OWASP (Open Web Application Security Project)

L'OWASP (Open Web Application Security Project) est une fondation internationale à but non lucratif, créée en 2001, qui produit des ressources, outils, méthodologies et formations open source pour améliorer la sécurité des applications web. Elle est la référence mondiale pour les développeurs et professionnels de la sécurité applicative.

La publication phare est le Top 10 OWASP, mis à jour tous les 3-4 ans, qui liste les 10 risques de sécurité applicative les plus critiques. La version 2021 inclut : Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Identification and Authentication Failures, Software and Data Integrity Failures, Security Logging and Monitoring Failures, Server-Side Request Forgery (SSRF).

L'OWASP propose aussi : OWASP API Security Top 10, OWASP Mobile Top 10, OWASP ASVS (Application Security Verification Standard), OWASP SAMM (maturity model). Outils : ZAP (proxy de pentest gratuit, alternative à Burp), Dependency-Check, Cheat Sheets. Maîtriser le Top 10 OWASP est attendu pour CISSP, Security+, OSCP, AWS Security Specialty.