El proyecto OWASP (Open Web Application Security Project) es un proyecto abierto dedicado a la seguridad en aplicaciones web. Consiste en una comunidad a nivel mundial enfocada en la mejora de la seguridad en las aplicaciones de software. OWASP está organizada en proyectos y capítulos locales repartidos por todo el mundo dedicados al desarrollo de documentación, herramientas y estándares de código libre, además, esta abierta a la participación de cualquier persona y/o patrocinador.

El proyecto está orientado a conseguir desarrollos de software más seguros mediante:

• El desarrollo de herramientas útiles para identificar y corregir fallos.

• La definición de estándares.

• El aprendizaje de los grupos involucrados en los desarrollos para evitar que se produzcan fallos.

• La discusión de fallos o problemas por parte de la comunidad.

El proyecto arrancó en el año 2001, y a lo largo de este tiempo ha ido progresivamente arrancando proyectos destinados a conseguir los objetivos comentados anteriormente. Algunos de los proyectos existentes a día de hoy son:

– Top Ten: Es una lista de los 10 problemas de seguridad web más frecuentes detectados por OWASP.

– WebGoat: Programa diseñado, para a través de diferentes lecciones, mostrar distintas vulnerabilidades en un entorno simulado.

– WebScarab: Herramienta para realizar pruebas en aplicaciones web que intercepta las llamadas que se realizan.

– ESAPI: Es una librería de código abierto que permite a los desarrolladores escribir de forma fácil aplicaciones más seguras.

– ASVSP: Pretende ser un estándar unificado para medir la seguridad a la hora de testear diferentes aplicaciones web.

– AntiSamy: Es una librería par evitar la introducción de código malicioso en clientes, está enfocada a HTML/CSS, y la no intrusión de código mediante JavaScript.

– Testing project: Es una guía para definir una metodología de pruebas pero no enfocada a test de intrusión, sino al ámbito del ciclo de vida del desarrollo del software.

Además, de otros tantos que podremos encontrar fácilmente en la página del proyecto.

Seguiremos hablando de este proyecto en futuros post, más concretamente, del proyecto “Top Ten” en el que veremos, paso a paso, cada una de las 10 vulnerabilidades más frecuentes en aplicaciones web. Nos vemos.