OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有82个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。由于应用范围日广,网页应用安全已经逐渐的受到重视,并渐渐成为在安全领域的一个热门话 题,在此同时,骇客们也悄悄的将焦点转移到网页应用程式开发时所会产生的弱点来进行攻击与破坏。
美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、美国国防部亦列为最佳实务,国际信用卡资料安全 技术PCI标准更将其列为必要元件。目前OWASP有30多个进行中的计画,包括最知名的OWASP Top 10(十大Web弱点)、WebGoat(代罪羔羊)练习平台、安全PHP/Java/ASP.Net等计画,针对不同的软体安全问题在进行讨论与研究。
当贵单位决定开放网页服务时,就必须让来自于全球的网页请求进入单位内部的网页伺服器。骇客可以藉由隐藏在合法的网页请求内,通过防火墙、入侵侦 测系统或其他防御系统的侦测,堂而皇之的进入单位内部或藉由单位网站充当跳板与中继站而向其他受害者发动攻击。这意味着企业的网页程式码也必须成为机关 (构)单位周边的安全防护之一,当单位网页服务的规模与复杂性增加时,单位暴露于外的风险也逐渐增加。