OWASP Top 10 - Plan Szkolenia

Wprowadzenie

• Przegląd OWASP, jego cel i znaczenie w bezpieczeństwie sieciowym
• Wyjaśnienie listy OWASP Top 10
  • A01:2021-Broken Access Control awansuje z piątej pozycji; 94% aplikacji zostało przetestowanych pod kątem jakiejś formy złamanej kontroli dostępu. 34 wspólne wyliczenia słabości (CWE) zmapowane do Broken Access Control miały więcej wystąpień w aplikacjach niż jakakolwiek inna kategoria.
  • A02:2021 - Awarie kryptograficzne przesuwają się o jedną pozycję w górę na #2, wcześniej znane jako Narażenie danych wrażliwych, które było raczej szerokim objawem niż główną przyczyną. Ponownie skupiono się tutaj na awariach związanych z kryptografią, które często prowadzą do ujawnienia wrażliwych danych lub naruszenia bezpieczeństwa systemu.
  • A03:2021-Injection spada na trzecią pozycję. 94% aplikacji zostało przetestowanych pod kątem jakiejś formy wstrzyknięcia, a 33 CWE zmapowane do tej kategorii mają drugie miejsce pod względem liczby wystąpień w aplikacjach. Cross-site Scripting jest teraz częścią tej kategorii w tej edycji.
  • A04:2021-Insecure Design to nowa kategoria na rok 2021, skupiająca się na zagrożeniach związanych z błędami projektowymi. Jeśli naprawdę chcemy "pójść w lewo" jako branża, wymaga to większego wykorzystania modelowania zagrożeń, bezpiecznych wzorców i zasad projektowania oraz architektur referencyjnych.
  • A05:2021-Błędna konfiguracja bezpieczeństwa awansuje z #6 w poprzedniej edycji; 90% aplikacji zostało przetestowanych pod kątem jakiejś formy błędnej konfiguracji. Wraz z coraz większą liczbą zmian w wysoce konfigurowalnym oprogramowaniu, nie jest zaskakujące, że ta kategoria awansowała. Poprzednia kategoria dla XML External Entities (XXE) jest teraz częścią tej kategorii.
  • A06:2021-Vulnerable and Outdated Components była wcześniej zatytułowana Using Components with Known Vulnerabilities i zajęła 2. miejsce w ankiecie społeczności Top 10, ale miała również wystarczającą ilość danych, aby znaleźć się w Top 10 poprzez analizę danych. Kategoria ta awansowała z #9 w 2017 roku i jest znaną kwestią, którą z trudem testujemy i oceniamy ryzyko. Jest to jedyna kategoria, która nie ma żadnych wspólnych podatności i zagrożeń (CVE) zmapowanych do uwzględnionych CWE, więc domyślny exploit i wagi wpływu 5.0 są uwzględnione w ich wynikach.
  • Kategoria A07:2021 - Błędy identyfikacji i uwierzytelniania była wcześniej Uszkodzonym uwierzytelnianiem i spadła z drugiej pozycji, a teraz obejmuje CWE, które są bardziej związane z błędami identyfikacji. Kategoria ta nadal stanowi integralną część pierwszej dziesiątki, ale wydaje się, że pomaga w tym zwiększona dostępność znormalizowanych ram.
  • A08:2021 - Błędy integralności oprogramowania i danych to nowa kategoria na rok 2021, skupiająca się na przyjmowaniu założeń związanych z aktualizacjami oprogramowania, krytycznymi danymi i potokami CI/CD bez weryfikacji integralności. Jeden z najwyższych ważonych skutków danych Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) został zmapowany do 10 CWE w tej kategorii. Niezabezpieczona deserializacja z 2017 roku jest teraz częścią tej większej kategorii.
  • A09:2021 - Awarie rejestrowania i monitorowania bezpieczeństwa były wcześniej niewystarczającym rejestrowaniem i monitorowaniem i zostały dodane z ankiety branżowej (#3), awansując z #10 poprzednio. Kategoria ta została rozszerzona o więcej rodzajów awarii, jest trudna do przetestowania i nie jest dobrze reprezentowana w danych CVE/CVSS. Jednak awarie w tej kategorii mogą mieć bezpośredni wpływ na widoczność, ostrzeganie o incydentach i kryminalistykę.
  • A10:2021-Server-Side Request Forgery został dodany z ankiety społeczności Top 10 (#1). Dane pokazują stosunkowo niski wskaźnik zachorowalności przy ponadprzeciętnym pokryciu testami, a także ponadprzeciętne oceny potencjału exploitów i wpływu. Kategoria ta reprezentuje scenariusz, w którym członkowie społeczności bezpieczeństwa mówią nam, że jest to ważne, nawet jeśli nie jest to obecnie zilustrowane w danych.

Uszkodzona kontrola Access

• Praktyczne przykłady uszkodzonych kontroli dostępu
• Bezpieczne kontrole dostępu i najlepsze praktyki

Awarie kryptograficzne

• Szczegółowa analiza błędów kryptograficznych, takich jak słabe algorytmy szyfrowania lub niewłaściwe zarządzanie kluczami.
• Znaczenie silnych mechanizmów kryptograficznych, bezpiecznych protokołów (SSL/TLS) i przykładów nowoczesnej kryptografii w bezpieczeństwie sieciowym

Ataki typu injection

• Szczegółowy podział ataków wstrzykiwania SQL, NoSQL, OS i LDAP
• Techniki łagodzące wykorzystujące przygotowane instrukcje, sparametryzowane zapytania i uciekające dane wejściowe

Niebezpieczny projekt

• Badanie błędów projektowych, które mogą prowadzić do luk w zabezpieczeniach, takich jak niewłaściwa walidacja danych wejściowych.
• Strategie bezpiecznej architektury i zasady bezpiecznego projektowania

Błędna konfiguracja zabezpieczeń

• Przykłady błędnych konfiguracji w świecie rzeczywistym
• Kroki zapobiegające błędnej konfiguracji, w tym narzędzia do zarządzania konfiguracją i automatyzacji

Podatne na ataki i przestarzałe komponenty

• Identyfikacja ryzyka związanego z używaniem podatnych bibliotek i frameworków
• Najlepsze praktyki w zakresie zarządzania zależnościami i aktualizacji

Błędy identyfikacji i uwierzytelniania

• Typowe problemy z uwierzytelnianiem
• Bezpieczne strategie uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe i właściwa obsługa sesji

Awarie integralności oprogramowania i danych

• Skupienie się na kwestiach takich jak niezaufane aktualizacje oprogramowania i manipulowanie danymi
• Bezpieczne mechanizmy aktualizacji i kontrole integralności danych

Rejestrowanie zabezpieczeń i monitorowanie błędów

• Znaczenie rejestrowania informacji istotnych dla bezpieczeństwa i monitorowania podejrzanych działań
• Narzędzia i praktyki prawidłowego rejestrowania i monitorowania w czasie rzeczywistym w celu wczesnego wykrywania naruszeń

Fałszowanie żądań po stronie serwera (SSRF)

• Wyjaśnienie, w jaki sposób atakujący wykorzystują luki w zabezpieczeniach SSRF, aby uzyskać dostęp do systemów wewnętrznych
• Taktyki łagodzące, w tym właściwa walidacja danych wejściowych i konfiguracje zapory sieciowej

Najlepsze praktyki i bezpieczne kodowanie

• Kompleksowa dyskusja na temat najlepszych praktyk bezpiecznego kodowania
• Narzędzia do wykrywania luk w zabezpieczeniach

Podsumowanie i kolejne kroki