17 يوليو 2010 مؤتمرات أمن التطبيقات 70-10 سبتمبر 2010 إرفين كاليفورنيا -- الواليات المتحدة األمريكية التسجيل مفتوح! http://www.appsecusa.org/ 16-17 سبتمبر 2010 ايرلندا دبلن CFP and CFT OPEN OWASP_IRELAND_2010#Call_for_Papers REGISTRATION OPEN - http:// www.owasp.org/index.php/owasp_ireland_2010#registration 20-21 أكتوبر 2010 روتشستر نيويورك -- الواليات المتحدة األمريكية. http://www.rochestersecurity.org/call-for-presentations CFP OPEN - Nurnbeg ألمانيا 20 أكتوبر 2010 CPF OPEN - OWASP_AppSec_Germany_2010_Conference#tab=Call_for_Papers_-_English_Version 20-23 أكتوبر 2010 بكين الصين/ http://www.owasp.org/index.php CFP/CFT OPEN - 29 أكتوبر 2010 أوستن تكساس -- الواليات المتحدة األمريكية. CFP OPEN - Lonestar_Application_Security_Conference_2010#tab=Call_for_Papers 08-11 نوفمبر 2010 واشنطن العاصمة -- الواليات المتحدة األمريكية CFP/CFT OPEN - OWASP_AppSec_DC_2010#tab=CFP Registration OPEN - OWASP_AppSec_DC_2010#tab=Registration 11-12 نوفمبر 2010 لشبونة البرتغال CFP OPEN - IBWAS10#tab=Call_for_Papers 16-19 نوفمبر 2010 كامبيناس SP والبرازيل CFP and CFT OPEN - AppSec_Brasil_2010#tab=Calls
إن واحدة من أكثر األمور استثنائية حول OWASP ھو أنھا تسمح لألشخاص المتحمسين بأن يدخلوا ساحة أمن التطبيقات. إن مات تيزارو ھو مدير مشروع LiveCD وإن دخوله في عالم ال OWASP سمح له بتنمية درجته العلمية و وزيادة قاعدة المعرفة ل OWASP والتوعية حول أمن التطبيقات. لماذا قررت أن تصنع أول LiveCD لقد قمت بذلك كجزء من منتدى صيف 2008 OWASP وصلني ايميل حول SoC من OWASP و عندما قرأت حول ھذا المشروع الذي يدمج بين أمن التطبيقات و Linux أدركت أن ھذا سيكون عملي ألن ھذين الشيئين ھما المفضلين لدي. ما كان ھدفك األساسي من LiveCD و ھل تغير و كيف تم ذلك كان الھدف األساسي من LiveCD ھو الحصول على عمل واحد قبل الموعد النھائي ل.SoC في الواقع كنت أحاول جمع أفضل أدوات أمن التطبييقات معا في حزمة واحدة سھلة االستخدام ولقد احتفظت باألدوات التي تركز على أمن التطبيقات بدال من إنشاء قرص أدوات " قرصنة " عام. بالتأكيد لقد تغير منذ LiveCD نسخته األولى في أيلول / سبتمبر 2008. وكان أول تغيير كبير ھو إطالق العديد من المشاريع الفرعية التي انبثقت من. LiveCD وكان أولھا النظم االفتراضية من VMwareو. VirtualBox كما أطلقنا مشروعا اخر ولكنه كان بطيئا للغاية وھو VMware افتراضية على قرص.USB الحقيقة ھي أنه نما إلى أكثر من LiveCD بكثير بعد ذلك. لھذا السبب تمت إعادة تسمية اإلصدار األحدث إلى OWASP WTE أو بيئة اختبار الويب. لقد اخذنا النسخة األساسية من OWASP Live CD و حولناھا من SLAX إلى Ubuntu Linux وأنشأنا حزما متعددة قابلة للتنصيب بشكل مستقل لجميع األدوات في.WTE ھذا التحسن الكبير سيسمح بطرق متطورة