Índice
Guia do Desenvolvedor do OWASP
Um Guia para a Construção de Aplicações e Serviços Web Seguros
Versão de Lançamento 4.1.7
2 Fundamentos
2.1 Fundamentos de segurança
2.2 Desenvolvimento e integração seguros
2.3 Princípios de segurança
2.4 Princípios de criptografia
2.5 OWASP Top Dez
3 Requisitos
3.1 Requisitos na prática
3.2 Perfil de risco
3.3 OpenCRE
3.4 SecurityRAT
3.5 ASVS requisitos
3.6 MAS requisitos)
3.7 SKF requisitos
4 Design
4.1 Modelagem de ameaças
4.1.1 Modelagem de ameaças na prática
4.1.2 pytm
4.1.3 Threat Dragon
4.1.4 Cornucopia
4.1.5 LINDDUN GO
4.1.6 Toolkit para Modelagem de Ameaças
4.2 Lista de verificação para aplicação web
4.2.1 Defina Requisitos de Segurança
4.2.2 Utilize Frameworks e Bibliotecas de Segurança
4.2.3 Proteja Acesso ao Banco de Dados
4.2.4 Codifique e Escape Dados
4.2.5 Valide todas as entradas
4.2.6 Implemente Identidade Digital
4.2.7 Imponha Controles de Acesso
4.2.8 Proteja Dados em Todos os Lugares
4.2.9 Implemente Registro e Monitoramento de Segurança
4.2.10 Trate todos os Errors e Exceções
4.3 MAS Lista de verificação
5 Implementação
5.1 Documentação
5.1.1 Top 10 Controles Proativos
5.1.2 GoSCP (Práticas de Codificação Segura em Go)
5.1.3 Série de Folha de dicas
5.2 Dependências
5.2.1 Dependency-Check
5.2.2 Dependency-Track
5.2.3 CycloneDX
5.3 Bibliotecas Seguras
5.3.1 ESAPI
5.3.2 CSRFGuard
5.3.3 OSHP
5.4 MASWE
6 Verificação
6.1 Guias
6.1.1 WSTG
6.1.2 MASTG)
6.1.3 ASVS verificação
6.2 Ferramentas
6.2.1 Ferramentas DAST
6.2.2 Amass
6.2.3 OWTF
6.2.4 Nettacker
6.2.5 OSHP verificação
6.3 Frameworks
6.3.1 secureCodeBox
6.4 Gerenciamento de vulnerabilidades
6.4.1 DefectDojo
7 Treinamento e Educação
7.1 Aplicações Vulneráveis
7.1.1 Juice Shop
7.1.2 WebGoat
7.1.3 PyGoat
7.1.4 Security Shepherd
7.2 Secure Coding Dojo
7.3 SKF treinamento
7.4 SamuraiWTF
7.5 Projeto OWASP Top 10
7.6 Mobile Top 10
7.7 API Top 10
7.8 WrongSecrets
7.9 OWASP Snakes and Ladders
8 Construção de cultura e Amadurecimento de processos
8.1 Cultura de Segurança
8.2 Campeões de Segurança
8.2.1 Programa de Campeões de Segurança
8.2.2 Security Champions Guide
8.2.3 Security Champions Playbook
8.3 SAMM
8.4 ASVS processos
8.5 MAS processos
9 Operações
9.1 Diretriz de DevSecOps
9.2 Coraza WAF
9.3 ModSecurity WAF
9.4 OWASP CRS
10 Métricas
11 Security gap analysis
11.1 Guias
11.1.1 SAMM análise
11.1.2 ASVS análise
11.1.3 MAS análise
11.2 BLT
12 Appendices
12.1 O que fazer e o que não fazer na Implementação
12.1.1 Segurança de containers
12.1.2 Codificação segura
12.1.3 Práticas de criptografia
12.1.4 Spoofing de Aplicação
12.1.5 Política de Segurança de Conteúdo (CSP)
12.1.6 Tratamento de erros e exceções
12.1.7 Gerenciamento de arquivos
12.1.8 Gerenciamento de memória
12.2 O que fazer e o que não fazer na Verificação
12.2.1 Ambiente seguro
12.2.2 Hardening de sistemas
12.2.3 Software de Código Aberto