为此次夺旗项目的新领导人. OWASP 夺旗项目 Steven van der Baan 我很高兴宣布OWASP ModSecurity Core Rule Set (CRS) v2.0.9版本现已发 布. 最显着的变化是,用户现在可以轻松 切换传统的或异常的评分检测模式. http://blog.modsecurity.org/2010/11/ advanced-topic-of-the-week-traditional-vs -anomaly-scoring-detection-modes.html 改进: - 将主要的config文件名字修改为 mod- security_crs_10_config.conf.example,因此,将不会重写现有的配置设定.用户应 更改该文件的名字以激活它. - 传 统的检测模式现已成为默认方式. - 用户现在可以通过修改 modsecurity_crs_10_config.conf 文件, 以轻松切换传统的或异常的评分检测模 式. - 更新了大多数规则的破坏性行动,用 阻止 代替 通过 的行动.这允许了传统 的或异常的评分检测模式切换. - 从绝大多数的规则中删除了注册行为,以 便从SecDefaultAction的设置去控制 modsecurity_crs_10_config.conf文件. - 更新了modsecurity_crs_10_config.conf 文件的异常分数,以针对使用了的PHPIDS 规则做更贴近的比对.这些仍然有同样的 因素,即使这些数字本身较小. - 更新了第49和第59阻塞规则,包括了已 匹配的数据. - 更新了TAG数据以再次对于攻击或漏洞进 行分组. - 更新了SQL注入式攻击的过滤器以检测更 多的布尔逻辑攻击. - 将一些文档移到了optional_rules 目录下 (phpids, Emerging Threats rules). 修复的Bug: - 已修复的规则ID 960023,在option- al_rules/ modsecurity_crs_40_experimental.conf中 缺少一个单引号 https://www.modsecurity.org/tracker/ browse/CORERULES-63 - 在连锁规则中将所有的skipAfter动作移到 了规则的起始行(必须有ModSec v2.5.13或 更高版本) https://www.modsecurity.org/tracker/ browse/MODSEC-159 - 修复受宏扩展限制的文件扩展名bug. https://www.modsecurity.org/tracker/ browse/CORERULES-60 - 在第49和第60文档中更新了SQLI TX变量 宏扩展数据,已与SQL注入配置文件设定相 匹配. - 修复在SQL Injection regexs中的拼写错误 ―对于单词boundary缺少的反斜线符号 (\b). https://www.modsecurity.org/tracker/ browse/CORERULES-62 OWASP Modsecurity CRS v2.0.9 Ryan Barnett 2010年11月OWASP网页 数据统计 访问........