¿Vale la pena seguir el OWASP AppSensor para una aplicación web de código abierto?

5

Estoy pensando en seguir el proyecto AppSensor de OWASP para incorporar la detección de intrusiones a nivel de aplicación en una fuente abierta existente Aplicación web.

Creo que hay cierto valor en el uso de AppSensor para detectar ataques genéricos y automatizados. Sin embargo, AppSensor parece ser menos valioso contra los ataques dirigidos a esta aplicación porque cualquier persona podría ejecutar la aplicación localmente para comprender cómo se detectarían sus ataques.

¿Vale la pena seguir totalmente el OWASP AppSensor para una aplicación web de código abierto, o sería un uso más eficiente del tiempo y el esfuerzo intentar detectar ataques automatizados?

    
pregunta Mark Rushakoff 03.06.2013 - 04:26
fuente

2 respuestas

1

Todos los esfuerzos de seguridad son una inversión. Cada uno produce un retorno diferente de su inversión. A menudo les digo a las personas que se esfuercen en las prácticas de seguridad que dan mayor rendimiento en términos de errores encontrados, ataques prevenidos, etc. El mejor uso del tiempo en un proyecto de código abierto sería la revisión de vulnerabilidades comunes (por ejemplo, Top 10 de OWASP). problemas de configuración, etc. Luego, envíe arreglos para lo que encuentre.

    
respondido por el Nick P 04.06.2013 - 04:25
fuente
0

Nick P es correcto: es mejor intentar primero encontrar vulnerabilidades y tener procesos que ayuden a evitar que entren en producción. Dependiendo de su aplicación, podría haber algún beneficio en conocer la intención de un usuario.

Acabamos de completar una nueva Guía de AppSensor:

enlace

Descarga gratuita desde:

enlace

    
respondido por el Clerkendweller 27.05.2014 - 10:23
fuente

Lea otras preguntas en las etiquetas