أسھل للحصول على أدوات االختبار في أيدي المتخصصين في مجال األمن. مع أحدث الحزم يمكنك أن تأخذ عملية تثبيت أوبونتو القياسية تربطھا قاعدة معطيات WTE وتثبيت جميع أدوات العمل في بضع دقائق. و كيف تطو ر المشروع كما ذكرت أعاله تحولت من مجرد CD إقالع لمجموعة من األساليب المختلفة للحصول على األدوات التي تريدھا. حالما ننتھي من التحويل من SLAX إلى Ubuntu Linux سيكون لدينا عدد ضخم من أساليب مختلفة إليصال الWTEإلى المستخدمين: Live CD (VMware, VirtualBox, Parallels..) االفتراضية النظم إضافة حزم إلى نسخ Ubuntu موجودة مسبقا. USB قرص WTEعلى مقابلة مع مات تيزارو و لورنا أالمري: Wubi طريقة إقالع مزدوجة ل Windows و Ubuntuبدون إعادة تجزئة القرص. نسخ مخصصة مثل نسخة مجموعة أدوات جافا أو نسخة تحتوي على أدوات الھجوم وأھدافه (التطبيقات التي تتم مھاجمتھا) الخ فئات جديدة من األدوات مثل أدوات التحليل الساكن لقد كنت محظوظا أيضا أن يكون العديد من االشخاص قد ساھموا في المشروع. نيشي كومار صمم رسومات اإلصدارات. وقد ساھمت براد كوزي ودرو بيب في ساعات طويلة جدا في المشروع كذلك. انھم ايضا يستحقون الذكر للمساعدة في تقديمھا. يجب أن أعترف أنه منذ انتقلت إلى Trustwave's SpiderLab صرفت وقتا أكثر لالعتياد على المكان الجديد والرائع للعمل و من ثم استكمال المشروع. لقد استمتعت حقا بكفاءة أصدقاءي في SpiderLabs وقضيت المزيد من الوقت للكالم و العمل من أجل الحصول على حزم Debian لل.WTE و بال تردد استمريت في اكتشاف نفسي من خالل العثور على نظم افتراضية من WTE من أجل الحصول على العمل. ما ھو التطبيق األكثر شعبية في LiveCD وما ھو األكثر إثارة للجدل ما ھو المفضل لديك عبر طريق طويل فإن معظم ما تم التعليق عليه أو االستفسار حوله واستخدم على األرجح تطبيقا في Live CD كان ھو ال. WebGoat أعتقد أن حقيقة أن WebGoatلم يكن سوى تمھيد سريع بعيدا عن كونھا مھيأة لالنطالق الفعلي كان بمثابة ھدية كبيرة لكثير من الناس إما لتعلم أمن التطبيقات أو أولئك المدرسين في الصف. لست متأكدا من أن ھناك تطبيقا مثيرا للجدل حقا وأضاف -- وربما Metasploitالتي ليست حصرا أداة أمنية لتطبيقWEB. أيضا لقد أصبت بشي من الحزن بسبب Maltego CE وھي النسخة التجريبية المغلقة المصدر. إن مبيعات Maltegoھو ما يحفظ وجود سقف فوق رأس الشخص الذي كتبھا لذلك لن أعيق ذلك في طريقه. أما بالنسبة لما أفضله شخصيا -- فأنا أكره أن أفرد واحدة فقط. البعض مما استخدمه في معظم األحيان ھو : WebScarab ويبسكاراب Suite Burp جناح التجشؤ JBroFuzz Nikto و DirBuster.ھناك أيضا بعض األمور المفضلة الجديدة التي ستضاف إلى WTE في اإلصدار التالي. ماذا يمكن أن تفعله بشكل مختلف عندما تعرف ما ال تعرفه اآلن الصفحة 2 OWASP Podcasts Series Hosted by Jim Manico Ep 72 Interview with Ivan Ristic (WAF) Ep 73 Jeremiah Grossman and Robert Hansen شكرا ألعضائنا الشركات الذين جددوا دعمھم لمنظمة OWASPفي حزيران / يونيو وتموز / يوليو
