Съдържание и теми, включени в курса
A01:2025 - Разрушен контрол на достъпа
A02:2025 - Неправилна конфигурация на сигурността
A03:2025 - Провали във веригата за доставки на софтуер
A04:2025 - Криптографски провали
A05:2025 - Инжекция
A06:2025 - Несигурен дизайн
A07:2025 - Провали в удостоверяването
A08:2025 - Провали в целостта на софтуера или данните
A09:2025 - Провали в регистрирането на събития и известяването в сигурността
A10:2025 - Неправилно обработване на изключителни състояния
A01:2025 Разрушен контрол на достъпа - Контролът на достъпа налага политика, така че потребителите да не могат да действат извън предвидените им права. Провалите обикновено водят до неоторизирано разкриване на информация, промяна или унищожаване на всички данни, или извършване на бизнес функция извън ограниченията на потребителя.
A02:2025 Неправилна конфигурация на сигурността - Неправилна конфигурация на сигурността е налице, когато дадена система, приложение или облачна услуга е настроена неправилно от гледна точка на сигурността, създавайки уязвимости.
A03:2025 Провали във веригата за доставки на софтуер - Провалите във веригата за доставки на софтуер са прекъсвания или други компрометирания в процеса на изграждане, разпространение или актуализиране на софтуер. Те често са причинени от уязвимости или злонамерени промени в код на трети страни, инструменти или други зависимости, на които системата разчита.
A04:2025 Криптографски провали - Най-общо казано, всички данни в транзит трябва да бъдат криптирани на транспортния слой (OSI слой 4). Предишни пречки като производителност на процесора и управление на частни ключове/сертификати вече се преодоляват от процесори, които имат инструкции, проектирани да ускоряват криптирането (напр. поддръжка на AES), а управлението на частни ключове и сертификати се опростява от услуги като LetsEncrypt.org, като основните облачни доставчици предоставят още по-тясно интегрирани услуги за управление на сертификати за своите специфични платформи. Освен обезопасяването на транспортния слой, важно е да се определи кои данни се нуждаят от криптиране в покой, както и кои данни се нуждаят от допълнително криптиране в транзит (на приложния слой, OSI слой 7). Например пароли, номера на кредитни карти, здравни досиета, лична информация и бизнес тайни изискват допълнителна защита, особено ако тези данни попадат под закони за поверителност, напр. Общия регламент на ЕС за защита на данните (GDPR) или регулации като Стандарта за сигурност на данните в разплащателната индустрия (PCI DSS).
A05:2025 Инжекция - Инжекционната уязвимост е системен недостатък, който позволява на атакуващ да вмъкне злонамерен код или команди (като SQL или шел код) в полетата за въвеждане на програмата, подвеждайки системата да изпълни кода или командите, сякаш са част от системата. Това може да доведе до наистина тежки последици.
A06:2025 Несигурен дизайн - Несигурният дизайн е широка категория, представляваща различни слабости, изразени като "липсващ или неефективен контролен дизайн". Несигурният дизайн не е източникът на всички други рискови категории от Топ 10. Обърнете внимание, че има разлика между несигурен дизайн и несигурно внедряване. Ние разграничаваме дефектите в дизайна от дефектите във внедряването поради определена причина – те имат различни първопричини, случват се по различно време в процеса на разработка и имат различни начини за отстраняване. Един сигурен дизайн все още може да има дефекти във внедряването, водещи до уязвимости, които могат да бъдат експлоатирани. Несигурният дизайн не може да бъде поправен с перфектно внедряване, тъй като необходимите контроли за сигурност никога не са били създадени, за да защитават срещу специфични атаки. Един от факторите, които допринасят за несигурния дизайн, е липсата на профилиране на бизнес риска, присъщо на разработвания софтуер или система, и по този начин неуспехът да се определи какво ниво на дизайн за сигурност е необходимо.
A07:2025 Провали в удостоверяването - Когато атакуващ успее да подведе системата да разпознае невалиден или неправилен потребител като легитимен, тази уязвимост е налице.
