diff --git a/README.md b/README.md index e6219f8db..bcbb12260 100644 --- a/README.md +++ b/README.md @@ -23,7 +23,7 @@ Merges to the main branch will generate new DOCX and IDML files to use to print ```bash (cornucopia) ➜ cornucopia git:(master) ✗ python ./scripts/convert.py --help -usage: convert.py [-h] [-i INPUTFILE] [-t {all,docx,pdf,idml}] [-o OUTPUTFILE] [-l {template,all,en,es,fr,nl,pt-br}] [-d] [-s {all,static,dynamic}] [-u URL] +usage: convert.py [-h] [-i INPUTFILE] [-t {all,docx,pdf,idml}] [-o OUTPUTFILE] [-l {template,all,en,es,fr,nl,no-nb,pt-br}] [-d] [-s {all,static,dynamic}] [-u URL] Tool to output OWASP Cornucopia playing cards into different file types and languages. Example usage: $ ./cornucopia/convert.py -t docx -l es -v 1.30 @@ -44,8 +44,8 @@ options: -o OUTPUTFILE, --outputfile OUTPUTFILE Specify a path and name of output file to generate. (caution: existing file will be overwritten). default = output/owasp_cornucopia_edition_component_lang_ver.(docx|pdf|idml) - -l {template,all,en,es,fr,nl,pt-br}, --language {template,all,en,es,fr,nl,pt-br} - Output language to produce. [`en`, `es`, `fr`, `pt-br`, `template`] + -l {template,all,en,es,fr,nl,no-nb,pt-br}, --language {template,all,en,es,fr,nl,no-nb,pt-br} + Output language to produce. [`en`, `es`, `fr`, `nl`, `no-nb`, `pt-br`, `template`] Template will attempt to create a template from the english input file and replacing strings with the template lookup codes -d, --debug Output additional information to debug script diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.docx b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.docx new file mode 100644 index 000000000..ec4362889 Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.docx differ diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.idml b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.idml new file mode 100644 index 000000000..4ae7d2a96 Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.idml differ diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.pdf b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.pdf new file mode 100644 index 000000000..d87dad509 Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_dynamic.pdf differ diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.docx b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.docx new file mode 100644 index 000000000..671970f4f Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.docx differ diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.idml b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.idml new file mode 100644 index 000000000..a981614bd Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.idml differ diff --git a/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.pdf b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.pdf new file mode 100644 index 000000000..15a3bc726 Binary files /dev/null and b/output/owasp_cornucopia_ecommerce_cards_no-nb_1.30_static.pdf differ diff --git a/scripts/convert.py b/scripts/convert.py index bda08afa3..bfbc53d67 100644 --- a/scripts/convert.py +++ b/scripts/convert.py @@ -20,7 +20,7 @@ class ConvertVars: BASE_PATH = os.path.split(os.path.dirname(os.path.realpath(__file__)))[0] FILETYPE_CHOICES: List[str] = ["all", "docx", "pdf", "idml"] - LANGUAGE_CHOICES: List[str] = ["template", "all", "en", "es", "fr", "nl", "pt-br"] + LANGUAGE_CHOICES: List[str] = ["template", "all", "en", "es", "fr", "nl", "no-nb", "pt-br"] VERSION_CHOICES: List[str] = ["1.20", "1.21", "1.30"] STYLE_CHOICES: List[str] = ["all", "static", "dynamic"] DEFAULT_TEMPLATE_FILENAME: str = os.sep.join( @@ -236,7 +236,7 @@ def parse_arguments(input_args: List[str]) -> argparse.Namespace: choices=convert_vars.LANGUAGE_CHOICES, default="en", help=( - "Output language to produce. [`en`, `es`, `fr`, `pt-br`, `template`] " + "Output language to produce. [`en`, `es`, `fr`, `nl`, `no-nb`, `pt-br`, `template`] " "\nTemplate will attempt to create a template from the english input file and " "\nreplacing strings with the template lookup codes" ), diff --git a/source/ecommerce-cards-1.30-no_nb.yaml b/source/ecommerce-cards-1.30-no_nb.yaml new file mode 100644 index 000000000..eb14d5473 --- /dev/null +++ b/source/ecommerce-cards-1.30-no_nb.yaml @@ -0,0 +1,1241 @@ +--- +meta: + edition: "ecommerce" + component: "cards" + language: "NO-NB" + version: "1.30" +suits: +- + name: "Datavalidering og -koding" + cards: + - + id: "DV2" + value: "2" + desc: "Brian kan samle informasjon om underliggende konfigurasjoner, skjemaer, logikk, kode, programvare, tjenester og infrastruktur på grunn av innholdet i feilmeldinger, eller dårlig konfigurasjon, eller tilstedeværelsen av standard installasjonsfiler eller gamle-, test-, sikkerhetskopier eller kopier av ressurser, eller eksponering av kildekode" + - + id: "DV3" + value: "3" + desc: "Robert kan legge inn ondsinnede data fordi det tillatte protokollformatet ikke blir sjekket, duplikater akseptert, strukturen blir ikke verifisert, eller de individuelle dataelementene blir ikke validert iht. format, type, rekkevidde, lengde og en hviteliste over tillatte data. tegn eller formater" + - + id: "DV4" + value: "4" + desc: "Dave kan legge inn ondsinnede feltnavn eller data fordi de ikke blir sjekket innenfor konteksten til gjeldende bruker og prosess" + - + id: "DV5" + value: "5" + desc: "Jee kan omgå de sentraliserte datakodingsrutinene siden de ikke brukes overalt, eller feil datakoding blir brukt" + - + id: "DV6" + value: "6" + desc: "Jason kan omgå de sentraliserte valideringsrutinene siden de ikke brukes på all input" + - + id: "DV7" + value: "7" + desc: "Jan kan lage spesielle datalast for å hindre inndatavalidering fordi tegnsettet ikke er spesifisert/håndhevet, dataene er kodet flere ganger, dataene er ikke fullstendig konvertert til det samme formatet som applikasjonen bruker (f.eks. kanonisering) før de valideres, eller hvis variabler ikke benytter sterke typer" + - + id: "DV8" + value: "8" + desc: "Sarah kan omgå de sentraliserte datarensingsrutinene siden de ikke brukes fullt ut" + - + id: "DV9" + value: "9" + desc: "Shamun kan omgå inndatavaliderings- eller utdatavalideringskontroller fordi valideringsfeil ikke blir avvist og/eller renset" + - + id: "DVX" + value: "10" + desc: "Darío kan utnytte tilliten applikasjonen har til en datakilde (f.eks. brukerdefinerbare data, manipulering av lokalt lagrede data, endring av tilstandsdata på en klientenhet, mangel på verifisering av identitet under datavalidering slik at Darío kan utgi seg for å være Colin)" + - + id: "DVJ" + value: "J" + desc: "Dennis has control over input validation, output validation or output encoding code or routines so they can be bypassed" + - + id: "DVQ" + value: "Q" + desc: "Geoff kan injisere data inn i en datatolk på klient- eller enhetssiden fordi et parameterisert grensesnitt ikke blir brukt, eller ikke har blitt implementert riktig, eller fordi dataene ikke er kodet riktig innenfor konteksten, eller det er ingen restriktive retningslinjer for