أنا حقا أحببت سالكس SLAX لصنع قرص مضغوط اليف.Live CD وكان عظيما في إيفاء ھذا الغرض. ومع ذلك ففي اللحظة التي تشعبنا فيھا إلى VMs ومحاولة تحديث القرص المضغوط اليف ديناميكيا لم تكن مالمسة للحقيقة بشكل مجرد. لذا فإن كنت فاعال شيئا ما أكثر فيھمني أن أبدأ مع نسخة من لينكس مع نظام إدارة حزمة سليم. لقد عمل Debian لسنوات على التخلص من المعوقات التي تعرقل إدارة الحزم فلماذا ال نقفز فوق أكتاف ھؤالء العمالقة و ھكذا RPM ھي أيضا نظم إدارة حزم جيدة. إذا كنتم من معالجي ال RPM فأحب أن أعمل معكم للحصول على RPMs مبني ة من حزم.deb من أجل ال. WTE ماذا كان التحدي األكبر الخاص بك لبدء تشغيل المشروع ال LiveCD وكان أحد التحديات األولية بالنسبة لي ھو المحافظة على نطاق معقول. لقد بدأت أبحث في مختلف أدوات أمن التطبيقات وخرجت بقائمة تضم أكثر من 330 أداة. إن الحصول على ھذا االقتران وبھذا العدد المعقول قد استغرق بعض الوقت. وإن تعلم كيفية إنشاء حزم على النحو الصحيح أيضا ھو صعب في البداية ولكن بمجرد الحصول عليھا يمكنك أتمتة تحديث الحزم عند إنشاء إصدارات جديدة من أألدوات بحيث يكون ھناك مردود على المدى الطويل. لماذا تشعر بأن ال Live CD كانت ناجحة وبلغ مجموع آخر مرة احصيت فيھا التنزيالت downloads و الذي كان في تشرين الثاني / نوفمبر من عام 2009 ما يزيد قليال عن 330 000 من التنزيالت منذ أول إصدار. SoC وھذا عدد ھائل من الناس الذين قد عرفوا OWASPوأمن التطبيقات. استمعت أيضا لعدد من المدربين الذين قد استخدموه في الدورات التدريبية. وكان أحد التطورات األكثر إثارة للدھشة إدراج القرص المضغوط اليف OWASPفي كتاب الكلية التدريسي. في الواقع قبل بضعة أسابيع في AppSecاالتحاد األوروبي عام 2010 في ستوكھولم قام أحد الحضور باالمتنان لي و شكري على إطالق اإلصدار األخير من WTE فكيف لي أن أشكو أو أتذمر كيف أثرمشروع LiveCD على حياتك المھنية أوال إن مجرد كونھا نشطة ومشاركة في وقد OWASP لھو أمر ھائل. بالنسبة لي كان OWASP Live CD وسيلة رائعة للوصول الى والمشاركة مع جمھور ال OWASP.ألنه وبسبب ال Live CD و حديثي عن المشروع قد ذھبت إلى البرتغال وبولندا والبرازيل وأماكن متعددة داخل الواليات المتحدة. لقد قابلت آالفا من جمھور ال OWASP الرائعين حقا ووضعت اسمي في مجتمع أمن التطبيقات. وأعتقد أيضا أن عملي على القرص المضغوط اليف ومع لجنة المشاريع العالمية ساعدتني ألصبح من أعضاء مجلس مؤسسة ال OWASP و إن مساعدتي ألعضاء مجلس ال.OWASP اآلخرين في العمل على إتمام مھمة ال OWASP كانت تجربة رائعة. على الصعيد العملي لقد تم دفعي إلى التدريب عدة مرات بسبب ال. Live CD ناھيك عن أن وجودي في مشاركة نشطة مع OWASPوكوني من مجلس OWASPھي خالصة ماد ية مفيدة جدا. وأنا على يقين بأن تجربة ال OWASP بالنسبة لي كانت عامال كبيرا في موقعي الحالي مع. Trustwave's SpiderLabs ما ھي الخطوة التالية من أجل ال WTE أود أن ينمو عدد المشتركين بحيث ال أقع في عنق الزجاجة كما وقعت فيه في وقت سابق من ھذا العام. أود أيضا أن أوسع الحزم التي ھي جزء من ال WTE حتى تتضمن على أدوات التحليل الساكن أدوات الفالش وربما بعض التطبيقات القابلة لالختراق أيضا. أما بالنسبة لدوري مع مجلس OWASP فأنا أعمل بنشاط على البنية التحتية التي تدير العمليات في OWASP.