OWASP คืออะไร….!!!

สวัสดีครับผู้อ่านทุกท่าน วันนี้เราจะมาพูดเกี่ยวกับ OWASP กันครับ

ในบทความนี้ เราจะไม่ได้มาลงลึกหรือเจาะลึกเกี่ยวกับประเภทช่องโหว่ของ OWASP ทั้งหมดนะครับ

ผู้อ่านหลายๆท่านอาจจะเคยได้ยินเกี่ยวกับ OWASP , OWASP top 10 ผ่านหูมาบ้าง หรือในบางท่านอาจจะไม่เคยเลยก็ได้ วันนี้เราจะมาเรียนรู้กันว่า OWASP คืออะไร และมีความจำเป็นสำหรับใครบ้าง

OWASP นั้นย่อมาจาก The Open Web Application Security Project® (OWASP)

โดย OWASP นั้นเป็นมูลนิธิไม่แสวงหาผลกำไรที่ทำงานเพื่อปรับปรุงความปลอดภัยของซอฟต์แวร์ โดยสามารถที่จะเข้าไปเยี่ยมชมได้ที่ https://owasp.org/

OWASP มีประโยชน์กับใครบ้าง?

หลายๆ ท่านที่เป็น developer, คนที่ทำงานในด้าน Cyber Security หรือแม้แต่บุคคลทั่วไปที่มีความสนใจด้าน Security หรือต้องการพัฒนา Application ให้มีความปลอดภัยสามารถเข้าไปอ่านได้ และ OWASP ยังถูกใช้มาเป็นมาตรฐานในการทดสอบเจาะระบบของหลายๆที่ หลายๆองค์กรอีกด้วย

โดย OWASP จะมีการจัดที่เรียกว่า OWASP TOP 10 อยู่ โดยจะมีทั้งในหมวดของ Web Application , Mobile Application , API และทาง OWASP นั้นจะไม่ได้ออก TOP 10 ในทุกๆปี แต่จะเป็น ~3 ปีครั้ง บางครั้งก็จะมีช้าไปกว่านั้น ซึ่งสามารถเข้าไปดูข้อมูลได้ที่

• Web https://owasp.org/www-project-top-ten/2017/

• API https://owasp.org/www-project-api-security/

• Mobile https://owasp.org/www-project-mobile-top-10/

สำหรับผู้ที่จะเริ่มต้นอ่าน หรือเริ่มศึกษาทางด้าน Cyber Security มักจะโดนให้เริ่มไปอ่าน OWASP ก่อน โดยมีทั้งฝึกงานไปจนถึงเริ่มงานถ้ายังไม่มีพื้นฐาน และในหลายๆ ที่มักจะสัมภาษณ์โดยการถามเกี่ยวกับ OWASP อีกด้วย

- อ่านแค่ปีล่าสุดพอไหม?

ไม่ครับ OWASP จะจัดช่องโหว่ที่ค่อนข้างพบเจอบ่อยมา 10 อันดับแรก แต่ช่องโหว่ที่ถูกตัดออกในปีนั้นๆ ไม่ใช่ว่าจะไม่มีหรือหายไปเลยนะครับ แค่อาจจะมีการเจอน้อยลงดังนั้น ถ้าจะเริ่มอ่านจริงๆ แนะนำว่าให้อ่านให้ครบทุกปีครับ แล้วก็เปรียบเทียบว่ามีการปรับเปลี่ยนหรือเพิ่มอะไรเข้ามา เช่นจากภาพด้านล่างในปี 2013 กับ 2017 นั้นมีการกรุ๊ปรวมช่องโหว่ในบางตัว และมีบางอย่างเพิ่มเข้ามา

นอกจากนี้ทาง OWASP เองนั้นก็ไม่ได้ทำแค่ TOP 10 Vulnerablility เพียงอย่างเดียว ซึ่งมีทั้ง

— Tool สำหรับ Intercept Proxy เช่น OWASP ZAP

https://www.zaproxy.org/

— OWASP Testing guide ที่แนะนำการเทสระบบให้อ่านอีกด้วย

https://owasp.org/www-project-web-security-testing-guide/v42/

— OWASP Juice Shop เป็น Lab ที่รวมช่องโหว่มาให้ผู้เล่นได้นำมาทดสอบแฮคกันจริงๆโดยไม่ผิดกฎหมาย

https://owasp.org/www-project-juice-shop/

— OWASP Cheat Sheet Series อันนี้แนะนำเลยครับรวมวิธีการเขียนและอธิบายเกี่ยวกับแต่ละช่องโหว่ไว้เบื้องต้น ทาง Developer อ่านจะเข้าใจมากขึ้น

https://cheatsheetseries.owasp.org/cheatsheets/Abuse_Case_Cheat_Sheet.html

โปรเจ็คอื่นๆของ OWASP มีอะไรอีกบ้างสามารถเข้าไปเยี่ยมชมได้ทาง

https://github.com/OWASP

ในบทความนี้ขอจบเกี่ยวกับ OWASP เบื้องต้นไว้เพียงเท่านี้ครับ ไว้ถ้ามีโอกาสจะมาเจาะลึกในแต่ละหัวข้อให้นะครับ

นอกจากนี้ทางประเทศไทยก็มี Community OWASP เช่นเดียวกัน โดยถ้าหากสนใจสามารถ Join ได้ที่ https://www.facebook.com/groups/19059288126

หวังว่าบทความนี้จะมีประโยชน์สำหรับผู้อ่านไม่มากก็น้อยนะครับ

Happy Hacking ครับ :)

Ref.

• https://cheatsheetseries.owasp.org/
• https://owasp.org/
• https://zaproxy.org/
• https://github.com/OWASP