[Owasp-italy] CCWAPSS paper

s4tan s4tan at ictsc.it
Thu Nov 8 14:55:11 EST 2007


Segnalo la presenza di questo paper riguardante la valutazione della
sicurezza di una webapp:

http://ccwapss.blogspot.com/

Alcune considerazioni personali:

- Il documento definisce un suo proprio criterio di valutazione del
rischio e non prende in considerazione quelli gia' esistenti (pur
spiegando la motivazione di cio').

- Per la valutazione della webapp vengono presi in considerazione 11
criteri della OWASP Guide 3.0 (e cio' e' cosa buona).
 Per ogni criterio si definisce una valutazione. Il problema e' che la
valutazione puo' essere fatta da chiunque e senza seguire un preciso
modello. In questa parte, a mio avviso, sarebbe immensamente utile la
tanto da noi amata OWASP Testing Guide, la quale pone le basi per poter
verificare l'attinenza dell'applicazione rispetto al criterio che si sta
analizzando. Senza questa fase, non e' possibile una valutazione
coerente, mandando a monte tutto il lavoro.

- Come chicca finale, secondo il modello presentato, se io creo
un'applicazione che e' conforme alla OWASP Guide ottengo un bel
"division by zero" error : )

Tirando le somme, il modello e' interessante e getta le basi su un
argomento a mio avviso molto importante, ma non ancora approfondito se
si esclude il nuovo progetto OWASP
(http://www.owasp.org/index.php/Category:OWASP_Application_Security_Metrics_Project)
il quale mi sembra (correggetemi se sbaglio) un po' in crisi.

Saluti,
Antonio "s4tan" Parata


More information about the Owasp-italy mailing list