OWASP Testing Guide – la bibbia delle Web Vulnerabilities

O

![OWASP Logo](http://fast.mgpf.it/20070213_owasp.gif)
Inizia in sordina la mail di Matteo Meucci (che dirige il chapter OWASP Italy) sulla lista OWASP, ma è una delle comunicazioni che **non capita tutti i giorni** di ascoltare:
> Hi all,
> thank for your great feedback!
> I’ve published the v2 of our Testing Guide in [doc format](http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_doc.zip).

Già, poche righe di descrizione per un **lavoro impressionante**, una **guida entusiasmante** per chiunque voglia approfondire gli argomenti della **Sicurezza Web** e del **Testing e Pentesting** Web di applicazioni, oltre soprattutto a rappresentare una **pietra miliare** nel campo dell’editoria Online di Sicurezza Informatica.
E così, grazie a Matteo Meucci ma anche e soprattutto ad una serie di **italiani che il mondo intero ci invidia** come Matteo Meucci, Mauro Bregolin, Luca Carettoni, Stefano Di Paola, Giorgio Fedon, Andrea Lombardini, Claudio Merloni, Antonio Parata, Carlo Pelliccioni e Alberto Revelli (in rigoroso ordine alfabetico) il **baricentro della Sicurezza Web** si è inesorabilmente spostato dagli Stati Uniti alla nostra bella penisola.

Ma cos’è la OWASP Testing Guide? Eccone il breve sunto direttamente dalle pagine del Wiki:
> This document is designed to help organizations understand what comprises a testing program, and to help them identify the steps that they need to undertake to build and operate that testing program on their web applications.
> It is intended to give a broad view of the elements required to make a comprehensive web application security program.
> This guide can be used as a reference and as a methodology to help determine the gap between your existing practices and industry best practices. This guide allows organizations to compare themselves against industry peers, understand the magnitude of resources required to test and remediate their software, or prepare for an audit.
> This document does not go into the technical details of how to test an application, as the intent is to provide a typical security organizational framework.
Una lettura d’obbligo quindi sia per **sviluppatori e manager** di progetti Web, sia soprattutto per chi fa dell’**application/penetration testing** la sua scelta professionale.

Sorprendente poi che un documento **dello spessore e della precisione** di questa guida sia stato realizzato in modo completamente collaborativo utilizzando [un Wiki](http://www.owasp.org/index.php/OWASP_Testing_Guide_v2_Table_of_Contents). Certo è che senza il **prezioso contributo** di Matteo Meucci, che guida il progetto OWASP Testing Guide dal lontano 2005, il documento probabilmente non sarebbe mai giunto a termine ;)
Ah, e se per caso trovate il nome “Matteo G.P. Flora” [tra i reviewer](http://www.owasp.org/index.php/Testing_Guide_Frontispiece#Reviewers) non fateci caso, trattasi **semplicemente di un refuso** ;)

Quindi **buona lettura** con la versione Wiki, con la [versione DOC scaricabile](http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_doc.zip) oppure nella comoda [versione PDF](http://www.owasp.org/index.php/Image:OWASP_Testing_Guide_v2_pdf.zip).
E se proprio non ne avete abbastanza è anche possibile visitare direttamente il sito di OWASP per **altri documenti** dello stesso livello editoriale e altri impressionanti applicazioni di Sicurezza.

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

di Matteo Flora

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.