kode eller datainkludering" + - + id: "DVK" + value: "K" + desc: "Gabe kan injisere data inn i en tolk på serversiden (f.eks. SQL, OS-kommandoer, Xpath, Server JavaScript, SMTP) fordi et parameterisert grensesnitt med sterke typer ikke brukes eller ikke er implementert riktig" + - + id: "DVA" + value: "A" + desc: "Du har funnet opp et nytt angrep mot datavalidering og -koding" + misc: "Les mer om dette emnet i OWASPs gratis jukseark om “Input Validation, XSS Prevention, DOM-basert XSS Prevention, SQL Injection Prevention og Query Parameterization”" +- + name: "Autentisering" + cards: + - + id: "AC2" + value: "2" + desc: "James kan utføre autentiseringsfunksjoner uten at den virkelige brukeren noen gang er klar over at dette har skjedd (f.eks. forsøk på å logge på, logge på med stjålet legitimasjon, tilbakestille passordet)" + - + id: "AC3" + value: "3" + desc: "Muhammad kan få tak i en brukers passord eller andre hemmeligheter som sikkerhetsspørsmål, ved observasjon under innreise, eller fra en lokal cache, eller fra minnet, eller under transport, eller ved å lese det fra et ubeskyttet sted, eller fordi det er allment kjent, eller fordi det aldri utløper, eller fordi brukeren ikke kan endre sitt eget passord" + - + id: "AC4" + value: "4" + desc: "Sebastien kan enkelt identifisere brukernavn eller samle dem inn" + - + id: "AC5" + value: "5" + desc: "Javier kan bruke forhåndsvalgte-, testrelaterte- eller lett-gjettelige autentiseringsfaktorer for å autentisere, eller bruke en gammel konto eller en konto som ikke nødvendig er tiltenkt applikasjonen" + - + id: "AC6" + value: "6" + desc: "Sven kan gjenbruke et midlertidig passord fordi brukeren ikke trenger å endre det ved første gangs bruk, eller det har for lang- eller ingen utløpstid, eller det ikke bruker en leveringsmetode utenfor det spesifike telekommunikasjonsfrekvensbåndet (f.eks. post, mobilapp, SMS)" + - + id: "AC7" + value: "7" + desc: "Cecilia kan bruke brute-force og ordbokangrep mot en eller flere kontoer uten å møte en øvre grense, eller fordi disse angrepene er forenklet på grunn av utilstrekkelig kompleksitet, lengde-, utløps- og gjenbrukskrav for passord" + - + id: "AC8" + value: "8" + desc: "Kate kan omgå autentisering fordi den ikke feiler på en sikker måte (dvs. den tillater som standard uautentisert tilgang)" + - + id: "AC9" + value: "9" + desc: "Claudia kan utføre mer kritiske funksjoner fordi autentiseringskravene er for svake (f.eks. mangler tofaktorautentisering), eller fordi krav om re-autentisering for disse ikke er tilstede" + - + id: "ACX" + value: "10" + desc: "Pravin kan omgå autentiseringskontroll fordi en sentralisert standard-, testet-, utprøvd- og godkjent autentiseringsmodul/rammeverk/tjeneste, separat fra ressursen som forespørres, ikke benyttes" + - + id: "ACJ" + value: "J" + desc: "Mark kan få tilgang til ressurser eller tjenester fordi det ikke finnes noe autentiseringskrav, eller fordi det ble feilaktig antatt at autentisering skulle bli utført av et annet system eller utført av en tidligere handling" + - + id: "ACQ" + value: "Q" + desc: "Jaime kan omgå autentisering fordi den ikke håndheves med like strenghet for alle typer autentiseringsrelatert funksjonalitet (f.eks. registrering, passordendring, passordgjenoppretting, utlogging, administrasjon) eller på tvers av alle versjoner/kanaler (f.eks. mobil nettsted, mobilapp, nettsted, API, hjelpesenter)" + - + id: "ACK" + value: "K" + desc: "Olga kan påvirke eller endre autentiseringskode/rutiner slik at de kan omgås" + - + id: "ACA" + value: "A" + desc: "Du har funnet opp et nytt angrep mot autentisering" + misc: "Les mer om dette emnet i OWASP's gratis jukseark om “Authentication”" +- + name: "Sesjonshåndtering" + cards: + - + id: "SM2" + value: "2" + desc: "William har kontroll over genereringen av sesjonsidentifikatorer" + - + id: "SM3" + value: "3" + desc: "Ryan kan bruke en enkelt konto parallelt siden parallelle økter er tillatt" + - + id: "SM4" + value: "4" + desc: "Alison kan tilordne sesjonsidentifikasjons-cookies en annen nettapplikasjon fordi domenet og tilleggsstien ikke tilstrekkelig er begrenset" + - + id: "SM5" + value: "5" + desc: "John kan forutsi eller gjette sesjonsidentifikatorer fordi de ikke endres når brukerens rolle endres (f.eks. før og etter autentisering) og når det byttes mellom ikke-kryptert- og kryptert kommunikasjon, eller fordi de ikke er tilstrekkelig lange og tilfeldige, eller fordi de ikke endres med jevne mellomrom" + - + id: "SM6" + value: "6" + desc: "Gary kan ta over en brukers økt fordi man har en lang tidsfrist for økten eller ingen tidsfrist for inaktivitet, eller ingen/lang samlet tidsfrist for økten, eller den samme økten kan benyttes fra mer enn en enhet/sted" + - + id: "SM7" + value: "7" + desc: "Casey kan benytte Adams økt etter at han er ferdig, fordi det ikke er noen utloggingsfunksjon, fordi han ikke enkelt kan logge ut, eller fordi utlogging ikke avslutter økten på riktig måte" + - + id: "SM8" + value: "8" + desc: "Matt kan misbruke lange økter fordi applikasjonen ikke krever periodisk re-autentisering for å sjekke om privilegiene har endret seg" + - + id: "SM9" + value: "9" + desc: "Ivan kan stjele sesjonsidentifikatorer fordi de sendes over usikre kanaler, blir avslørt i logger/feilmeldinger/URL-er, eller er unødvendig tilgjengelig i kode som angriperen kan påvirke eller endre" + - + id: "SMX" + value: "10" + desc: "Marce kan forfalske forespørsler fordi høyt, tilfeldige tokens (dvs. anti-CSRF-tokens, eller lignende) som skal benyttes per-sesjon, eller per-forespørsel for kritiske handlinger, ikke benyttes for handlinger som endrer tilstand" + - + id: "SMJ" + value: "J" + desc: "Jeff kan sende en identisk gjentatt interaksjon på nytt (f.eks. HTTP-forespørsel, signal, knappetrykk) som blir akseptert, ikke avvist" + - + id: "SMQ" + value: "Q" + desc: "Salim kan omgå øktadministrasjon fordi den ikke benyttes omfattende og konsekvent i hele applikasjonen" + - + id: "SMK" + value: "K" + desc: "Peter kan omgå sesjonshåndteringskontrollene fordi de er selvbygde og/eller svake, i stedet for å bruke et standard rammeverk eller en godkjent testet modul" + - + id: "SMA" + value: "A" + desc: "Du har funnet opp et nytt angrep mot Sesjonshåndtering" + misc: "Les mer om dette emnet i OWASP's gratis jukseark om “Session Management, and Cross Site Request Forgery (CSRF) Prevention”" +- + name: "Autorisasjon" + cards: + - + id: "AZ2" + value: "2" + desc: "Tim kan påvirke hvor data sendes eller videresendes til" + - + id: "AZ3" + value: "3" + desc: "Christian kan få tilgang til informasjon, som han ikke skal ha tillatelse til, gjennom en annen mekanisme som har tillatelse (f.eks. søkeindekser, logger, rapporter), eller fordi den er bufret, eller lagret lenger enn nødvendig, eller gjennom en annen informasjonslekkasje" + - + id: "AZ4" + value: "4" + desc: "Kelly kan omgå autorisasjonskontroller fordi de ikke feiler sikkert (dvs. at de som standard gir tilgang)" + - + id: "AZ5" + value: "5" + desc: "Chad kan få tilgang til