OWASP Testing Guide – la bibbia delle Web Vulnerabilities

OWASP Logo Inizia in sordina la mail di Matteo Meucci (che dirige il chapter OWASP Italy) sulla lista OWASP, ma è una delle comunicazioni che non capita tutti i giorni di ascoltare:

Hi all, thank for your great feedback! I’ve published the v2 of our Testing Guide in doc format.

Già, poche righe di descrizione per un lavoro impressionante, una guida entusiasmante per chiunque voglia approfondire gli argomenti della Sicurezza Web e del Testing e Pentesting Web di applicazioni, oltre soprattutto a rappresentare una pietra miliare nel campo dell’editoria Online di Sicurezza Informatica. E così, grazie a Matteo Meucci ma anche e soprattutto ad una serie di italiani che il mondo intero ci invidia come Matteo Meucci, Mauro Bregolin, Luca Carettoni, Stefano Di Paola, Giorgio Fedon, Andrea Lombardini, Claudio Merloni, Antonio Parata, Carlo Pelliccioni e Alberto Revelli (in rigoroso ordine alfabetico) il baricentro della Sicurezza Web si è inesorabilmente spostato dagli Stati Uniti alla nostra bella penisola.

Ma cos’è la OWASP Testing Guide? Eccone il breve sunto direttamente dalle pagine del Wiki:

This document is designed to help organizations understand what comprises a testing program, and to help them identify the steps that they need to undertake to build and operate that testing program on their web applications. It is intended to give a broad view of the elements required to make a comprehensive web application security program. This guide can be used as a reference and as a methodology to help determine the gap between your existing practices and industry best practices. This guide allows organizations to compare themselves against industry peers, understand the magnitude of resources required to test and remediate their software, or prepare for an audit. This document does not go into the technical details of how to test an application, as the intent is to provide a typical security organizational framework. Una lettura d’obbligo quindi sia per sviluppatori e manager di progetti Web, sia soprattutto per chi fa dell’application/penetration testing la sua scelta professionale.

Sorprendente poi che un documento dello spessore e della precisione di questa guida sia stato realizzato in modo completamente collaborativo utilizzando un Wiki. Certo è che senza il prezioso contributo di Matteo Meucci, che guida il progetto OWASP Testing Guide dal lontano 2005, il documento probabilmente non sarebbe mai giunto a termine ;) Ah, e se per caso trovate il nome “Matteo G.P. Flora” tra i reviewer non fateci caso, trattasi semplicemente di un refuso ;)

Quindi buona lettura con la versione Wiki, con la versione DOC scaricabile oppure nella comoda versione PDF. E se proprio non ne avete abbastanza è anche possibile visitare direttamente il sito di OWASP per altri documenti dello stesso livello editoriale e altri impressionanti applicazioni di Sicurezza.

Autore:

No, il terrorismo non c’entra con la sorveglianza di massa

E non lo dico io, lo dice Nils Muižnieks, Commissario ai Diritti Umani del Consiglio Europeo che si pronuncia in modo perentorio affermando che: The “secret, massive and indiscriminate” surveillance conducted by intelligence services and disclosed by the former US intelligence contractor Edward Snowden cannot be justified by the fight against terrorism, the most senior […]