Web Application Security Consortium (WASC) — международная некоммерческая организация, занимающаяся безопасностью веб-приложений и разработкой стандартов в этой области. В документе представлены ключевые направления работы WASC, включая классификацию угроз и уязвимостей, а также текущие проекты и инициативы. Организация объединяет экспертов и компании, предоставляющие решения в области веб-безопасности.

1. Web Application Security ConsortiumПерспективы развитияСергей ГордейчикPositive Technologies

2. Что такое WASC?Web Application Security Consortium (WASC) Международная некоммерческая организация, объединяющая экспертов-профессионалов в области безопасности веб-приложений. Миссия: Разрабатывать, адаптировать и пропагандировать стандарты в области безопасности веб-приложенийWeb-сайтhttp://www.webappsec.org/Wiki http://projects.webappsec.org/Список рассылкиwebsecurity-subscribe@webappsec.org

3. WASC в лицахПерсоналии…/Robert Auger/Jeremiah Grossman/RomainGaucher/Amit Klein/Steve Orrin/Bill Pennington/Ivan Ristic/Ory Segal/OferShezaf/Caleb Sima/…Компании.../PayPal/WhiteHat Security/Breach Security/Finjan/NT OBJECTives, Inc./Positive Technologies/Application Security, Inc./Intel/Thinking Stone (ModSecurity)/IBM/SPI Dynamics/HP/KPMG/Microsoft/...

4. Структура WASCOfficersProject LeadersProject LeadersProject LeadersProject TeamsCommunity

5. Роли и задачиOfficersОбщая координация, развитие и инициация новых проектовProject leadersУправление и координация проектовProject teamsСобственно работа

6. Текущие проектыКлассификацияThe WASC Threat ClassificationThe Web Security GlossaryАнализ рисков/метрикиWeb Application Security StatisticsThe Web Hacking Incident DatabaseОценка средств защиты (РД)The Web Application Security Scanner Evaluation Criteria (WASSEC) The Web Application Firewall Evaluation Criteria (WAFEC)ИсследованияScript MappingDistributed Open Proxy Honeypots

7. The WASC Threat ClassificationКлассификация атак и уязвимостей веб-приложенийНаиболее полная на настоящий момент классификацияРазличные группировки уязвимостейСвязь с другими стандартами (OWASP/CWE)Более 3 лет разработки второй версии

8. Web Application Security StatisticsАнализ результатов работ в области оценки защищенности веб (черный ящик, белый ящик, сканирования)

9. The Web Hacking Incident DatabaseСбор и обработка публичных последствий инцидентов (СМИ, расследование уголовных дел, интернет)Классификация, учет последствий

10. Distributed Open Proxy HoneypotsСеть открытых HTTP-прокси (с некоторыми ограничениями)Анализ поведения злоумышленниковОтслеживание бот-сетей (веб-спам)

11. Использование WASC 1/2WASC WATCIBM (AppScan)HP (Webinspect)WhiteHat Security (Sentinel)Positive Technologies (MaxPatrol) and ServicesQualys (QualysGuard Web Application Scanning)F5 (Application Security Manager)HoneyApps (Conduit)OWASP (OWASP Code Crawler 2.5 and OWASP ModSecurity Core Rule Set Project)Verizon (Verizon Incidents Metrics Framework)WASC SS/WHIDАнализ рисковПугающие presale-презентации

12. Использование WASC 2/2WASSEC/WAFECКритерии оценки средств защитыТребования/технические задания к системамNSS LabPositive Technologies

13. Ближайшие задачиДобавление/расширение контрмер в классификации угрозАктуализация угрозОбъединение проектов, связанных с анализом рисковРазвитие WHID (поиск участников)Разработка «метапроекта» - WASC User Guide

14. Присоединяйтесь!Сергей Гордейчикgordey@ptsecurity.ruhttp://sgordey.blogspot.com