OWASP Top 10 2025 - Plan Szkolenia

A01:2025 - Naruszenie kontroli dostępu
A02:2025 - Błędna konfiguracja zabezpieczeń
A03:2025 - Błędy w łańcuchu dostaw oprogramowania
A04:2025 - Błędy kryptograficzne
A05:2025 - Iniekcje
A06:2025 - Niebezpieczny projekt
A07:2025 - Błędy uwierzytelniania
A08:2025 - Błędy integralności oprogramowania lub danych
A09:2025 - Błędy logowania i monitorowania bezpieczeństwa
A10:2025 - Nieprawidłowe obsługiwanie wyjątków

A01:2025 Naruszenie kontroli dostępu - Kontrola dostępu egzekwuje politykę, dzięki której użytkownicy nie mogą działać poza swoimi uprawnieniami. Błędy zazwyczaj prowadzą do nieautoryzowanego ujawnienia informacji, modyfikacji lub zniszczenia danych lub wykonywania funkcji biznesowych poza limitami użytkownika.

A02:2025 Błędna konfiguracja zabezpieczeń - Błędna konfiguracja zabezpieczeń występuje, gdy system, aplikacja lub usługa w chmurze jest nieprawidłowo skonfigurowana z perspektywy bezpieczeństwa, co prowadzi do powstania luk.

A03:2025 Błędy w łańcuchu dostaw oprogramowania - Błędy w łańcuchu dostaw oprogramowania to awarie lub inne naruszenia w procesie budowania, dystrybucji lub aktualizacji oprogramowania. Często są one spowodowane lukami lub złośliwymi zmianami w kodzie, narzędziach lub innych zależnościach, na których opiera się system.

A04:2025 Błędy kryptograficzne - Ogólnie rzecz biorąc, wszystkie dane przesyłane powinny być szyfrowane na poziomie transportowym (warstwa 4 modelu OSI). Wcześniejsze problemy, takie jak wydajność procesora i zarządzanie kluczami prywatnymi/certyfikatami, są teraz rozwiązywane przez procesory posiadające instrukcje zaprojektowane do przyspieszania szyfrowania (np. wsparcie dla AES), a zarządzanie kluczami prywatnymi i certyfikatami jest uproszczone dzięki usługom takim jak LetsEncrypt.org, przy czym główni dostawcy chmury oferują jeszcze bardziej zintegrowane usługi zarządzania certyfikatami dla swoich platform. Poza zabezpieczeniem warstwy transportowej ważne jest określenie, jakie dane wymagają szyfrowania w spoczynku, a jakie dodatkowego szyfrowania w trakcie przesyłania (na poziomie aplikacji, warstwa 7 modelu OSI). Na przykład hasła, numery kart kredytowych, dokumentacja medyczna, dane osobowe i tajemnice biznesowe wymagają dodatkowej ochrony, zwłaszcza jeśli dane te podlegają przepisom o ochronie prywatności, np. ogólnemu rozporządzeniu o ochronie danych (RODO) UE, lub regulacjom takim jak standard bezpieczeństwa danych PCI (PCI DSS).

A05:2025 Iniekcje - Luka iniekcyjna to błąd systemowy, który pozwala atakującemu wstawić złośliwy kod lub polecenia (takie jak SQL lub kod powłoki) do pól wejściowych programu, oszukując system, aby wykonał ten kod lub polecenia, jakby były częścią systemu. Może to prowadzić do bardzo poważnych konsekwencji.

A06:2025 Niebezpieczny projekt - Niebezpieczny projekt to szeroka kategoria reprezentująca różne słabości, określane jako „brak lub nieskuteczność projektowania kontroli”. Niebezpieczny projekt nie jest źródłem wszystkich innych kategorii ryzyka z Top 10. Należy zauważyć, że istnieje różnica między niebezpiecznym projektem a niebezpieczną implementacją. Rozróżniamy wady projektowe i defekty implementacyjne z pewnego powodu – mają one różne przyczyny, występują w różnych momentach procesu rozwoju i wymagają różnych środków zaradczych. Bezpieczny projekt może nadal mieć defekty implementacyjne prowadzące do luk, które mogą zostać wykorzystane. Niebezpiecznego projektu nie można naprawić poprzez doskonałą implementację, ponieważ nie zostały stworzone niezbędne mechanizmy zabezpieczające przed określonymi atakami. Jednym z czynników przyczyniających się do niebezpiecznego projektu jest brak profilowania ryzyka biznesowego w oprogramowaniu lub systemie, co prowadzi do nieokreślenia, jaki poziom zabezpieczeń jest wymagany.