ressurser (inkludert tjenester, prosesser, AJAX, Flash, video, bilder, dokumenter, midlertidige filer, sesjonsdata, systemegenskaper, konfigurasjonsdata, registerinnstillinger, logger) han ikke skal kunne på grunn av manglende autorisasjon, eller pga. overdrevne privilegier (f.eks. ufullstendig bruk av prinsippet om minste privilegium)" + - + id: "AZ6" + value: "6" + desc: "Eduardo kan få tilgang til data han ikke har tillatelse til, selv om han har tillatelse til skjemaet/siden/URL/tilgangspunkt" + - + id: "AZ7" + value: "7" + desc: "Yuanjing kan få tilgang til applikasjonsfunksjoner, objekter eller egenskaper han ikke skal ha tilgang til" + - + id: "AZ8" + value: "8" + desc: "Tom kan omgå forretningsregler ved å endre den vanlige prosesssekvensen eller -flyten, eller ved å gjennomføre prosessen i feil rekkefølge, eller ved å manipulere dato- og klokkeslettverdier som benyttes av applikasjonen, eller ved å bruke gyldige funksjoner til utilsiktede formål, eller, på annen måte, manipulere kontrolldata" + - + id: "AZ9" + value: "9" + desc: "Mike kan misbruke en applikasjon ved å bruke en gyldig funksjon for raskt, eller for ofte, eller på en måte som ikke er tiltenkt, eller som forbruker applikasjonens ressurser, forårsaker en kappløpssituasjon, eller overutnyttelse av en funksjon" + - + id: "AZX" + value: "10" + desc: "Richard kan omgå de sentraliserte autorisasjonskontrollene siden de ikke blir benyttet fullstendig på alle interaksjoner" + - + id: "AZJ" + value: "J" + desc: "Dinis kan få tilgang til sikkerhetskonfigurasjonsinformasjon eller tilgangskontrolllister" + - + id: "AZQ" + value: "Q" + desc: "Christopher kan injisere en kommando som applikasjonen vil kjøre på et høyere rettighetsnivå" + - + id: "AZK" + value: "K" + desc: "Ryan kan påvirke eller endre autorisasjonskontroller og tillatelser, og kan derfor omgå dem" + - + id: "AZA" + value: "A" + desc: "Du har funnet opp et nytt angrep mot Autorisasjon" + misc: "Les mer om dette emnet i “OWASP's Development and Testing Guides”" +- + name: "Kryptografi" + cards: + - + id: "CR2" + value: "2" + desc: "Kyun kan få tilgang til data fordi de har blitt tilslørt i steden for kryptert/hashet med en godkjent kryptografisk funksjon" + - + id: "CR3" + value: "3" + desc: "Axel kan endre midlertidige eller permanente data (lagret eller under transport), kildekode, oppdateringer/patcher eller konfigurasjonsdata, fordi de ikke er gjenstand for integritetskontroll" + - + id: "CR4" + value: "4" + desc: "Paulo kan få tilgang til data under overføring som ikke er kryptert, selv om kommunikasjonskanalen er kryptert" + - + id: "CR5" + value: "5" + desc: "Kyle kan omgå kryptografiske kontroller fordi de ikke svikter sikkert (dvs. at de som standard er ubeskyttet)" + - + id: "CR6" + value: "6" + desc: "Romain kan lese og endre ukrypterte data i minnet eller under overføring (f.eks. kryptografiske hemmeligheter, autentiseringsdata, sesjonsidentifikatorer, personlige og kommersielt sensitive data), i bruk eller under kommunikasjon innenfor applikasjonen, mellom applikasjonen og brukerne, eller mellom applikasjonen og eksterne systemer" + - + id: "CR7" + value: "7" + desc: "Gunter kan avskjære eller endre krypterte data under overføring fordi protokollen er dårlig distribuert, svakt konfigurert, sertifikater ugyldige, sertifikater uklarert, eller fordi tilkobling kan bli degradert til en svakere eller ukryptert kommunikasjonskanal" + - + id: "CR8" + value: "8" + desc: "Eoin kan få tilgang til lagrede forretningsdata (f.eks. passord, sesjonsidentifikatorer, PII, kortholderdata) fordi de ikke er sikkert kryptert eller sikkert hashet" + - + id: "CR9" + value: "9" + desc: "Andy kan omgå generering av tilfeldige tall, generering av tilfeldig GUID, hashing og krypteringsfunksjoner fordi de er selvbygde og/eller svake" + - + id: "CRX" + value: "10" + desc: "Susanna kan bryte kryptografien i bruk fordi den ikke er sterk nok for den nødvendige beskyttelsesgraden, eller den er ikke sterk nok i forhold til innsatsen angriperen er villig til å legge inn" + - + id: "CRJ" + value: "J" + desc: "Justin kan lese autensieringsdata for å få tilgang til interne eller eksterne ressurser, tjenester og andre systemer fordi de er lagret i et ukryptert format, eller lagret i kildekoden" + - + id: "CRQ" + value: "Q" + desc: "Randolph kan få tilgang til eller forutsi kryptografiske hovednøkler" + - + id: "CRK" + value: "K" + desc: "Dan kan påvirke eller endre kryptokode/rutiner (kryptering, hashing, digitale signaturer, tilfeldig tall og GUID-generering) og kan derfor omgå dem" + - + id: "CRA" + value: "A" + desc: "Du har funnet opp et nytt angrep mot kryptografi" + misc: "Les mer om dette emnet i OWASP's gratis jukseark om “Cryptographic Storage, and Transport Layer Protection”" +- + name: "Cornucopia" + cards: + - + id: "CO2" + value: "2" + desc: "Lee kan omgå applikasjonskontroller fordi farlige/risikofylte programmeringsfunksjoner har blitt brukt istf. sikrere alternativer, fordi typekonverteringsfeil finnes, applikasjonen er upålitelig når ekstern ressurs er utilgjengelig, eller pga. kappløpssituasjons-, ressursinitialiserings- ,allokerings- eller overflytproblemer" + - + id: "CO3" + value: "3" + desc: "Andrew kan få tilgang til kildekode, dekompilere, eller på annen måte få tilgang til forretningslogikk for å forstå hvordan applikasjonen fungerer og avdekke eventuelle hemmeligheter den inneholder" + - + id: "CO4" + value: "4" + desc: "Keith kan utføre en handling og det er ikke mulig å tilskrive ham den" + - + id: "CO5" + value: "5" + desc: "Larry kan påvirke tilliten andre parter, inkludert brukere, har til applikasjonen, eller misbruke denne tilliten andre steder (f.eks. i en annen applikasjon)" + - + id: "CO6" + value: "6" + desc: "Aaron kan omgå kontroller fordi feil/unntakshåndtering mangler, eller er implementert inkonsekvent eller delvis, eller nekter ikke tilgang som standard (dvs. feil bør avslutte tilgang/utførelse), eller er avhengig av håndtering fra en annen tjeneste eller system" + - + id: "CO7" + value: "7" + desc: "Mwengus handlinger kan ikke undersøkes fordi det ikke finnes tilstrekkelig nøyaktige tidsstempelregistrering av sikkerhetshendelsene, eller fordi det ikke finnes et fullstendig revisjonsspor, eller fordi disse kan endres eller slettes av Mwengu, eller fordi det ikke finnes en sentralisert loggingstjeneste" + - + id: "CO8" + value: "8" + desc: "David kan omgå applikasjonen for å få tilgang til data fordi nettverket og vertsinfrastrukturen, og støttetjenester/applikasjoner, ikke er sikkert konfigurert, konfigurasjonen sjekket på nytt med jevne mellomrom og sikkerhetsoppdateringer utført, eller fordi dataene er lagret lokalt, eller fordi dataene ikke er fysisk beskyttet" + - + id: "CO9" + value: "9" + desc: "Michael kan omgå applikasjonen for å få tilgang til data fordi administrative verktøy eller administrative grensesnitt ikke er tilstrekkelig sikret" + - + id: "COX" + value: "10" + desc: "Xavier kan omgå applikasjonens kontroller fordi koderammeverk, biblioteker