OWASP Top 10 2025 - Plan Szkolenia

A01:2025 - Niedostateczne kontroli dostępu
A02:2025 - Błędy konfiguracji zabezpieczeń
A03:2025 - Błędy w łańcuchu dostawy oprogramowania
A04:2025 - Błędy kryptograficzne
A05:2025 - Iniekcje
A06:2025 - Niebezpieczna architektura
A07:2025 - Błędy uwierzytelniania
A08:2025 - Błędy integralności oprogramowania lub danych
A09:2025 - Błędy rejestrowania i alertów zabezpieczeń
A10:2025 - Niewłaściwe obsługiwanie wyjątkowych warunków

A01:2025 Niedostateczne kontroli dostępu - Kontrole dostępu egzekwują politykę, aby użytkownicy nie mogli działać poza swoimi zadanymi uprawnieniami. Błędy zwykle prowadzą do nieautoryzowanego ujawnienia informacji, modyfikacji lub niszczenia wszystkich danych, czy też wykonywania funkcji biznesowych poza granicami użytkownika.

A02:2025 Błędy konfiguracji zabezpieczeń - Błędy konfiguracji zabezpieczeń występują, gdy system, aplikacja lub usługa w chmurze jest ustawiony niewłaściwie z perspektywy zabezpieczeń, co tworzy luki.

A03:2025 Błędy w łańcuchu dostawy oprogramowania - Błędy w łańcuchu dostawy oprogramowania to awarie lub inne kompromisy w procesie tworzenia, dystrybucji lub aktualizacji oprogramowania. Są często spowodowane lukami lub złośliwymi zmianami w kodzie trzecich stron, narzędziach lub innych zależnościach, na które system się opiera.

A04:2025 Błędy kryptograficzne - Ogólnie mówiąc, wszystkie dane w transporcie powinny być szyfrowane na poziomie transportowym (warstwa 4 modelu OSI). Poprzednie przeszkody, takie jak wydajność procesora i zarządzanie kluczami prywatnymi/certyfikatami, są teraz obsługiwane przez procesory z instrukcjami zaprojektowanymi do przyspieszania szyfrowania (np. wsparcie dla AES) oraz uproszczone zarządzanie kluczami prywatnymi i certyfikatami dzięki usługom takim jak LetsEncrypt.org, a dużi dostawcy chmury oferują jeszcze bardziej zintegrowane usługi zarządzania certyfikatami dla swoich platform. Poza bezpiecznym transportem ważne jest, aby określić, jakie dane potrzebują szyfrowania w spoczycie oraz jakie dane potrzebują dodatkowego szyfrowania w transporcie (na poziomie aplikacji, warstwa 7 modelu OSI). Na przykład hasła, numery kart kredytowych, rekordy medyczne, informacje osobowe i sekrety biznesowe wymagają dodatkowej ochrony, zwłaszcza jeśli te dane są objęte przepisami o ochronie prywatności, np. RODO w Unii Europejskiej lub normami takimi jak PCI DSS.

A05:2025 Iniekcje - Luka związaną z iniekcją jest wadą systemu, która pozwala atakującemu wstawić złośliwy kod lub polecenia (np. SQL lub shell code) do pola wejściowego programu, wprowadzając system w błąd i wykonywania tego kodu lub poleceń tak, jakby były one częścią systemu. To może prowadzić do naprawdę tragicznych konsekwencji.

A06:2025 Niebezpieczna architektura - Niebezpieczna architektura to szeroka kategoria reprezentująca różne słabości, wyrażane jako “brak lub nieefektywne kontrolowanie desing.” Niebezpieczna architektura nie jest źródłem wszystkich innych kategorii ryzyka z Top Ten. Zauważmy, że istnieje różnica między niebezpieczną architekturą a niebezpiecznym wdrożeniem. Różnimy między wadami projektu a defektami wdrażania ze względu na to, że mają różne przyczyny podstawowe, występują w różnych etapach procesu rozwojowego i wymagają różnych napraw. Bezpieczny projekt może nadal mieć defekty wdrożenia prowadzące do luk, które mogą być wykorzystywane. Niebezpieczna architektura nie może zostać naprawiona poprzez doskonałe wdrożenie, ponieważ potrzebne kontrole zabezpieczeń nigdy nie zostały utworzone, aby bronić przed konkretnymi atakami. Jednym z czynników przyczyniających się do niebezpiecznej architektury jest brak profilowania ryzyka biznesowego w oprogramowaniu lub systemie w procesie jego tworzenia i tym samym nieustalanie, na jakim poziomie projektu zabezpieczeń jest wymagany.