A07:2025 Błędy uwierzytelniania - Ta luka występuje, gdy atakujący jest w stanie oszukać system, aby uznał nieprawidłowego lub nieautoryzowanego użytkownika za uprawnionego.

A08:2025 Błędy integralności oprogramowania lub danych - Błędy integralności oprogramowania i danych dotyczą kodu i infrastruktury, które nie chronią przed traktowaniem nieprawidłowego lub niezaufanego kodu lub danych jako zaufanych i ważnych. Przykładem jest sytuacja, w której aplikacja opiera się na wtyczkach, bibliotekach lub modułach z niezaufanych źródeł, repozytoriów i sieci dostarczania treści (CDN). Niebezpieczny potok CI/CD bez sprawdzania integralności oprogramowania może wprowadzić potencjał nieautoryzowanego dostępu, niebezpiecznego lub złośliwego kodu lub kompromitacji systemu. Innym przykładem jest CI/CD, który pobiera kod lub artefakty z niezaufanych miejsc i/lub nie weryfikuje ich przed użyciem (poprzez sprawdzenie podpisu lub podobny mechanizm).

A09:2025 Błędy logowania i monitorowania bezpieczeństwa - Bez logowania i monitorowania ataki i naruszenia nie mogą zostać wykryte, a bez alertów bardzo trudno jest szybko i skutecznie zareagować podczas incydentu bezpieczeństwa. Niewystarczające logowanie, ciągłe monitorowanie, wykrywanie i alerty w celu zainicjowania aktywnej reakcji występują w każdym momencie.

A10:2025 Nieprawidłowe obsługiwanie wyjątków - Nieprawidłowe obsługiwanie wyjątków w oprogramowaniu ma miejsce, gdy programy nie zapobiegają, nie wykrywają i nie reagują na niezwykłe i nieprzewidywalne sytuacje, co prowadzi do awarii, nieoczekiwanego zachowania, a czasem luk. Może to obejmować jedno lub więcej z następujących trzech niepowodzeń: aplikacja nie zapobiega wystąpieniu niezwykłej sytuacji, nie identyfikuje sytuacji w trakcie jej występowania i/lub słabo lub w ogóle nie reaguje na sytuację po jej wystąpieniu.

Omówimy i przedstawimy praktyczne aspekty:

Naruszenie kontroli dostępu
- Praktyczne przykłady naruszeń kontroli dostępu
- Bezpieczne mechanizmy kontroli dostępu i najlepsze praktyki

Błędna konfiguracja zabezpieczeń
- Przykłady błędnych konfiguracji z rzeczywistych przypadków
- Kroki zapobiegające błędnej konfiguracji, w tym zarządzanie konfiguracją i narzędzia automatyzacji

Błędy kryptograficzne
- Szczegółowa analiza błędów kryptograficznych, takich jak słabe algorytmy szyfrowania lub nieprawidłowe zarządzanie kluczami
- Znaczenie silnych mechanizmów kryptograficznych, bezpiecznych protokołów (SSL/TLS) oraz przykłady współczesnej kryptografii w bezpieczeństwie internetowym

Ataki iniekcyjne
- Szczegółowe omówienie iniekcji SQL, NoSQL, OS i LDAP
- Techniki łagodzenia przy użyciu przygotowanych instrukcji, zapytań parametrycznych i ekranowania danych wejściowych

Niebezpieczny projekt
- Przeanalizujemy wady projektowe, które mogą prowadzić do luk, takie jak nieprawidłowa walidacja danych wejściowych
- Przeanalizujemy strategie bezpiecznej architektury i zasady bezpiecznego projektowania

Błędy uwierzytelniania
- Typowe problemy z uwierzytelnianiem
- Strategie bezpiecznego uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe i prawidłowe zarządzanie sesjami

Błędy integralności oprogramowania i danych
- Skupimy się na problemach, takich jak niezaufane aktualizacje oprogramowania i manipulowanie danymi
- Bezpieczne mechanizmy aktualizacji i sprawdzanie integralności danych

Błędy logowania i monitorowania bezpieczeństwa
- Znaczenie logowania informacji związanych z bezpieczeństwem i monitorowania podejrzanych działań
- Narzędzia i praktyki prawidłowego logowania i monitorowania w czasie rzeczywistym w celu wczesnego wykrywania naruszeń