og komponenter inneholder ondsinnet kode eller sårbarheter i (f.eks. internt utviklede-, kommersielt ikke-standardiserte- eller tjenesteutsatte systemer , eller i systemer som benytter åpen kildekode eller er eksternt plassert)" + - + id: "COJ" + value: "J" + desc: "Roman kan utnytte applikasjonen fordi den ble kompilert ved hjelp av utdaterte verktøy, eller fordi konfigurasjonen ikke er sikker som standard, eller fordi sikkerhetsinformasjon ikke ble dokumentert og gitt videre til operative team" + - + id: "COQ" + value: "Q" + desc: "Jim kan utføre ondsinnede-, ikke-normale handlinger uten sanntidsdeteksjon og respons fra applikasjonen" + - + id: "COK" + value: "K" + desc: "Gareth kan bruke applikasjonen til å nekte noen eller alle brukerne tjenesten" + - + id: "COA" + value: "A" + desc: "Du har funnet opp et nytt angrep av hvilken som helst type" + misc: "Les mer om applikasjonssikkerhet i OWASPs gratis guider som omhandler krav, utvikling, kodegjennomgang og testingg, the “Cheat Sheet series”, og OWASPs “Software Assurance Maturity Model”" +- + name: "Jokere" + cards: + - + id: "JOA" + value: "JokerA" + card: "Joker" + desc: "Alice kan bruke applikasjonen til å angripe brukernes systemer og data" + misc: "Har du tenkt på å bli et individuelt OWASP-medlem? Alle verktøy, veiledning og lokale møter er gratis for alle, men individuelt medlemskap er med på å støtte OWASPs arbeid" + - + id: "JOB" + value: "JokerB" + card: "Joker" + desc: "Bob kan øve innflytelse over, endre eller påvirke applikasjonen slik at den ikke lenger overholder juridiske, regulatoriske, kontraktsmessige eller andre organisatoriske mandater" + misc: "Undersøk sårbarheter og oppdag hvordan de kan fikses ved å bruke opplæringsapplikasjoner i den gratise OWASP boken om “Broken Web Applications VM”, eller ved å bruke nettutfordringene i OWASPs gratis hacking lab" +paragraphs: +- + name: "Common" + sentences: + - + value: "NoCard" + text: "Ikke et kort" + - + value: "Title" + text: "Ecommerce Website Edition v1.30-NO_NB" + - + value: "Title_full" + text: "OWASP Cornucopia Ecommerce Website Edition v1.30-NO_NB" + - + value: "T00010" + text: "OWASP Cornucopia er en mekanisme for å hjelpe programvareutviklingsteam med å identifisere sikkerhetskrav i smidige, konvensjonelle og formelle utviklingsprosesser." + - + value: "T00020" + text: "Forfatter" + - + value: "T00030" + text: "Prosjektledere" + - + value: "T00040" + text: "Redaksjonell bearbeidelse" + - + value: "T00100" + text: "Takk til" + - + value: "T00110" + text: "Microsoft SDL Team for “the Elevation of Privilege Threat Modeling Game”, publisert under “Creative Commons Attribution” som ble brukt som inspirasjon til Cornucopia og som mange ideer, spesielt spillteorien, ble kopiert fra." + - + value: "T00120" + text: "Keith Turpin og bidragsytere til “OWASP Secure Coding Practices - Quick Reference Guide”, opprinnelig donert til OWASP av Boeing, som brukes som den primære kilden til informasjon om sikkerhetskrav for å formulere innholdet på kortene." + - + value: "T00130" + text: "Bidragsytere, støttespillere, sponsorer og frivillige til OWASP ASVS-, AppSensor- og Web Framework Security Matrix-prosjektene, Mitre's “Common Attack Pattern Enumeration and Classification (CAPEC)”, og SAFECodes “Practical Security Stories and Security Tasks for Agile Development Environments” som alle brukes i oppgitte kryssreferanser." + - + value: "T00140" + text: "Playgen for å tilby et opplysende ettermiddagsseminar om oppgave gamification, og tartanmaker.com for bruk av nettverktøyet for å hjelpe til å lage mønsteret på baksiden av kortene." + - + value: "T00150" + text: "Blackfoot UK Limited for å lage og donere utskriftsklare designfiler, Tom Brennan og OWASP Foundation for å ha startet opprettingen av en OWASP-merket boks og brosjyre, og OWASP-ansatte, spesielt Kate Hartmann, for å administrere bestilling, lagring og forsendelse av trykte kortstokker." + - + value: "T00160" + text: "Oana Cornea og andre deltakere på AppSec EU 2015-prosjekttoppmøtet for deres hjelp med å lage demonstrasjonsvideoen." + - + value: "T00170" + text: "Colin Watson som forfatter og medprosjektleder sammen med Grant Ongers, sammen med andre OWASP-frivillige som har hjulpet til på mange måter." + - + value: "T00180" + text: "OWASP støtter eller anbefaler ikke kommersielle produkter eller tjenester © 2012-2016 OWASP Foundation. Dette dokumentet er lisensiert under “Creative Commons Attribution-ShareAlike 3.0” lisensen" + - + value: "T00200" + text: "Introduksjon" + - + value: "T00210" + text: "Ideen bak Cornucopia er å hjelpe utviklingsteam, spesielt de som bruker Smidige metoder, med å identifisere applikasjonssikkerhetskrav og utvikle sikkerhetsbaserte brukerhistorier." + - + value: "T00220" + text: "Selv om ideen hadde ventet en stund med å komme videre, kom den endelige motivasjonen da SAFECode publiserte sine praktiske sikkerhetshistorier og sikkerhetsoppgaver for smidige utviklingsmiljøer i juli 2012." + - + value: "T00230" + text: "Microsoft SDL-teamet hadde allerede publisert sin supre “Elevation of Privilege: The Threat Modeling Game (EoP)”, men det så ikke ut til å løse den mest hensiktsmessige typen problemer som utviklingsteam for nettapplikasjoner stort sett må løse." + - + value: "T00240" + text: "EoP er et flott konsept og spillstrategi, og ble publisert under en “Creative Commons Attribution” lisensen." + - + value: "T00250" + text: "“Cornucopia Ecommerce Website Edition” er basert på konseptene og spillideene i EoP, men de har blitt modifisert for å være mer relevante for den typen problemer som utviklere av ecommerce-nettsteder møter." + - + value: "T00260" + text: "Den prøver å introdusere trusselmodellerings ideer i utviklingsteam som bruker smidige metoder, eller som er mer fokusert på svakheter i nettapplikasjoner enn andre typer programvaresårbarheter eller som ikke er kjent med STRIDE og DREAD." + - + value: "T00270" + text: "“Cornucopia Ecommerce Website Edition” er referert til som en informasjonsressurs i “PCI Security Standard Council’s Information Supplement PCI DSS E-commerce Guidelines, v2”, januar 2013." + - + value: "T00300" + text: "Kortstokken (pakke)" + - + value: "T00310" + text: "I stedet for EoPs STRIDE-farger (sett med kort med matchende design), er Cornucopia-fargene basert på strukturen til “OWASP Secure Coding Practices - Quick Reference Guide (SCP)”, men med ytterligere hensyn tatt fra avsnitt i “OWASP Application Security Verification Standard”, “OWASP Testing Guide” og David Rooks prinsipper for sikker utvikling. " + - + value: "T00320" + text: "Disse har resultert i fem farger, og en sjette kalt “Cornucopia” som har blitt opprettet for alt annet: " + - + value: "T00330" + text: "Datavalidering og -koding (VE)" + - + value: "T00340" + text: "Autentisering (AT)" + - + value: "T00350" + text: "Sesjonshåndtering (SM)" + - + value: "T00360" + text: "Autorisasjon (AZ)" + - + value: "T00370" + text: "Kryptografi (CR)" + - + value: "T00380" + text: "Cornucopia (C)" + - + value: "T00390" + text: "I likhet med pokerkort, inneholder hver farge 13 kort (ess, 2-10, knekt, dronning og konge), men i motsetning til EoP, er det også to Joker-kort." + - + value: "T00400" + text: "Innholdet var hovedsakelig hentet fra SCP." + - + value: "T00500" + text: "Referanseoversikt" + - + value: "T00510" + text: "Den andre driveren bak Cornucopia er å koble angrep med krav og verifiseringsteknikker." + - + value: "T00520" + text: "Et av de første målene var å referere til CWE-svakhets-ID-er, men disse viste seg å være for mange, og i stedet ble det besluttet å kartlegge hvert kort til CAPEC-programvareangrepsmønster-IDer som i seg selv er kartlagt til CWE-er, slik at det ønskede resultatet ble oppnådd." + - + value: "T00530" + text: "Hvert kort er også tilordnet de 36 primære sikkerhetshistoriene i SAFECode-dokumentet, samt til OWASP SCP v2, ASVS v4.0 og AppSensor (applikasjonsangrepsdeteksjon og respons) for å hjelpe team med å lage sine egne sikkerhetsrelaterte historier for bruk i smidige prosesser." + - + value: "T00600" + text: "Spillstrategi" + - + value: "T00610" + text: "Bortsett fra forskjellene iht. innholdet, er spillereglene praktisk talt identiske med de for EoP." + - + value: "T00700" + text: "Trykking av kort" + - + value: "T00710" + text: "Sjekk Cornucopia-prosjektsiden for å finne ut hvordan du får tak i forhåndstrykte kortstokker på glanset kort." + - + value: "T00720" + text: "Kortene kan skrives ut fra dette dokumentet i svart-hvitt, men er mer effektive i farger." + - + value: "T00730" + text: "Kortene på de senere sidene i dette dokumentet er lagt ut for å passe til en type forhåndssutfylte A4-kortark." + - + value: "T00740" + text: "Dette så ut til å være den raskeste måten å sørge for å lage kort raskt. " + - + value: "T00750" + text: "Avery-produktkodene C32015 og C32030 har blitt testet vellykket, men en hver “10 up 85 mm x 54 mm” kort på A4-papir bør fungere med litt justering." + - + value: "T00760" + text: "Andre papirvareleverandører som Ryman og Sigel produserer lignende ark" + - + value: "T00770" + text: "Disse kortarkene er ikke billige, så det bør utvises forsiktighet når du bestemmer deg for hva du skal trykke opp og hva slags media og skrivertype du skal benytte." + - + value: "T00780" + text: "Kortene kan selvfølgelig skrives ut på en hvilken som helst størrelse papir eller kartong for deretter å kuttes opp manuelt, ellers kan et kommersiell trykkeri skrive ut større volumer og kutte kortene i riktig størrelse." + - + value: "T00790" + text: "Kuttlinjene vises på nest siste side i dette dokumentet, men Avery produserer også en liggende A4-mal (A-0017-01_L.doc) som kan brukes som veiledning." + - + value: "T00800" + text: "Utskrift og oppskjæring kan ta en time eller så, det hjelper å bruke en raskere skriver." + - + value: "T00810" + text: "Prøv å skrive ut og velge høyere kvalitet for økt lesbarhet." + - + value: "T00820" + text: "Et valgfritt baksidedesign (i OWASP tartan) er opprettet som siste side i dette dokumentet." + - + value: "T00830" + text: "Ingen spesiell justering er nødvendig. " + - + value: "T00840" + text: "Tosidig utskrift krever spesiell forsiktighet. " + - + value: "T00850" + text: "Du kan tilpasse kortflatene eller baksidene etter din egen organisasjons preferanser." + - + value: "T00900" + text: "Tilpasning" + - + value: "T00910" + text: "Etter at du har brukt Cornucopia noen ganger, kan det hende du føler at noen kort er mindre relevante for applikasjonene dine, eller at truslene er forskjellige for organisasjonen din." + - + value: "T00920" + text: "Rediger dette dokumentet selv for å gjøre kortene mer passende for teamene dine, eller lag nye fullstendig kortstokker." + - + value: "T01000" + text: "Gi tilbakemelding" + - + value: "T01010" + text: "Hvis du har ideer eller tilbakemeldinger om bruken av OWASP Cornucopia, vennligst del dem." + - + value: "T01020" + text: "Enda bedre hvis du lager alternative versjoner av kortene, eller produserer profesjonelle utskriftsklare versjoner, vennligst del det med de frivillige som har laget denne utgaven og med det bredere fellesskapet for applikasjonsutvikling og applikasjonssikkerhet." + - + value: "T01030" + text: "Det beste stedet for å diskutere eller bidra er e-postlisten for OWASP-prosjektet:" + - + value: "T01040" + text: "Mailingliste" + - + value: "T01050" + text: "Prosjektets hjemmeside" + - + value: "T01060" + text: "Alle OWASP-dokumenter og -verktøy er gratis å laste ned og bruke." + - + value: "T01070" + text: "OWASP Cornucopia er lisensiert under “Creative Commons Attribution-ShareAlike 3.0” lisensen." + - + value: "T01100" + text: "Bruksanvisning" + - + value: "T01110" + text: "Teksten på hvert kort beskriver et angrep, men angriperen har fått et navn som er unikt for hvert av kortene." + - + value: "T01120" + text: "Navnet kan representere et datasystem (f.eks. databasen, filsystemet, en annen applikasjon, en relatert tjeneste, et botnett), en enkeltperson (f.eks. en borger, en kunde, en klient, en ansatt, en kriminell, en spion) , eller til og med en gruppe mennesker (f.eks. en konkurent, aktivister med en felles sak)." + - + value: "T01130" + text: "Angriperen kan være ekstern på en annen enhet/lokasjon, eller lokal/intern med tilgang til samme enhet, vert eller nettverk hvor applikasjonen kjører." + - + value: "T01140" + text: "Angriperen blir alltid navngitt i starten av hver beskrivelse" + - + value: "T01150" + text: "Eksempelvis:" + - + value: "T01160" + text: "William har kontroll over genereringen av sesjonsidentifikatorer." + - + value: "T01170" + text: "Dette betyr at angriperen (William) kan opprette nye sesjonsidentifikatorer som applikasjonen godtar." + - + value: "T01180" + text: "Angrepene ble primært hentet fra sikkerhetskravene oppført i SCP, v2, men deretter supplert med verifiseringskrav fra OWASP “Application Security Verification Standard for Web Applications”, de sikkerhetsfokuserte historiene i SAFECodes “Practical Security Stories and Security Tasks for Agile Development Environments”, og til slutt en gjennomgang av kortene i EOP." + - + value: "T01190" + text: "Ytterligere veiledning til hvert kort er tilgjengelig på online Wiki kortstokken på " + - + value: "T01200" + text: "Referanseoversikt til angrepene og de fem ressurser finnes på de fleste kort:" + - + value: "T01210" + text: "Krav til “Secure Coding Practices (SCP) - Quick Reference Guide”, v2, OWASP, November 2010 " + - + value: "T01220" + text: "Verifiserings IDer til “Application Security Verification Standard (ASVS) for Web Applications”" + - + value: "T01230" + text: "ID-er for angrepsdeteksjonspunkter til “AppSensor”, OWASP, August 2010-2015" + - + value: "T01240" + text: "IDer til “Common Attack Pattern Enumeration and Classification (CAPEC)”, v2.8, Mitre Corporation, November 2015" + - + value: "T01250" + text: "Sikkerhetsfokuserte historier til 'Practical Security Stories and Security Tasks for Agile Development Environments', SAFECode, Juli 2012" + - + value: "T01260" + text: "En referanse betyr at angrepet er inkludert i det refererte elementet, men at det ikke nødvendigvis omfatter hele dens intensjon. " + - + value: "T01270" + text: "For strukturerte data som CAPEC er den mest spesifikke referansen gitt, men noen ganger er det gitt en kryssreferanse som også har mer spesifikke (underordnede) eksempler." + - + value: "T01280" + text: "Det finnes ingen referanseoversikt på de seks essene og to jokerne." + - + value: "T01290" + text: "I stedet har disse kortene noen generelle tips i kursiv tekst." + - + value: "T01300" + text: "Det er mulig å spille Cornucopia på mange forskjellige måter. " + - + value: "T01310" + text: "Her er en måte, demonstrert online i en video: " + - + value: "T01311" + text: ", som benytter det nye skåre/funn arket fra mai (2015) lastet ned fra " + - + value: "T01400" + text: "A - Forberedelser" + - + value: "T01410" + text: "A1. Skaff deg en kortstokk, eller skriv ut din egen kortstokk med Cornucopia-kort (se side 2 i dette dokumentet) og skjær/klipp ut kortene" + - + value: "T01420" + text: "A2. Identifiser en applikasjon eller applikasjonsfunksjon som skal gjennomgås; dette kan være et konsept, design eller en faktisk implementering" + - + value: "T01430" + text: "A3. Lag et dataflytdiagram, brukerhistorier eller andre artefakter for å hjelpe til med utforskningen" + - + value: "T01440" + text: "A4. Identifiser og inviter en gruppe på 3-6; arkitekter, utviklere, testere og andre forretningsinteressenter og sett deg rundt et bord (forsøk å inkluder noen som er ganske kjent med applikasjonssikkerhet)" + - + value: "T01450" + text: "A5. Ha noen premier for hånden (gullstjerner, sjokolade, pizza, øl eller blomster avhengig av organisasjonskulturen din)" + - + value: "T01500" + text: "B - Spill" + - + value: "T01510" + text: "Fargen - Cornucopia - fungerer som trumfer." + - + value: "T01520" + text: "Ess er høye (dvs. slår konge)." + - + value: "T01530" + text: "Det hjelper hvis det er en ikke-spiller som kan dokumentere problemene og poengsummene." + - + value: "T01540" + text: "B1. Fjern jokerne og noen få kort med lav poengsum (2, 3, 4) fra Cornucopia-fargen for å sikre at hver spiller har samme antall kort" + - + value: "T01550" + text: "B2. Bland kortene og del ut alle" + - + value: "T01560" + text: "B3. For å begynne, velg en tilfeldig spiller som skal spille det første kortet - de kan spille hvilket som helst kort fra hånden deres bortsett fra trumffargen - Cornucopia" + - + value: "T01570" + text: "B4. For å spille et kort, må hver spiller lese det opp, og forklare (se online Wiki Deck for tips) hvordan trusselen kan fungere (spilleren får et poeng for angrep som kan fungere som gruppen mener er en håndterbar feil) - ikke prøv å tenke på avbøtende tiltak på dette stadiet, og ikke utelukk en trussel bare på grunn av en tro på at den allerede er mitigert - noen noterer kortet og noterer problemene som tas opp" + - + value: "T01580" + text: "B5. Spill med klokken, hver person må spille et kort på samme måte; hvis du har et kort i den matchende hovedfargen, må du spille ett av disse, ellers kan det spilles et kort fra en hvilken som helst annen farge. " + - + value: "T01590" + text: "Bare et høyere kort i samme farge, eller det høyeste kortet i trumffargen Cornucopia, vinner hånden." + - + value: "T01600" + text: "B6. Personen som vinner runden, leder neste runde (dvs. de spiller først), og definerer dermed neste hovedfarge" + - + value: "T01610" + text: "B7. Gjenta til alle kortene er spilt" + - + value: "T01700" + text: "C - Scoring" + - + value: "T01710" + text: "Målet er å identifisere aktuelle trusler og vinne hender (runder):" + - + value: "T01720" + text: "C1. Poeng +1 for hvert kort du kan identifisere som en gyldig trussel mot applikasjonen som vurderes" + - + value: "T01730" + text: "C2. Få +1 poeng hvis du vinner en runde" + - + value: "T01740" + text: "C3. Når alle kortene er spilt, vinner den som har flest poeng" + - + value: "T01800" + text: "D - Avslutning" + - + value: "T01810" + text: "D1. Gå gjennom alle gjeldende trusler og samsvarende sikkerhetskrav" + - + value: "T01820" + text: "D2. Lag brukerhistorier, spesifikasjoner og testtilfeller iht. utviklingsmetodikken din." + - + value: "T01900" + text: "Alternative spilleregler" + - + value: "T01910" + text: "Hvis du er ny i spillet, fjern ess og to Joker-kort til å begynne med." + - + value: "T01920" + text: "Legg til Joker-kortene igjen når folk blir mer kjent med prosessen." + - + value: "T01930" + text: "Bortsett fra reglene for “trumfkortspill” beskrevet ovenfor, som ligner veldig på EoP, kan kortstokken også spilles som “tjueen kortspill” (også kjent som “pontong” eller “blackjack”) som normalt reduserer antall kort spilt i hver runde." + - + value: "T01940" + text: "Øv på en tenkt applikasjon, eller til og med en fremtidig planlagt applikasjon, i stedet for å prøve å finne feil ved eksisterende applikasjoner til deltakerne er fornøyd med nytten av spillet." + - + value: "T01950" + text: "Vurder å bare spille med en farge for å gjøre økten kortere – men prøv å dekke alle fargene for hvert prosjekt. " + - + value: "T01960" + text: "Eller enda bedre bare spill en hånd med noen forhåndsvalgte kort, og skår poeng kun etter evnen til å identifisere sikkerhetskrav. " + - + value: "T01970" + text: "Om mulig, arranger ett parti fra hver farge hver dag i en uke eller så hvis deltakerne ikke kan sparre lenge nok til en full kortstokk." + - + value: "T01980" + text: "Noen lag har foretrukket å spille en hel hånd med kort, og deretter diskutere hva som står på kortene etter hver runde (i stedet for etter at hver person har spilt et kort)." + - + value: "T01990" + text: "Et annet forslag er at hvis en spiller ikke klarer å identifisere kortet som relevant, la andre spillere foreslå ideer, og muligens la dem få poenget for kortet. " + - + value: "T02000" + text: "Vurder å gi ekstra poeng for spesielt gode bidrag." + - + value: "T02010" + text: "Du kan til og med spille selv. " + - + value: "T02020" + text: "Bare bruk kortene som tankevekkere. " + - + value: "T02030" + text: "Å involvere flere mennesker vil imidlertid være fordelaktig." + - + value: "T02040" + text: "I Microsofts EoP-veiledning anbefaler de juks som en god spillstrategi." + - + value: "T02100" + text: "Spesifikke modifiserte kortstokker til utviklingsrammeverk" + - + value: "T02110" + text: "På slutten av 2012 ble OWASP Framework Security Matrix publisert. Det dokumenterer innebygde sikkerhetskontroller fra noen av de vanligste språkene og rammeverkene for utvikling av nett- og mobilapplikasjoner." + - + value: "T02120" + text: "Med visse forbehold er det nyttig å vurdere hvordan bruk av disse kontrollene kan forenkle identifiseringen av tilleggskrav – forutsatt at kontrollene selvfølgelig er inkludert, aktivert og konfigurert riktig." + - + value: "T02130" + text: "Vurder å fjerne følgende kort fra kortstokkene hvis du er sikker på at de blir adressert på den måten du bruker programmeringsspråket/rammeverket