Estoy haciendo un informe técnico sobre la simplificación de las vulnerabilidades de OWASP 10 basado en un artículo que sugirieron nuestros maestros. ¿Pueden ustedes ayudar o proporcionar más recursos aquí? ¿Cuáles son tus puntos de vista? También me gustaría entrevistar a algunos de ustedes para el estudio.
Bueno, no se trata de OWASP Top 10 / Top 20 / Top n, estos pueden cambiarse con el tiempo (xss está más presente ahora que en 90 '), lo que realmente importa en OWASP es la actualización de la tecnología. Metodologías (v.1 v.2 ... v.4) que ofrecen un plan de prueba exhaustivo de una aplicación basada en web. Si desea simplificarlos ... debe tener en cuenta que el próximo día, semana, mes, año será otro de los 10 principales. El alcance de esos top's no es simple, sino que puede servir como una instantánea en el momento de La vulnerabilidad más común. Y puedo tener una aplicación basada en la web que no es vulnerable a OWASP Top 10 en absoluto, pero falla dramáticamente en otros lados.
Como esto se siente como una tarea escolar, recomendaría comprar uno o dos de los libros de seguridad web "básicos" que a menudo analizan todas las vulnerabilidades más populares. Esto lo hará comprender mejor las vulnerabilidades y, por lo tanto, podrá explicarlas de la forma que desee en el documento.
En cuanto a la parte de la entrevista, la idea del formulario de Google presentada por Bubble Hacker parece ser un buen comienzo.
Lea otras preguntas en las etiquetas sql-injection xss csrf owasp owasp-top-ten