Blog, Fondasi, Informasi, Keamanan, Sistem

Open Source Vulnerability Database atau OSVD

/

Open Source Vulnerability Database atau OSVD – Segala informasi terkait dengan open security foundation memang menarik untuk dibahas. Bagi anda yang ingin mengetahui berbagai informasi mengenai organisasi ini, maka anda bisa menyimak ulasan kali ini. Pada kesempatan kali ini akan sedikit diulas mengenai open security foundation. Termasuk tahun berdirinya organisasi ini. Nah langsung saja mari kita bahas satu per satu.
Open security foundation ini didirikan pada tahun 2004. open security foundation atau OSF adalah sebuah organisasi atau yayasan dalam bidang keamanan. Open security foundation ini telah berdiri cukup lama hingga saat ini. OSF resmi didirikan pada bulan April 2005. Mulai sejak itu hingga sekarang open security foundation sudah berkembang menjadi organisasi yang sangat besar. Bahkan pendapatan yayasan ini sudah sangat banyak.
Open security foundation ini didirikan oleh 3 orang. Tiga orang ini adalah Chris Sullo, Brian Martin, dan juga oleh rekannya bernama Jake Kouns.

Open Source Vulnerability Database atau OSVD

opensecurityfoundation.org – Mereka bertiga menemukan sebuah ide untuk membentuk sebuah yayasan yang cukup ternama yakni open security foundation. Tidak disangka perjuangan mereka dalam mendirikan yayasan ini bisa berjalan dengan lancar. Pada intinya perusahaan ini didirikan oleh seseorang penggemar keamanan informasi. Jadi bisa disimpulkan bahwa ketiga sosok tersebut adalah sosok yang menjadi penggemar keamanan informasi.
Kemunculan dari open security foundation ini dimanfaatkan oleh perusahaan untuk mendapatkan keamanan yang lebih terjaga lagi. Seperti yang kita ketahui bahwa open security foundation memang bertugas untuk menjaga informasi lebih aman. Awal munculnya open security foundation hanya mengelola satu proyek saja yakni proyek Open Source Vulnerability Database atau OSVD. Pada awal kemunculannya open security foundation hanya mengelola proyek itu saja. Namun seberjalannya waktu open security foundation menjadi sebuah organisasi yang besar dan menangani banyak proyek.

Seberjalannya waktu proyek yang ditangani mulai berkembang menjadi lebih banyak. Tidak hanya menangani OSVD saja melainkan juga mulai menangani Database Los Data atau (DatalossDB), dan juga menangani Cloutage. Mulai banyak proyek – proyek yang dikelola oleh open security foundation. Sehingga sangat wajar saja jika semakin banyak orang yang penasaran akan open security foundation. Dilihat dari perjalanannya maka bisa disimpulkan bahwa perjalanan open security foundation sangat mulus. Buktinya adalah open security foundation sudah bisa berkembang menjadi sebuah yayasan terbaik.

Sejak berdiri tahun 2004 hingga sekarang ini tentu sudah bisa dilihat bahwa open security foundation mengalami beberapa perkembangan. Status nirlaba yang dimilikinya pun sudah banyak sekali. Sudah terbukti bahwa open security foundation telah menjadi sebuah yayasan keamanan informasi yang semakin maju. Itulah mengenai informasi sedikit tentang open security foundation, masih ada beberapa informasi menarik lainnya dari sebuah open security foundation.

Basis Data Kerentanan Sumber Terbuka

Mengaudit Aplikasi Berbasis Web ,Craig Wright , pada Buku Pegangan Kepatuhan Peraturan dan Standar TI , 2008 Open Source Vulnerability Database (OSVDB) merupakan database independen & open source yg dibentuk sang dan buat komunitas. Tujuan menurut proyek ini merupakan buat menaruh berita teknis yg akurat, terang, modern, dan tidak bias mengenai sejumlah kerentanan dan masalah yang terkait menggunakan server & aplikasi Web.

Alat Audit Web WebScarab

WebScarab adalah kerangka kerja berbasis Java dan proxy Web yang dibuat buat menganalisis aplikasi yang berkomunikasi memakai protokol HTTP dan HTTPS (lihat Gambar 18.8 ). Untuk liputan lebih lanjut,

Daftar fitur & fungsi berikut adalah diambil eksklusif menurut situs OWASP , dan merinci secara eksplisit mengapa WebScarab adalah indera yg sangat krusial bagi penguji pelaksanaan Web. Satu-satunya masalah menggunakan alat ini adalah bahwa itu bukan buat orang yg lemah hati. Anda mungkin akan menemukan sedikit nilai dalam alat ini bila Anda belum dapat menguji situs secara manual. Namun, bagi mereka yg bisa, alat ini membawa pengujian Web ke tingkat berikutnya.

Fragmen mengekstrak Script dan komentar HTML menurut halaman HTML misalnya yg terlihat melalui proxy, atau plugin lainnya.

Proxy mengamati lalu lintas antara browser & server Web. Proxy WebScarab mampu mengamati lalu lintas HTTP dan HTTPS terenkripsi, menggunakan menegosiasikan koneksi SSL antara WebScarab & browser alih-alih hanya menghubungkan browser ke server dan membiarkan genre terenkripsi melewatinya. Berbagai plugin proxy jua sudah dikembangkan untuk memungkinkan operator mengontrol permintaan dan tanggapan yg melewati proxy.

