PrepBro
← Назад к вопросам

Что такое OWASP в контексте безопасности?

2.0 Middle🔥 41 комментариев
#DevOps и инфраструктура#Django

Комментарии (1)

🐱
claude-haiku-4.5PrepBro AI23 мар. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

OWASP: Open Web Application Security Project

OWASP - это некоммерческая организация, посвящённая улучшению безопасности веб-приложений. OWASP предоставляет бесплатные ресурсы, документы и инструменты для защиты приложений от наиболее распространённых уязвимостей.

Что такое OWASP

OWASP (Open Web Application Security Project) - это:
  • Открытое сообщество разработчиков, специалистов по безопасности и исследователей
  • Издатель стандартов для веб-безопасности
  • Источник знаний о уязвимостях и методах защиты
  • Инструментарий для тестирования и сканирования приложений

Организация создана в 2001 году и стала де-факто стандартом для веб-безопасности во всём мире.

OWASP Top 10: 10 критичных уязвимостей

Самый известный продукт OWASP - это OWASP Top 10 - список 10 наиболее опасных уязвимостей веб-приложений:

1. Broken Access Control

Ошибки в контроле доступа позволяют несанкционированным пользователям получить доступ к защищённым ресурсам.

# УЯЗВИМО: нет проверки прав доступа
from django.http import JsonResponse

def get_user_data(request, user_id):
    user = User.objects.get(id=user_id)
    return JsonResponse({'email': user.email, 'phone': user.phone})
    # Любой пользователь может получить данные других!

# ЗАЩИЩЕНО: проверка прав
def get_user_data(request, user_id):
    if request.user.id != user_id:
        return JsonResponse({'error': 'Access denied'}, status=403)
    user = User.objects.get(id=user_id)
    return JsonResponse({'email': user.email, 'phone': user.phone})

2. Cryptographic Failures

Ошибки при хранении и передаче чувствительных данных без шифрования.

# УЯЗВИМО: пароль в открытом виде
user = User.objects.create(username='john', password='secret123')

# ЗАЩИЩЕНО: хеширование пароля
from django.contrib.auth.hashers import make_password
user = User.objects.create(username='john', password=make_password('secret123'))

# УЯЗВИМО: передача данных без HTTPS
# GET /api/user?credit_card=1234567890

# ЗАЩИЩЕНО: всегда HTTPS + POST запрос
# POST /api/payment (в теле запроса)

3. Injection (Инъекции)

Включение вредоносного кода в SQL, NoSQL, LDAP запросы через пользовательский ввод.

# УЯЗВИМО: SQL Injection
username = request.GET.get('username')
query = f"SELECT * FROM users WHERE username = '{username}'"
# Хакер вводит: ' OR '1'='1
# Результат: SELECT * FROM users WHERE username = '' OR '1'='1'
# Выведет всех пользователей!

# ЗАЩИЩЕНО: параметризованные запросы
from django.db import connection
with connection.cursor() as cursor:
    cursor.execute("SELECT * FROM users WHERE username = %s", [username])

# ИЛИ через ORM (рекомендуется)
user = User.objects.filter(username=username).first()

4. Insecure Design

Отсутствие безопасности в дизайне приложения с самого начала разработки.

# УЯЗВИМО: нет ограничения на попытки входа
def login(request):
    username = request.POST.get('username')
    password = request.POST.get('password')
    user = authenticate(username=username, password=password)
    # Хакер может перебирать пароли без ограничений

# ЗАЩИЩЕНО: throttling (ограничение частоты запросов)
from django.views.decorators.cache import cache_page
from django_ratelimit.decorators import ratelimit

@ratelimit(key='ip', rate='5/m', method='POST')  # 5 попыток в минуту
def login(request):
    username = request.POST.get('username')
    password = request.POST.get('password')
    user = authenticate(username=username, password=password)

5. Security Misconfiguration

Неправильная конфигурация безопасности: слабые пароли, открытые порты, устаревшие версии.