ونأمل بأن يكون في ال OWASP ما ھو جديد وبنية تحتية على مستوى المؤسسات للمساعدة في نقل المجتمع إلى مستوى جديد كليا من النجاح. ھل ھناك أي شيء آخر كنت ترغب أن تشارك فيه مع المشجعين للمشروع ال استطيع ان اقول ما يكفي ألولئك بأن إيجاد الترخيص من السھل العثور عليه و واحد من التراخيص المفتوحة المصدر الشائعة مثل Apache GPL أو. BSD في محاولة لمعرفة ما اذا كان يمكنني تضمين األدوات بأمان على ال WTE تبين بأن ھناك من الصعوبة أكثر بكثير مما كنت أتوقع. ليس لديك فكرة عن الكم الكبير من المشاريع الت قمت بھا من تنزيل download وبحث قبل أن أتمكن من معرفة الرخصة. إن الشيء الوحيد للمشاركة مع المشجعين للمشروع ھو الرجاء بإرسال المالحظات واالقتراحات والشكاوى أو ما إلى ذلك إلى قائمة البريد أو في منتديات المشروع. إن أفضل طريقة للمشروع ليتحسن ھو أن نعرف نحن العاملين في المشروع ما ھو العمل الناجح وما ھو العمل الغير ناجح. الصفحة 3 New Corporate sponsor in June & July: Thank you for your support!
وقد عرضت NSA إجراء مراجعة عميقة لإلجراءات األمنية ل ESAPI واالستفادة من النتائج. وبالنسبة ألولئك الذين ليس لديھم الكثير من الخبرة مع NSA فإن الدفاع ھو الجزء الرئيسي من مھمتھم. في الماضي أعربوا عن تأييدھم للمؤتمر الوطني لألمن الحاسوبي أنشئوا سلسلة قوس قزح ورعوا مشاريع األعمال الصغيرة SSE- SE- و SCAP وفي اآلونة األخيرة شاركوا في.CMM. Linux إن فريق NSA الداعم ل OWASP ذو خبرة طويلة في مجال التشفير واستعراضات التطبيقات المحددة مسبقا وسيبدأ عمله في وقت قريب جدا. سيقومون بالتركيز على إصدار جافا ESAPIأوال ويمكنھم دعم إصدارات لغة أخرى عندما يكونون على استعداد لذلك -- ما يعني أن التشفير لديھم يرتقي على األقل حتى مستوى جافا 0 و 2. و إن تقديرھم األولي ھو أن ھذا االستعراض سوف يستغرق عدة أشھر ليكتمل. انا متحمس للغاية ازاء ھذا التطور وسوف أستمر بإخباركم حول تقدمھم. ESAPI Update Jeff Williams الصفحة 4 Follow OWASP OWASP has a Twitter feed http:// twitter.com/ statuses/ user_timeline/16 048357.rss Cathal Courtney. Please welcome him! ESAPI_Swingset#tab=Project_About This project has already produced a release, the ESAPI Swingset RC 4, which has been made available right now please glance at it. Projects/ ESAPI_Swingset/Rzeleases/Current OWASPأخبار مشاريع Pauloمدير Coimbra, OWASP مشروع مشاريع جديدة Projects/ ESAPI_Swingset- Projects/ Owasp_Esapi_Ruby OWASP_Application_Security_Program_for _Managers المشروع مع اإلصدارات الجديدة التي أطلقت مؤخرا OWASP_JavaScript_Sandboxes المشروع الذي يتطلب مساھمين إلطالق إصدار جديد Category:OWASP_Testing_Project#tab=Project_Ab out (Testing Guide V 4.0) المشروع الذي تم إعادة إطالقه OWASP_Related_Commercial_Services مشروع OWASP ESAPI Swingset له قائد جديد Can you help OWASP make every application developer knowledgeable about the OWASP Top 10? Share this link: OWASP_Top_1 0_-_2010.pdf
/index.php/ Category:OWASP_WebScarab_Project 16,615 page views /index.php/category: OWASP_WebGoat_Project 13,502 page views /index.php/category:owasp_project 10,915 page views Top Keywords: Owasp, webscarb, owasp top 10, webgoat, sql injection. موقع OWASP Google Analytics Site visits for May: 233,765 Pageviews: 573,144 Pages/Visit: 2.45 Average Time on Site: 00:02:57 58.3% New Visits http://conf.oss.my Content overview: /index.php/main_page 63,070 page views /index.php/ Category:OWASP_Top_Ten_Project 21,610 page views OWASP O2 Platform Dinis Cruz أنا سعيدة أن أعلن أنني نشرت أخيرا اإلصدار الرئيسي األول لبرنامج OWASP O2 (مع المثبت وأشرطة الفيديو + وثائق وعدد من اإلمكانيات المتميزة و المھمة). ھناك ميزة واجھة المستخدم الرسومية الجديدة التي تشكل فارقا كبيرا في العثور على األكواد المتاحة واألدوات واجھات برمجة التطبيقات الموجودة داخل O2 (إذا جربت اإلصدارات السابقة فسوف نقدر ھذا حقا ). يمكنك أن ترى واجھة المستخدم الرسومية الجديدة والوصول إلى رابط التحميل في ھذه الصفحة : http://www.o2platform.com/wiki/ O2_Release/v1.1_Beta الرجاء تجريبھا وتقديم النصائح و اإلرشادات معلومات عن : ماذا أعجبك ماذا تعمل ما ال يعمل ما يمكن أن يتحسن الخ... (إذا كنت تريد اإلبالغ عن ثغرات أو أخطاء الرجاء استخدام واجھة الوب ھذه http:// code.google.com/p/o2platform/issues/ (list ھناك وظائف و إمكانيات و قدرات كافية في ھذا اإلصدار من O2 تجعلني أخيرا أملك الثقة لجعل ھذا الطلب مباشرة بالنسبة لك مع العلم انه أيا كان مجال أمن التطبيقات الذي أنت تعمل به سيكون ھناك سيناريو / إمكانية / أداة من O2 شأنھا أن تجعلك أكثر إنتاجية. بما أن واجھة المستخدم الرسومية الجديدة ھي حديثة جدا فإن معظم وثائق وأشرطة الفيديو المتوفرة تعمل على واجھة المستخدم الرسومية السابقة. ولكن بما أن ي اآلن استطيع بسھولة إنشاء صفحات وثائق مفصلة ويكي و / أو أشرطة الفيديو باستخدام O2 فإن خطتي ھي للرد على األسئلة الخاصة بكم بھذه الطريقة (أي مع شريط فيديو أو صفحة ويكي) عقد مؤتمر OWASP AppSec األوروبي الضخم في ستوكھولم 24-21 يونيو. وإن ثالثة دول ھي -- السويد والنرويج والدنمارك -- جنبا إلى جنب مع