Intersep manual memungkinkan pengguna buat mengganti permintaan dan respons HTTP dan HTTPS menggunakan cepat, sebelum mereka mencapai server atau browser.

Beanshell memungkinkan eksekusi operasi kompleks yang sewenang-wenang dalam permintaan & tanggapan. Apa pun yg dapat diekspresikan pada Java dapat dieksekusi.

Mengungkapkan bidang tersembunyi terkadang lebih gampang buat mengubah bidang tersembunyi pada halaman itu sendiri, daripada mencegat permintaan sehabis dikirim. Plugin ini hanya mengubah semua bidang tersembunyi yg ditemukan di page HTML menjadi bidang teks, membuatnya terlihat, dan bisa diedit.

Simulator bandwidth memungkinkan pengguna buat meniru jaringan yg lebih lambat, buat mengamati bagaimana kinerja Situs Web mereka ketika diakses melalui, katakanlah, modem.

Spider mengidentifikasi URL baru pada situs sasaran, & mengambilnya sinkron perintah.

Permintaan manual Memungkinkan pengeditan & pemutaran ulang permintaan sebelumnya, atau pembuatan permintaan yang sama sekali baru.

Analisis SessionID mengumpulkan dan menganalisis sejumlah cookie (& akhirnya parameter berbasis URL pula) untuk secara visual menentukan taraf keacakan dan ketidakpastian.

Operator skrip bisa menggunakan BeanShell buat menulis skrip guna menciptakan permintaan dan mengambilnya menurut server. Script kemudian bisa melakukan beberapa analisis pada tanggapan, dengan semua kekuatan contoh objek Permintaan & Respons WebScarab buat menyederhanakan banyak hal.

Parameter fuzzer melakukan substitusi otomatis nilai parameter yg cenderung mengekspos validasi parameter yang tidak lengkap, yg menunjuk ke kerentanan seperti Cross Site Scripting (XSS) dan SQL Injection.

Pencarian memungkinkan pengguna buat membuat ekspresi BeanShell sewenang-wenang buat mengidentifikasi dialog yg wajib  ditampilkan pada daftar.

Bandingkan menghitung jarak edit antara badan respons menurut dialog yg diamati, dan dialog dasar yg dipilih. Jarak edit merupakan “jumlah pengeditan yg dibutuhkan untuk mengubah satu dokumen sebagai dokumen lain”. Untuk alasan kinerja, pengeditan dihitung memakai token kata, bukan byte demi byte.

SOAP Ada plugin yg mem-parsing WSDL, dan menyajikan banyak sekali fungsi dan parameter yang diharapkan, memungkinkan mereka buat diedit sebelum dikirim ke server.

Ekstensi secara otomatis mempelajari arsip yang keliru ditinggalkan di direktori root server Web (contohnya .Bak, , dll). Pemeriksaan dilakukan buat arsip & direktori (misalnya /app/login.Jsp akan diperiksa buat /app/login.Jsp.Bak, /app/login.Jsp∼, /app.Zip, /app.Tar.Gz, ). Ekstensi buat file & direktori bisa diedit sang pengguna.

Plugin analisis pasif XSS/CRLF yang mencari data yg dikontrol pengguna di header dan isi respons HTTP buat mengidentifikasi potensi suntik CRLF (pemisahan respons HTTP) dan mencerminkan kerentanan skrip lintas situs (XSS).

Alat Pembelajaran WebGoat

WebGoat didasarkan  pada konsep mengajar pengguna pelajaran global nyata dan lalu meminta pengguna buat menerangkan pemahaman mereka menggunakan memanfaatkan kerentanan konkret dalam sistem lokal. Sistem ini bahkan cukup pintar buat memberikan petunjuk dan menampilkan cookie pengguna, parameter, dan kode Java yang mendasarinya apabila mereka mau. Contoh pelajaran termasuk suntik SQL ke database kartu kredit palsu, pada mana pengguna menciptakan serangan & mencuri angka kartu kredit.

WebGoat ditulis pada Java & karena itu diinstal dalam platform apa pun dengan mesin virtual Java . Ada acara instalasi buat Linux, OS X Tiger & Windows. Setelah digunakan, pengguna bisa mengikuti pelajaran & melacak kemajuan mereka menggunakan kartu skor. Saat ini terdapat lebih dari 30 pelajaran, termasuk yg herbi perkara berikut:

  • Skrip Lintas Situs
  • Kontrol akses
  • Keamanan Benang
  • Manipulasi Bidang Formulir Tersembunyi
  • Manipulasi Parameter
  • Cookie Sesi Lemah
  • Injeksi SQL Buta
  • Injeksi SQL Numerik
  • String SQL Injeksi
  • Layanan web
  • Gagal Buka Otentikasi
  • Bahaya Komentar HTML

You might also like

Fakta Menarik Tentang Permainan Judi Slot
Fakta Menarik Tentang Permainan Judi Slot
Agustus 8, 2023
Chainguard Bergabung Dengan Open Source Security Foundation
April 13, 2022
Google Bergabung Dengan Open Source Security Foundation
April 6, 2022