Mi az az OWASP?
Az Open Web Application Security Project (OWASP) egy nyílt, független, non-profit nemzetközi szervezet, mely a szoftver biztonságát hivatott előmozdítani. A szervezet állandó napirenden tartja az alkalmazások biztonságának kérdését.
Amint Buherátor felhívta rá a figyelmet az SZTNH (Szellemi Tulajdon Nemzeti Hivatala) úgy tűnik, nem vigyázott eléggé a benyújtott szabadalmakra. A hiba forrása visszavezethető az OWASP Top 10 4. elemére, ami a következő címet kapta: "Insecure Direct Object Reference". Magyarul, ha valaki a címsorba beírja egy ügy számát, betekintést nyer - az egyébként titkosnak szánt - tartalomba. Hogy ez mekkora kárt tud okozni, azt nem kell ecsetelnünk. Inkább az az érdekes, miként kerülhetett egy ilyen hiba az éles, interneten keresztül elérhető weboldakra.
A weboldalak fejlesztésénél fontos, de ha bizalmas adatokat is kezel akkor elengedhetetlen olyan fejlesztőkkel dolgoztatni, akik megfelelő biztonsági, és biztonságos kódolási ismeretekkel rendelkeznek. Az alkalmazást az éles üzembe állítás előtt biztonsági (és funkcionális) tesztek alá kell vetni. Ezeknek a teszteknek egyik kötelező eleme az OWASP Top 10 sérülékenységek ellenőrzése, tehát legkésőbb a tesztelés során ki kell derülnie egy ilyen problémának. Az egy újabb kérdés, hogy valóban indokolt-e ilyen bizalmas adatokat egyszerűen webes felületen elérhetővé tenni. Ha szeretné elkerülni a hasonló eseteket saját szervezeténél, érdeklődjön biztonságos kódolási tanfolyamunkról és egyéb biztonsági szolgáltatásainkról.
A weboldalak fejlesztésénél fontos, de ha bizalmas adatokat is kezel akkor elengedhetetlen olyan fejlesztőkkel dolgoztatni, akik megfelelő biztonsági, és biztonságos kódolási ismeretekkel rendelkeznek. Az alkalmazást az éles üzembe állítás előtt biztonsági (és funkcionális) tesztek alá kell vetni. Ezeknek a teszteknek egyik kötelező eleme az OWASP Top 10 sérülékenységek ellenőrzése, tehát legkésőbb a tesztelés során ki kell derülnie egy ilyen problémának. Az egy újabb kérdés, hogy valóban indokolt-e ilyen bizalmas adatokat egyszerűen webes felületen elérhetővé tenni. Ha szeretné elkerülni a hasonló eseteket saját szervezeténél, érdeklődjön biztonságos kódolási tanfolyamunkról és egyéb biztonsági szolgáltatásainkról.