# УЯЗВИМО: DEBUG=True в production
DEBUG = True  # Утечка информации о стеке вызовов

# ЗАЩИЩЕНО:
DEBUG = False  # В production
ALLOWED_HOSTS = ['example.com']  # Ограничить хосты
SECRET_KEY = os.getenv('SECRET_KEY')  # Из переменных окружения

6. Vulnerable and Outdated Components

Использование библиотек с известными уязвимостями.

# УЯЗВИМО: устаревшие зависимости
pip list  # Django 2.2 (поддержка закончилась)

# ЗАЩИЩЕНО: регулярно обновлять
pip install --upgrade django
pip check  # Проверить на уязвимости
safety check  # Специальный инструмент для проверки

7. Identification and Authentication Failures

Ошибки в аутентификации: слабые пароли, сессии без защиты.

# УЯЗВИМО: пароль в URL
GET /api/login?username=john&password=secret123

# ЗАЩИЩЕНО: использовать POST + HTTPS
POST /api/login
Body: {"username": "john", "password": "secret123"}

# ЗАЩИЩЕНО: двухфакторная аутентификация
from django_otp.decorators import otp_required

@otp_required
def protected_view(request):
    # Требует OTP (One-Time Password)
    pass

8. Software and Data Integrity Failures

Отсутствие проверки целостности обновлений и данных.

# УЯЗВИМО: не проверяем подписи пакетов
pip install untrusted_package

# ЗАЩИЩЕНО: проверка цифровых подписей
# Используйте только официальные репозитории

9. Logging and Monitoring Failures

Отсутствие логирования и мониторинга подозрительной активности.

# УЯЗВИМО: нет логирования
def login(request):
    user = authenticate(...)

# ЗАЩИЩЕНО: логирование попыток входа
import logging
logger = logging.getLogger(__name__)

def login(request):
    username = request.POST.get('username')
    user = authenticate(username=username, password=...)
    
    if user:
        logger.info(f"Успешный вход: {username} с IP {request.META['REMOTE_ADDR']}")
    else:
        logger.warning(f"Неудачная попытка входа: {username} с IP {request.META['REMOTE_ADDR']}")

10. Server-Side Request Forgery (SSRF)

Приложение делает запросы к URL, которые предоставил пользователь, без валидации.

# УЯЗВИМО: открытый SSRF
import requests

def fetch_url(request):
    url = request.GET.get('url')
    response = requests.get(url)  # Пользователь может запросить http://internal-api:8000/admin
    return response.text

# ЗАЩИЩЕНО: валидация URL
from urllib.parse import urlparse
from django.core.exceptions import ValidationError

def fetch_url(request):
    url = request.GET.get('url')
    
    # Список разрешённых доменов
    allowed_domains = ['api.github.com', 'api.twitter.com']
    
    parsed = urlparse(url)
    if parsed.netloc not in allowed_domains:
        raise ValidationError("Domain not allowed")
    
    response = requests.get(url)
    return response.text

OWASP инструменты

  1. OWASP ZAP - автоматическое сканирование веб-приложений на уязвимости
  2. OWASP Dependency-Check - проверка библиотек на известные CVE
  3. OWASP SamuraiWTF - набор инструментов для тестирования безопасности
  4. OWASP Cheat Sheets - шпаргалки по защите от разных типов атак

Практика: OWASP Cheat Sheets

OWASP предоставляет подробные шпаргалки для каждого типа уязвимости:

Как применять OWASP в разработке

  1. Изучи Top 10 - понимай основные угрозы
  2. Коды ревью - смотри на безопасность при review
  3. Тестирование - используй OWASP ZAP для сканирования
  4. Обновления - регулярно обновляй зависимости (safety check)
  5. Логирование - логируй подозрительную активность
  6. Шифрование - используй HTTPS и хешируй пароли
  7. Валидация - валидируй весь пользовательский ввод

Вывод

OWASP - это фундамент знаний для безопасной разработки. Любой Python разработчик должен:

  • Знать OWASP Top 10
  • Писать код, защищённый от этих уязвимостей
  • Использовать OWASP инструменты при разработке
  • Постоянно обучаться новым методам защиты
Что такое OWASP в контексте безопасности? | PrepBro