OWASP (Open Web Application Security Project): https://owasp.org/, es una organización sin ánimo de lucro, que desde hace años trabaja en la mejora de la seguridad del software.
Para ello desarrolla diversas iniciativas, que van desde la divulgación de guías y documentos de seguridad, a la creación de herramientas y utilidades, pasando además por la difusión de charlas y eventos formativos.
El conjunto de proyectos de OWASP es muy amplio (más de 200 iniciativas), y puede consultarse íntegramente en su web oficial: https://owasp.org/projects/
También facilitan encontrar sus proyectos más “queridos” o emblemáticos a través de la pestaña “Flagship Projects” ubicada en la URL anterior.
Por mi parte destacar los ejemplos siguientes, que de algún modo u otro he tocado, y me parecen representativos, además de que permiten hacerse una idea del tipo de iniciativas que encontraremos en OWASP:
- OWASP Web Security Testing Guide (WSTG): https://owasp.org/www-project-web-security-testing-guide/ Probablemente el mejor recurso que podemos encontrar, orientado a pruebas de ciberseguridad de aplicaciones web, además recientemente salió la versión 4.2 de la guía, por lo que está recién salida del horno.
- OWASP Top Ten: https://owasp.org/www-project-top-ten/ Se trata de una guía de alto nivel, que detalla las 10 vulnerabilidades más importantes en aplicaciones de entorno web. Esta guía se actualiza cada 3 años.
- OWASP ModSecurity Core Rule Set (CRS): https://owasp.org/www-project-modsecurity-core-rule-set/ Comprende el desarrollo de reglas genéricas de seguridad compatibles con el firewall web (WAF) de referencia ModSecutity o compatibles. Muy útil para proteger nuestro entorno web de ataques de todo tipo (SQL injection, Cross Site Scripting, File Inclusion…)
- ZAP (Zen Attack Proxy): https://www.zaproxy.org/ Se trata de una potente herramienta OpenSource orientada al escaneo y análisis de seguridad de aplicaciones web, que merece la pena probar.
En todo caso, destacar que OWASP proporciona un amplio catálogo de recursos, y lo ideal es echar un vistazo a todas sus iniciativas, para poder encontrar las que directamente pueden mejorar o facilitar nuestro trabajo. Por ejemplo, en caso de desarrollar aplicaciones orientadas a entorno móvil, OWASP facilita guías como la OWASP Security Mobile Testing Guide: https://owasp.org/www-project-mobile-security-testing-guide/, o herramientas como OWASP Mobile Audit https://owasp.org/www-project-mobile-audit/, u OWASP Android Security Inspector Toolkit: https://owasp.org/www-project-android-security-inspector-toolkit/
Por último, simplemente añadir que nos podemos suscribir a OWASP para estar al día de sus actividades y novedades a través de e-mail. Para ello debemos dirigirnos al enlace: ABOUT -> Get the OWASP Connector de su web oficial.
