OWASP WSTG
Что такое OWASP WSTG?
OWASP WSTGOWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности.
OWASP Web Security Testing Guide (WSTG) — поддерживаемое сообществом открытое руководство, описывающее техники и тест-кейсы для пентестов и оценки безопасности веб-приложений. Версия 4.2 разбита на главы: Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side и API Testing, каждая с подробными ID тестов (например, WSTG-AUTHN-01). Для каждого теста указаны цель, методика и ссылки. WSTG используется как основа методологий пентестов, требований к тестированию в RFP и образовательного материала вместе с ASVS и Top 10.
● Примеры
- 01
Отчёт пентеста, где каждая находка сопоставлена с конкретным ID теста WSTG-INPV (Input Validation).
- 02
Новая команда AppSec использует чек-листы WSTG для онбординга пентестеров и стандартизации методологии.
● Частые вопросы
Что такое OWASP WSTG?
OWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает OWASP WSTG?
OWASP Web Security Testing Guide — подробное открытое руководство по тестированию веб-приложений на типовые слабости безопасности.
Как работает OWASP WSTG?
OWASP Web Security Testing Guide (WSTG) — поддерживаемое сообществом открытое руководство, описывающее техники и тест-кейсы для пентестов и оценки безопасности веб-приложений. Версия 4.2 разбита на главы: Information Gathering, Configuration Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic, Client-side и API Testing, каждая с подробными ID тестов (например, WSTG-AUTHN-01). Для каждого теста указаны цель, методика и ссылки. WSTG используется как основа методологий пентестов, требований к тестированию в RFP и образовательного материала вместе с ASVS и Top 10.
Как защититься от OWASP WSTG?
Защита от OWASP WSTG обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OWASP WSTG?
Распространённые альтернативные названия: Web Security Testing Guide, WSTG.
● Связанные термины
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.
- compliance№ 781
OWASP Top 10
Информационный документ OWASP, перечисляющий наиболее критические риски безопасности веб-приложений и обновляемый по реальным данным о уязвимостях.
- compliance№ 783
OWASP ZAP
Zed Attack Proxy — открытый инструмент тестирования безопасности веб-приложений, изначально из OWASP, ныне сопровождаемый Checkmarx и сообществом ZAP.
- appsec№ 273
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
● См. также
- № 778OWASP MASVS