på. " + - + value: "T02140" + text: "Elementer i parentes er “mulige”." + - + value: "T02200" + text: "Interne kodestandarder og biblioteker" + - + value: "T02210" + text: "Legg til din egen liste over ekskluderte kort basert på organisasjonens kodestandarder (forutsatt at de bekreftes av passende verifiseringstrinn i utviklingslivssyklusen)." + - + value: "T02220" + text: "Dine kodestandarder og biblioteker" + - + value: "T02230" + text: "Datavalidering og koding" + - + value: "T02240" + text: "[din liste]" + - + value: "T02250" + text: "Autentisering" + - + value: "T02260" + text: "[din liste]" + - + value: "T02270" + text: "Sesjonshåndtering" + - + value: "T02280" + text: "[din liste]" + - + value: "T02290" + text: "Autorisasjon" + - + value: "T02300" + text: "[din liste]" + - + value: "T02310" + text: "Kryptografi" + - + value: "T02320" + text: "[din liste]" + - + value: "T02330" + text: "Cornucopia" + - + value: "T02340" + text: "[din liste]" + - + value: "T02400" + text: "Kortstokk knyttet til overholdelse av standarder, lover og regler" + - + value: "T02410" + text: "Lag en mindre kortstokk ved kun å inkludere kort for et bestemt krav knyttet til overholdelse av standarder, lover og regler." + - + value: "T02420" + text: "Krav knyttet til overholdelse av standarder, lover og regler" + - + value: "T02430" + text: "Datavalidering og koding" + - + value: "T02440" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02450" + text: "Autentisering" + - + value: "T02460" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02470" + text: "Sesjonshåndtering" + - + value: "T02480" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02490" + text: "Autorisasjon" + - + value: "T02500" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02510" + text: "Kryptografi" + - + value: "T02520" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02530" + text: "Cornucopia" + - + value: "T02540" + text: "[overholdelsesliste iht. standarder, lover og regler]" + - + value: "T02600" + text: "Ofte stilte spørsmål" + - + value: "T02610" + text: "1. Kan jeg kopiere eller redigere spillet?" + - + value: "T02620" + text: "Ja, selvfølgelig." + - + value: "T02630" + text: "Alt OWASP-materiale er gjort fritt tilgjenglig for å gjøre med som du vil, forutsatt at du overholder “Creative Commons Attribution-ShareAlike 3.0” lisensen." + - + value: "T02640" + text: "Hvis du lager en ny versjon, kan du kanskje donere den til OWASP Cornucopia Project?" + - + value: "T02650" + text: "2. Hvordan kan jeg hjelpe til?" + - + value: "T02660" + text: "Send gjerne ideer eller tilbud om hjelp til prosjektets e-postliste." + - + value: "T02670" + text: "3. Hvordan ble angripernes navn valgt?" + - + value: "T02680" + text: "EoP begynner hver beskrivelse med ord som “En angriper kan...”." + - + value: "T02690" + text: "Disse må formuleres som et angrep, men jeg var ikke begeistret for den anonyme terminologien, ville ha noe mer engasjerende, og brukte derfor personnavn. " + - + value: "T02700" + text: "Disse kan betraktes som eksterne eller interne personer eller aliaser for datasystemer. Men i stedet for bare tilfeldige navn, tenkte jeg på hvordan de kunne reflektere OWASP-fellesskapsaspektet. " + - + value: "T02710" + text: "Derfor, bortsett fra 'Alice og Bob', bruker jeg de oppgitte (for)navnene til nåværende og nylige OWASP-ansatte og styremedlemmer (tildelt uten rekkefølge), og valgte deretter tilfeldig de resterende 50 eller så navnene fra gjeldende liste over betalende personer OWASP medlemmer. " + - + value: "T02720" + text: "Ingen navn ble brukt mer enn en gang, og der folk hadde oppgitt to personnavn, droppet jeg én del for å prøve å sikre at ingen lett kan identifiseres." + - + value: "T02730" + text: "Navn ble ikke bevisst tildelt noe spesielt angrep, forsvar eller krav. Den kulturelle og kjønnsblandingen gjenspeiler ganske enkelt disse navnene, og er ikke ment å være verdensrepresentativ." + - + value: "T02740" + text: "I v1.20 ble navnet på VE-10 endret for å gjenspeile prosjektets nye medleder - dette kortet er også det eneste med to navn i angrepet." + - + value: "T02750" + text: "4. Hvorfor er det ingen bilder på kortflatene?" + - + value: "T02760" + text: "Det er ganske mye tekst på kortene, og kryssreferansene tar også plass. " + - + value: "T02770" + text: "Men det ville vært flott å ha flere designelementer inkludert. " + - + value: "T02780" + text: "Finnes det noen frivillige?" + - + value: "T02790" + text: "5. Er angrepene rangert etter nummeret på kortet?" + - + value: "T02800" + text: "Bare sånn ca." + - + value: "T02810" + text: "Risikoen vil være avhengig av bruk og organisasjon, på grunn av varierende sikkerhets- og samsvarskrav, så din egen alvorlighetsgrad kan plassere kortene i en annen rekkefølge enn tallene på kortene." + - + value: "T02820" + text: "6. Hvor lang tid tar det å spille en runde med kort med hele kortstokken?" + - + value: "T02830" + text: "Dette avhenger av mengden diskusjoner og hvor kjent spillerne er med applikasjonssikkerhetskonsepter." + - + value: "T02840" + text: "Men kanskje tillat 1,5 til 2,0 timer for 4-6 personer." + - + value: "T02850" + text: "7. Hva slags folk bør spille spillet?" + - + value: "T02860" + text: "Prøv alltid å ha en blanding av roller som kan bidra med alternative perspektiver." + - + value: "T02870" + text: "Men ta med noen som har en rimelig kunnskap om terminologi for applikasjonssårbarhet. " + - + value: "T02880" + text: "Prøv ellers å inkludere en blanding av arkitekter, utviklere, testere og en relevant prosjektleder eller bedriftseier." + - + value: "T02890" + text: "8. Hvem skal ta notater og notere poeng?" + - + value: "T02900" + text: "Det er bedre hvis noen andre, som ikke spiller spillet, tar notater om kravene som er identifisert og diskuterte problemer." + - + value: "T02910" + text: "Dette kan brukes som opplæring for en junior utvikler, eller utføres av prosjektleder." + - + value: "T02920" + text: "Noen organisasjoner har gjort videoopptak for gjennomgang i etterkant når kravene er skrevet opp mer formelt." + - + value: "T02930" + text: "9. Bør vi alltid bruke hele kortstokken?" + - + value: "T02940" + text: "Nei. " + - + value: "T02950" + text: "En mindre kortstokk er raskere å spille. " + - + value: "T02960" + text: "Start ditt første spill med bare nok kort for to eller tre runder. " + - + value: "T02970" + text: "Start ditt første spill med bare nok kort for to eller tre runder. " + - + value: "T02980" + text: "For de første gangene folk spiller spillet er det også vanligvis bedre å fjerne essene og de to jokerne." + - + value: "T02990" + text: "Det er også vanlig å spille spillet uten trumffarge til folk er mer kjent med ideen." + - + value: "T03000" + text: "10. Hva bør spillere gjøre når de har et ess-kort som sier “oppfunnet et nytt X angrep”?" + - + value: "T03010" + text: "Spilleren kan gjøre opp ethvert angrep de tror er gyldige, men må matche fargen på kortet (f.eks. datavalidering og koding)." + - + value: "T03020" + text: "Med spillere som er nye i spillet, kan det være bedre å fjerne disse til å begynne med (se også FAQ 9)." + - + value: "T03030" + text: "11. Jeg forstår ikke hva angrepet betyr på hvert kort - finnes det mer detaljert informasjon?" + - + value: "T03040" + text: "Ja, online Wiki Deck ble opprettet for å hjelpe spillere med å forstå angrepene. " + - + value: "T03050" + text: "See" + - + value: "T03060" + text: "12. Firmaet mitt ønsker å skrive ut sin egen versjon av OWASP Cornucopia – hvilken lisens må vi referere til?" + - + value: "T03070" + text: "Vennligst se det fullstendige svaret på dette spørsmålet på prosjektets nettsider:" + - + value: "T03100" + text: "Endrings logg" + - + value: "T03110" + text: "Version / Dato" + - + value: "T03120" + text: "Kommentarer" + - + value: "T03130" + text: "0.1" + - + value: "T03140" + text: "Original Draft" + - + value: "T03150" + text: "0.2" + - + value: "T03160" + text: "Draft reviewed and updated" + - + value: "T03170" + text: "0.3" + - + value: "T03180" + text: "Draft announced OWASP SCP mailing list for comment." + - + value: "T03190" + text: "0.4" + - + value: "T03200" + text: "Play rules updated based on feedback during workshops. " + - + value: "T03210" + text: "Added reference to PCI SSC Information Supplement: PCI DSS E-commerce Guidelines. " + - + value: "T03220" + text: "Descriptive text extended and updated." + - + value: "T03230" + text: "Added contributors section, page numbering, FAQs and change log." + - + value: "T03240" + text: "1" + - + value: "T03250" + text: "Release." + - + value: "T03260" + text: "1.01" + - + value: "T03270" + text: "Framework-specific card deck discussion added" + - + value: "T03280" + text: "Additional FAQs created. " + - + value: "T03290" + text: "Descriptive text updated. " + - + value: "T03300" + text: "New cover image, and previous cover image moved to back. " + - + value: "T03310" + text: "Cut lines added." + - + value: "T03320" + text: "FAQs 5 and 6 added." + - + value: "T03330" + text: "Attack descriptions on cards with tinted backgrounds changed to black (from dark grey). " + - + value: "T03340" + text: "Project contributors added." + - + value: "T03350" + text: "1.02" + - + value: "T03360" + text: "Warning about time to print added. " + - + value: "T03370" + text: "Additional alternative game rules added (twenty-one, play a deck over a week, play full hand and then discuss). " + - + value: "T03380" + text: "Compliance deck concept added. " + - + value: "T03390" + text: "FAQs 5 and 6 added." + - + value: "T03400" + text: "Attack descriptions on cards with tinted backgrounds changed to black (from dark grey). " + - + value: "T03410" + text: "Project contributors added." + - + value: "T03420" + text: "1.03" + - + value: "T03430" + text: "Minor attack wording changes on two cards. " + - + value: "T03440" + text: "OWASP SCP and ASVS cross-references checked and updated. " + - + value: "T03450" + text: "Code letters added for suits. " + - + value: "T03460" + text: "All remaining attack descriptions on cards changed to black (from dark grey) and background colours amended to provide more contrast and increase readability." + - + value: "T03470" + text: "1.04" + - + value: "T03480" + text: "Text “password change, password change,” corrected to “password change, password recovery,” on Queen of Authentication card. " + - + value: "T03490" + text: "1.05" + - + value: "T03500" + text: "Updates to alternative game rules. " + - + value: "T03510" + text: "Additional FAQs created. " + - + value: "T03520" + text: "Contributors updated. " + - + value: "T03530" + text: "Podcast and video links added." + - + value: "T03540" + text: "1.1" + - + value: "T03550" + text: "Change log date corrected for v1.05. Cross-references updated for 2014 version of ASVS. " + - + value: "T03560" + text: "Contributors updated." + - + value: "T03570" + text: "Minor text changes to cards to improve readability." + - + value: "T03580" + text: "1.2" + - + value: "T03590" + text: "Video mentioned/linked" + - + value: "T03600" + text: "Separate score sheet mentioned/linked. " + - + value: "T03610" + text: "Previous embedded score sheet pages deleted" + - + value: "T03620" + text: "Correction (identified by Tom Brennan) and addition to " + - + value: "T03630" + text: "text on card 8 Authentication. " + - + value: "T03640" + text: "Oana Cornea and other participants at the AppSec EU 2015 project summit added to list of contributors. " + - + value: "T03650" + text: "Darío De Filippis added as project co-leader. " + - + value: "T03660" + text: "Wiki Deck link added" + - + value: "T03670" + text: "Cross-references updated for ASVS v3.0.1 and CAPEC v2.8. Minor text changes to a small number of cards. " + - + value: "T03680" + text: "Added “-EN” to version number in preparation for “-ES” version." + - + value: "T03690" + text: "Susana Romaniz added as a contributor to the Spanish translation." + - + value: "T03700" + text: "Minor text changes to instructions and FAQs." + - + value: "T03710" + text: "1.3" + - + value: "T03720" + text: "- Cross-references updated from ASVS v3.0.1 to ASVS v4.0 by Johan Sydseter. \n- Norwegian language version added." + - + value: "T03800" + text: "Prosjektbidragsytere" + - + value: "T03810" + text: "Alle OWASP-prosjekter er avhengige av frivillig innsats fra personer i programvareutviklings- og informasjonssikkerhetssektorene. " + - + value: "T03820" + text: "De har bidratt med tid og energi til å komme med forslag, gi tilbakemeldinger, skrive, gjennomgå og redigere dokumentasjon, gi oppmuntringer, prøve spillet og promotere konseptet. " + - + value: "T03830" + text: "Uten all deres innsats ville ikke prosjektet ha kommet så langt. " + - + value: "T03840" + text: "Ta kontakt med e-postlisten eller prosjektledere direkte, hvis noen mangler på listene nedenfor." + - + value: "T03850" + text: "OWASPs hardtarbeidende ansatte, spesielt Kate Hartmann" + - + value: "T03860" + text: "Deltakere på OWASP London, OWASP Manchester, OWASP Netherlands og OWASP Scotland chapter meetings, og London Gamification Meetup, som kom med nyttige forslag og stilte utfordrende spørsmål" + - + value: "T03870" + text: "Blackfoot UK Limited for å gi utskriftsklare designfiler og hundrevis av profesjonelt trykte kortstokker for distribusjon via post og på OWASP-chapter meetings" + - + value: "T03880" + text: 'OWASP NYC for å lage en OWASP-boksdesign og distribuere pakker på AppSec USA 2014.' + - + value: "T03900" + text: "Podcasts and videoer" + - + value: "T03910" + text: 'Følgende støttende OWASP Cornucopia-ressurser er tilgjengelige online:' + - + value: "T03920" + text: "Video – Bruk av kortene, opprettet under AppSec EU 2015 project summit, 20. mai 2015" + - + value: "T03930" + text: "Podcastintervju, OWASP 24/7 Podcast-kanal, 21. mars 2014" + - + value: "T03940" + text: " Video av presentasjonen, OWASP EU Tour 2013 London, 3. juni 2013" + - + value: "T03950" + text: "Se prosjektets hjemmeside for mer informasjon og presentasjonsmateriell."