A08:2025 Провали в целостта на софтуера или данните - Провалите в целостта на софтуера и данните се отнасят до код и инфраструктура, които не предпазват от това невалиден или ненадежден код или данни да бъдат третирани като надеждни и валидни. Пример за това е, когато дадено приложение разчита на плъгини, библиотеки или модули от ненадеждни източници, хранилища и мрежи за доставка на съдържание (CDN). Несигурният CI/CD pipeline без извършване и предоставяне на проверки за целостта на софтуера може да създаде потенциал за неоторизиран достъп, несигурен или злонамерен код или компрометиране на системата. Друг пример за това е CI/CD, който изтегля код или артефакти от ненадеждни места и/или не ги проверява преди употреба (чрез проверка на подписа или подобен механизъм).
A09:2025 Провали в регистрирането на събития и известяването в сигурността - Без регистриране и наблюдение атаките и пробивите не могат да бъдат открити, а без известяване е много трудно да се реагира бързо и ефективно по време на инцидент със сигурността. Недостатъчното регистриране, непрекъснато наблюдение, откриване и известяване за иницииране на активни реакции се случва по всяко време.
A10:2025 Неправилно обработване на изключителни състояния - Неправилното обработване на изключителни състояния в софтуера се случва, когато програмите не успяват да предотвратят, открият и отговорят на необичайни и непредвидими ситуации, което води до сривове, неочаквано поведение и понякога уязвимости. Това може да включва един или повече от следните 3 провала; приложението не предотвратява настъпването на необичайна ситуация, не идентифицира ситуацията, докато тя се случва, и/или реагира лошо или изобщо не реагира на ситуацията впоследствие.
Ще обсъдим и представим практически аспекти на:
Разрушен контрол на достъпа
- Практически примери за разрушен контрол на достъпа
- Сигурни контроли на достъпа и най-добри практики
Неправилна конфигурация на сигурността
- Примери от реалния свят за неправилни конфигурации
- Стъпки за предотвратяване на неправилна конфигурация, включително управление на конфигурацията и инструменти за автоматизация
Криптографски провали
- Подробен анализ на криптографски провали като слаби алгоритми за криптиране или неправилно управление на ключове
- Значение на силните криптографски механизми, сигурните протоколи (SSL/TLS) и примери за модерна криптография в уеб сигурността
Инжекционни атаки
- Подробен преглед на SQL, NoSQL, OS и LDAP инжекции
- Техники за смекчаване, използващи подготвени изрази, параметризирани заявки и екраниране на входните данни
Несигурен дизайн
- Ще разгледаме дефекти в дизайна, които могат да доведат до уязвимости, като неправилно валидиране на входа
- Ще проучим стратегии за сигурна архитектура и принципи за сигурен дизайн
Провали в удостоверяването
- Често срещани проблеми с удостоверяването
- Стратегии за сигурно удостоверяване, като многофакторно удостоверяване и правилно управление на сесиите
Провали в целостта на софтуера и данните
- Фокус върху проблеми като ненадеждни софтуерни актуализации и подправяне на данни
- Безопасни механизми за актуализиране и проверки за целостта на данните
Провали в регистрирането на събития и наблюдението в сигурността
- Значение на регистрирането на информация, релевантна за сигурността, и наблюдението за подозрителни дейности
- Инструменти и практики за правилно регистриране и наблюдение в реално време за ранно откриване на пробиви
Изисквания
- Общо разбиране за жизнения цикъл на уеб разработката
- Опит в разработката и сигурността на уеб приложения
Аудитория
- Уеб разработчици
- Ръководители
Отзиви от участници (7)
Че всеки технически урок съществува с много практически упражнения, за да закрепят концепциите.
Andrei-Calin Bajea
Курс - OWASP Top 10 2025
Машинен превод
много динамичен и гъвкав обучение!
Valentina Giglio - Fincons SPA
Курс - OWASP Top 10
Машинен превод
Лабораторни упражнения
Pietro Colonna - Fincons SPA
Курс - OWASP Top 10
Машинен превод
Интерактивните компоненти и примери.
Raphael - Global Knowledge
Курс - OWASP Top 10
Машинен превод
Практичен подход и знания на тренера
RICARDO
Курс - OWASP Top 10
Машинен превод
Знанията на тренера бяха феноменални
Patrick - Luminus
Курс - OWASP Top 10
Машинен превод
упражнения, дори и извън моето зона на комфорт.
Nathalie - Luminus
Курс - OWASP Top 10
Машинен превод