オープンソースのWebアプリケーションでOWASP AppSensorをフォローする価値はありますか?
既存のオープンソースWebアプリケーションにアプリケーションレベルの侵入検知を構築するために、 OWASPのAppSensorプロジェクト に従うことを考えています。
AppSensorを使用して一般的な自動化された攻撃を検出することには、いくつかの価値があると思います。ただし、誰でもアプリケーションをローカルで実行して攻撃がどのように検出されるかを理解できるため、AppSensorはこのアプリケーションに対する攻撃に対してあまり価値がないようです。
オープンソースのWebアプリケーションでOWASP AppSensorを完全にフォローする価値はありますか、それとも自動化された攻撃を検出することだけを試みる方が時間と労力を効率的に使用できますか?
セキュリティへの取り組みはすべて投資です。それぞれがあなたの投資に対して異なるリターンを生み出します。私はよく、発見されたバグや攻撃の防止などの点で最も多くの利益をもたらすセキュリティ対策に力を注ぐように人々に言います。オープンソースプロジェクトでの時間の最善の使用は、一般的な脆弱性(OWASPトップ10など)のレビューです設定の問題など。次に、見つけた修正を送信します。
AppSensorについて言及している本「アジャイルアプリケーションセキュリティ:継続的デリバリーパイプラインでのセキュリティの有効化」があります。さらに重要なことは、アプリを保護するために実行できる他のすべてのことについて言及しています。この本は非常に繰り返しが多く(同じトピックについて書いたように見える複数の著者)、それでもあなたの努力をどこに費やすかについての豊富なアイデアがあります。たとえば、特定のフレームワークを使用して、侵入検出機能を実装する前に、セキュリティ上の欠陥がないことを確認するために労力を費やす場合は、より重要であると思われます。
AppSensorを見ると、AppSensorに含まれる機能を一目見ただけで、サポートされていないhttpメソッドを使用したり、パラメーターが不足しているなど、攻撃パターン全体の負荷を特定できます。これは、クライアントコードのバグと、スクリプトによる攻撃または手動による攻撃の両方をキャッチすることは困難です。 「AppSensorを実装する価値があるか」という質問は興味深い質問です。宣伝しているウェブフレームワークを差別化しますか?もしそうならそれは良い考えのように聞こえます。それが差別化されない場合、それは他のウェブフレームワークがすでにそれ(または代替案)を持っていることを意味します。その場合、それを追加するのは良い考えのようです。
私が使用するWebアプリケーションフレームワークにそれがあったら、私は確かにそれを感謝します。
Nick Pは正解です。最初に脆弱性を見つけようとし、これらが本番環境に入るのを防ぐためのプロセスを用意することは確かに優れています。アプリケーションによっては、ユーザーの意図を知ることでいくつかの利点があるかもしれません。
新しいAppSensorガイドが完成しました:
https://www.clerkendweller.com/2014/5/6/AppSensor-Guide-v20-Released
以下から無料でダウンロードできます。