В состав OWASP LiveCD входят такие программы, как Httprint для определение типа http-сервера по косвенным признакам, сканеры уязвимостей в web-приложениях Grendel Scan и w3af, утилиты для выявления возможности внедрения SQL кода SQLiX и sqlmap, средства для перебора паролей, локальные прокси WebScarab, Paros Proxy, Rat Proxy и Burp Suite, Firefox c 25 дополнениями для отладки сайтов.

Итак, сама десятка самых опасных угроз:

A1 Injection (всякого рода инъекции, в т.ч. SQL, LDAP и т.д.)
A2 Cross Site Scripting (не потерявший актуальности XSS)
A3 Broken Authentication and Session Management (ошибки в архитектуре аутентификации и управления сессиями)
A4 Insecure Direct Object References (незащищенные ресурсы и объекты, можно вспомнить случай с SVN)
A5 Cross Site Request Forgery (CSRF)
A6 Security Misconfiguration (небезопасная конфигурация окружения, различных фреймворков, платформы)
A7 Failure to Restrict URL Access (несанкционированный доступ к функционалу, требующему особых привилегий – например обход проверки c помощью двойного слэша «//» в URL для получения доступа к управлению блогом в Wordpress)
A8 Unvalidated Redirects and Forwards (открытые редиректы, которые ведут к фишингу, HTTP Response Splitting и XSS)
A9 Insecure Cryptographic Storage (небезопасное хранение важных данных)
A10 Insufficient Transport Layer Protection (недостаточная защита данных при их передаче на транспортном уровне, например по HTTP вместо HTTPS).

Размер: 651.45 Mb

Скачать OWASP Web Testing (iso CD) (подборка программ)