Курс за обучение по OWASP Top 10

Въведение

• Преглед на OWASP, неговата цел и значение за уеб сигурността
• Обяснение на OWASP списъка Топ 10
  • A01:2021-Broken Access Контролът се премества нагоре от пета позиция; 94% от приложенията са тествани за някаква форма на повреден контрол на достъпа. 34-те често срещани изброявания на слабости (CWE), съпоставени с Broken Access Control, са имали повече случаи в приложения, отколкото всяка друга категория.
  • A02:2021-Криптографски грешки се измества с една позиция нагоре до #2, известен преди като Разкриване на чувствителни данни, което беше общ симптом, а не първопричина. Подновеният фокус тук е върху повреди, свързани с криптографията, които често водят до излагане на чувствителни данни или компрометиране на системата.
  • A03:2021-Инжекцията се плъзга надолу до трета позиция. 94% от приложенията са тествани за някаква форма на инжектиране, а 33-те CWE, картографирани в тази категория, са вторият най-често срещан в приложенията. Междусайтовият скрипт вече е част от тази категория в това издание.
  • A04:2021-Несигурен дизайн е нова категория за 2021 г. с акцент върху рисковете, свързани с дефекти в дизайна. Ако наистина искаме да се „движим наляво“ като индустрия, това изисква повече използване на моделиране на заплахи, сигурни модели и принципи на проектиране и референтни архитектури.
  • A05:2021-Грешна конфигурация на сигурността се изкачва от #6 в предишното издание; 90% от приложенията са тествани за някаква форма на неправилна конфигурация. С повече преминавания към високо конфигурируем софтуер не е изненадващо тази категория да се издига нагоре. Предишната категория за XML външни обекти (XXE) вече е част от тази категория.
  • A06:2021-Уязвими и остарели компоненти преди това беше озаглавен Използване на компоненти с известни уязвимости и е №2 в проучването на Топ 10 на общността, но също така имаше достатъчно данни, за да влезе в Топ 10 чрез анализ на данни. Тази категория се издига от #9 през 2017 г. и е известен проблем, който се борим да тестваме и оценяваме риска. Това е единствената категория, в която няма обща уязвимост и експозиции (CVE), съпоставени с включените CWE, така че експлойтът по подразбиране и теглата на въздействие от 5,0 са включени в техните резултати.
  • A07:2021-Identification and Authentication Failures преди беше „Broken Authentication“ и се плъзга надолу от втората позиция, а сега включва CWE, които са по-свързани с неуспешни идентификации. Тази категория все още е неразделна част от Топ 10, но увеличената наличност на стандартизирани рамки изглежда помага.
  • A08:2021-Откази в целостта на софтуера и данните е нова категория за 2021 г., която се фокусира върху правенето на предположения, свързани със софтуерни актуализации, критични данни и CI/CD канали, без да се проверява целостта. Едно от най-високо претеглените въздействия от данни за обща уязвимост и експозиции/система за оценяване на обща уязвимост (CVE/CVSS), нанесени към 10-те CWE в тази категория. Несигурната десериализация от 2017 г. вече е част от тази по-голяма категория.
  • A09:2021-Неизправности при регистриране и наблюдение на сигурността преди беше Недостатъчно регистриране и наблюдение и се добавя от проучването на индустрията (#3), преминавайки от #10 преди това. Тази категория е разширена, за да включва повече типове повреди, е предизвикателство за тестване и не е добре представена в данните за CVE/CVSS. Неизправностите в тази категория обаче могат пряко да повлияят на видимостта, предупреждението за инциденти и криминалистиката.
  • A10:2021-Server-Side Request Forgery се добавя от проучването на общността Топ 10 (№1). Данните показват сравнително нисък процент на разпространение с над средното покритие на тестовете, заедно с над средните оценки за потенциал за експлоатиране и въздействие. Тази категория представлява сценария, при който членовете на общността за сигурност ни казват, че това е важно, въпреки че не е илюстрирано в данните в момента.

Счупен Access контрол

• Практически примери за повреден контрол на достъпа
• Сигурен контрол на достъпа и най-добри практики

Криптографски повреди

• Подробен анализ на криптографски грешки като слаби алгоритми за криптиране или неправилно управление на ключове
• Значение на силни криптографски механизми, защитени протоколи (SSL/TLS) и примери за съвременна криптография в уеб сигурността

Инжекционни атаки

• Подробна разбивка на SQL, NoSQL, OS и LDAP инжекция
• Техники за смекчаване, използващи подготвени отчети, параметризирани заявки и избягване на входове

Несигурен дизайн

• Проучване на дефекти в дизайна, които могат да доведат до уязвимости, като неправилно валидиране на входа
• Стратегии за сигурна архитектура и принципи на сигурен дизайн

Неправилна конфигурация на сигурността

• Примери за неправилни конфигурации от реалния свят
• Стъпки за предотвратяване на неправилно конфигуриране, включително управление на конфигурацията и инструменти за автоматизация

Уязвими и остарели компоненти

• Идентифициране на рисковете от използването на уязвими библиотеки и рамки
• Най-добри практики за управление на зависимости и актуализации

Грешки при идентификация и удостоверяване

• Често срещани проблеми с удостоверяването
• Сигурни стратегии за удостоверяване, като многофакторно удостоверяване и правилна обработка на сесията

Неизправности в софтуера и целостта на данните

• Съсредоточете се върху проблеми като ненадеждни софтуерни актуализации и подправяне на данни
• Безопасни механизми за актуализиране и проверки за целостта на данните

Неизправности при регистриране и наблюдение на сигурността

• Значение на записването на информация, свързана със сигурността, и наблюдението за подозрителни дейности
• Инструменти и практики за правилно регистриране и наблюдение в реално време за ранно откриване на нарушения

Фалшифициране на заявка от страна на сървъра (SSRF)

• Обяснение как нападателите използват уязвимостите на SSRF за достъп до вътрешни системи
• Тактики за смекчаване, включително правилно валидиране на входа и конфигурации на защитната стена

Най-добри практики и сигурно кодиране

• Изчерпателна дискусия относно най-добрите практики за сигурно кодиране
• Инструменти за откриване на уязвимости

Обобщение и следващи стъпки