جامعة ستوكھولم استضافت الحدث واستقبلت 275 من الحضور في الدول االسكندينافية المشمسة. الصفحة 5 ھل تبحث عن فرصة عمل AppSec تحقق من صفحة العمل في OWASP ھل لديك مشروعا عن AppSec تريد أن ترسله اتصل ب : تم في اليومين األول والثاني توفير التدريب في مجال التطوير اآلمن للبرامج واختبارات االختراق وتحليل البرامج الضارة و مراجعة البنى التصميمية للبرامج. وخالل عشاء مشترك مساء االثنين تعلم الضيوف األمريكان كيفية أكل الھامبرغر بالشوكة والسكين -- الخاصية السويدية :). وكانت أيام المؤتمر عبارة عن ثالثة مسارات متوازية من المحادثات والعروض في كل من مجال الصناعة ومجال األوساط األكاديمية. وقد قدمت األساسات حول مستقبل األمن الممستعرض وتطوير ال SDL منذ مطلع التسعينات. وتضمن المعرض 12 شركة راعية من قبل الراعي الماسي مايكروسوفت. في ليلة االربعاء تم الترحيب بحاضري المؤتمر جنبا إلى جنب مع األشخاص المھمين اآلخرين في قاعة مدينة ستوكھولم مع حفل للعشاء و ترفيه. و كان الحفل االجتماعي الرائع برعاية جوجل. وتنافسوا على الشمبانيا خالل العشاء في ثالث فئات -- الثقافة و geekiness والفنون. إن التحدي األخير في بناء ال OWASP المحفزة ما يستوحى من األنابيب النظيفة المليئة بالكثير من اإلبداع. أم كان من النبيذ وقال إن المنظمين يودون أن يشكروا جميع الذين وقفوا وشاركوا في المؤتمر األول للبحوث AppSec. OWASP نراكم في العام القادم في دبلن! OWASP AppSEc ملخص بحث John Wilander Kate Hartmann
مو سسة OWASP 9175Guilford Road Suite #300 Columbia, MD 21046 Phone: 301-275-9403 Fax: 301-604-8033 E-mail: Kate.Hartman@owasp.org مجتمع أمن التطبيقات المتاح والمفتوح إن مشروع أمن تطبيقات ذو المصدر المفتوح ( OWASP )ھو مجتمع مفتوح مخصص لتمكين المنظمات من تطوير وامتالك وتشغيل وصيانة و من أخذ صورة عن التطبيقات التي يمكن الوثوق بھا. إن جميع أدوات ال OWASP والوثائق والمنتديات والفصول ھي متاحة ومفتوحة لجميع المھتمين في تحسين أمن التطبيقات. ونحن نؤيد بأن يكون ھناك أمن للتطبيقات بالنسبة لألشخاص واإلجرائيات والتكنولوجيا ألن مسألة النھج األكثر فعالية ألمن التطبيقات تشمل على تحسينات في جميع ھذه المجاالت. ويمكن االطالع على ذلك من خالل www.owasp.org. OWASPھو نوع جديد من المنظمات. وإن تحررنا من الضغوط التجارية يتيح لنا تقديم معلومات عملية فعالة و غير متحيزة من حيث التكلفة حول أمن التطبيقات. ال ينتمي OWASPإلى أي شركة تكنولوجيا على الرغم من أننا على علم بالحاجة لدعم استخدام التكنولوجيا التجارية في األمن. و بشكل مشابه للبرامج المصدر المفتوح في العديد من المشاريع فإن OWASPتنتج أنواع كثيرة من المواد بطريقة تعاونية متاحة. إن مؤسسة OWASPليست كيانا ربحي ا و يضمن نجاح المشروع على المدى الطويل. OWASP Organizational Sponsors Newsletter Editor: Lorna Alamri, AppSec Research Stockholm photos: Boris Hemkemeier