A07:2025 Błędy uwierzytelniania - Kiedy atakujący może wprowadzić system w błąd, uzyskując rozpoznawanie nieautoryzowanego lub niewłaściwego użytkownika jako legitymnego, ta luka jest obecna.

A08:2025 Błędy integralności oprogramowania lub danych - Błędy integralności oprogramowania i danych dotyczą kodu i infrastruktury, które nie chronią przed nieważnymi lub nienatymicznymi danymi lub kodem traktowanymi jako zaufane i prawidłowe. Przykładem jest sytuacja, w której aplikacja polega na wtyczkach, bibliotekach lub modułach z niezaufanych źródeł, repozytoriów i sieci content delivery (CDNs). Niezabezpieczony CI/CD bez konsumpcji i dostarczania sprawdzonych integralności oprogramowania może wprowadzić potencjał dla nieautoryzowanego dostępu, niewłaściwego lub złośliwego kodu, czy kompromitacji systemu. Kolejnym przykładem jest CI/CD, który pobiera kod lub artefakty z niezaufanych miejsc i/lub nie weryfikuje ich przed użyciem (sprawdzając podpis lub mechanizm podobny).

A09:2025 Błędy rejestrowania i alertów zabezpieczeń - Bez rejestrowania i monitorowania, ataki i naruszenia nie mogą być wykryte, a bez alertów jest bardzo trudno skutecznie reagować w czasie incydentu zabezpieczeniowego. Niewystarczające rejestrowanie, ciągłe monitorowanie, wykrywanie i powiadamianie do inicjowania aktywnych odpowiedzi występuje za każdym razem.

A10:2025 Niewłaściwe obsługiwanie wyjątkowych warunków - Niewłaściwe obsługiwanie wyjątkowych sytuacji w oprogramowaniu występuje, gdy programy nie są w stanie zapobiegać, wykrywać i reagować na nietypowe i nieprzewidywalne sytuacje, co prowadzi do awarii, niewłaściwego zachowania i czasem luk. Może to obejmować jedno lub więcej z następujących trzech błędów: aplikacja nie zapobiega nietypowej sytuacji, nie rozpoznaje sytuacji w trakcie jej występowania, i/lub reaguje niewłaściwie lub wcale na sytuację po jej wystąpieniu.

Omówimy i przedstawimy praktyczne aspekty:

Niedostateczne kontroli dostępu
- Przykłady praktyczne niedostatecznych kontroli dostępu
- Bezpieczne kontrole dostępu i najlepsze praktyki

Błędy konfiguracji zabezpieczeń
- Przykłady rzeczywistego świata błędów konfiguracyjnych
- Kroki do zapobiegania błędom konfiguracyjnym, w tym zarządzanie konfiguracją i narzędzia automatyzacji

Błędy kryptograficzne
- Szczegółowa analiza błędów kryptograficznych, takich jak słabe algorytmy szyfrowania lub niewłaściwe zarządzanie kluczami
- Ważność silnych mechanizmów kryptograficznych, bezpiecznych protokołów (SSL/TLS) i przykłady współczesnej kryptografii w zabezpieczeniach internetu

Ataki iniekcyjne
- Szczegółowe omówienie SQL, NoSQL, OS i LDAP injection
- Techniki łagodzenia za pomocą z prepared statements, parametryzowanych zapytań i unikania niebezpiecznych wejść

Niebezpieczna architektura
- Przeanalizujemy wady projektu, które mogą prowadzić do luk, takie jak niewłaściwe walidacje wejść - Studiować strategie dla bezpiecznej architektury i zasady projektowania zabezpieczeń

Błędy uwierzytelniania
- Najczęstsze problemy z uwierzytelnianiem
- Bezpieczne strategie uwierzytelniania, takie jak uwierzytelnianie wielostopniowe i właściwe zarządzanie sesjami

Błędy integralności oprogramowania lub danych
- Skupimy się na problemach, takich jak niewierzygodne aktualizacje oprogramowania i zmiany danych - Bezpieczne mechanizmy aktualizacji i sprawdzanie integralności danych

Błędy rejestrowania i monitorowania zabezpieczeń
- Ważność rejestrowania informacji związanych z zabezpieczeniami i monitorowania podejrzanych działań - Narzędzia i praktyki dla poprawnego rejestrowania i monitorowania w czasie rzeczywistym, aby wykrywać naruszenia jak najwcześniej