Курс за обучение по OWASP Top 10 2025

A01:2025 - Уязвимост в контрола на достъпа
A02:2025 - Несигурна конфигурация
A03:2025 - Съ perpetrace в софтуерната ланцет A04:2025 - Криптографски съществувания
A05:2025 - Инжекция
A06:2025 - Несигурно проектиране
A07:2025 - Уязвимости в аутентикацията
A08:2025 - Съществувания в целостта на софтуера или данните
A09:2025 - Несигурни логи и сигнализации
A10:2025 - Неправилно управление на изключения

A01:2025 Уязвимост в контрола на достъпа - Контролът над достъпа изпълнява политика, с помощта на която потребителите не могат да действат извън своите намерени права. Паденията обикновено водят до несанкционирано разкриване на информация, промяна или разрушаване на всички данни, както и изпълнение на бизнес функции въз основа на ограниченията на потребителя.

A02:2025 Несигурна конфигурация - Несигурна конфигурация е когато системата, приложението или облачната услуга са настроени некоректно от гледна точка на сигурността, което създава уязвимости.

A03:2025 Съ perpetrator в софтуерната ланцет - Съ perpetrator в софтуерната ланцет са излъчвания или други компрометации в процеса на строеж, разпространение или актуализация на софтуера. Те обикновено се причиняват от уязвимости или злонамерени промени в третирани кодове, инструменти или други зависимости, които системата зависи.

A04:2025 Криптографски съществувания - Обикновено всички данни в транзит трябва да бъдат криптирани на ниво транспорт (OSI слой 4). Предходните пречки, като производителността на ЦПУ и управлението на лични ключове/сертификати, сега се управляват от ЦПУ-та, които имат команди, конструирани за ускоряване на криптирането (например: поддръжка AES) и управлението на лични ключове и сертификати се опростява от услуги като LetsEncrypt.org, при които големите облачни доставчици предлагат дори по-тесно интегрирани услуги за управление на сертификати за своите конкретни платформи. Извън защитата на транспортния слой е важно да се определи какви данни трябва да бъдат криптирани в покой, както и какви данни трябва да имат допълнително криптиране при пренос (на ниво приложение, OSI слой 7). Например, пароли, номера на кредитни карти, здравословни записи, лични данни и бизнес тайни изискват допълнителна защита, особено ако тези данни попадат под законосъбства за поверителност, например Общия регламент на ЕС за защита на персоналните данни (GDPR) или регулации като Стандартът на индустрията за сигурност на платежните карти (PCI DSS).

A05:2025 Инжекция - Уязвимост от тип инжекция е системен недостатък, който позволява на нападател да вмъкне злонамерен код или команди (например SQL или shell код) в полетата за вход на програма, подлудвайки системата да изпълнява този код или команди, както и част от системата. Това може да доведе до сериозни последствия.

A06:2025 Несигурно проектиране - Несигурното проектиране е широка категория, представляваща различни слабости, изразени като „липсващи или неефективни контроли в проектирането“. Несигурното проектиране не е източник за всички други категории от Топ Десет рискове. Отбележете, че има разлика между несигурно проектиране и несигурна реализация. Различаваме между дефекти в проектирането и дефекти в реализацията за причини, те имат различни коренови причини, се създават на различни етапи на процеса на развитие и имат различни методи за преодоляване. Сигурното проектиране все пак може да има дефекти в реализацията, които водят до уязвимости, които могат да бъдат използвани от нападатели. Несигурно проектиране не може да се коригира чрез перфектна реализация, тъй като необходимите контроли за сигурност не са създадени, за да защитават срещу конкретни атаки. Един от факторите, които допринасят за несигурното проектиране, е липсата на профилиране на бизнес рисковете, присъщи на разработваното софтуерно или системно решение, и това води до неуспех при определянето на необходимия ниво на сигурност в проектирането.

A07:2025 Уязвимости в аутентикацията - Когато нападател успее да подлуди система, за да разпознае невалиден или грешен потребител като легитимен, тази уязвимост присъства.

A08:2025 Съществувания в целостта на софтуера или данните - Уязвимостите в целостта на софтуера и данните се отнасят до код и инфраструктура, които не защитават срещу невалиден или непотребителски код или данни, които биват разглеждани като доверени и валидни. Един пример за това е приложение, което зависи от плъгинове, библиотеки или модули от непотребителски източници, хранилища и мрежи за доставка на съдържание (CDN). Несигурна CI/CD линия без използване на механизми за проверка на цялостта на софтуера може да внесе потенциал за несанкционирани достъпи, небезопасен или злонамерен код, както и компрометиране на системата. Един друг пример е CI/CD линия, която извлича код или артифакти от недоверени места и/или не ги проверява преди използване (като например чрез проверка на подписа или подобен механизъм).

A09:2025 Несигурни логи и сигнализации - Без логиране и мониторинг, нападенията и събuzяванията не могат да бъдат разпознани, а без сигнализация е много трудно да се отговори бързо и ефективно по време на инцидент с уязвимост. Недостатъчното логиране, непрекъснат мониторинг, детекция и сигнализация за активни отговори се явяват всеки път.

A10:2025 Неправилно управление на изключения - Управлението на изключения в софтуера става, когато програмите не успяват да предотвратят, разпознаят и реагират на необичайни и непредсказуеми ситуации, които водят до прекъсвания, неочаквано поведение и понякога уязвимости. Това може да включва едно или повече от следните три недостатъка: приложението не предотвратява съществуването на необичайна ситуация, не разпознава ситуацията, докато тя се развива, и/или реагира лошо или изобщо не реагира след ситуацията.

Ще обсъдим и представим практически аспекти на:

Уязвимост в контрола на достъпа
- Практични примери за уязвимости в контрола на достъпа
- Здравословен контрол на достъпа и най-добри практики

Несигурна конфигурация
- Реални примери за несигурни конфигурации
- Стъпки за предотвратяване на грешки в конфигурацията, включително управлението на конфигурациите и автоматизираните инструменти

Криптографски съществувания
- Подробен анализ на криптографските съществувания, като слабостта на алгоритмите за шифриране или неправилното управление на ключовете - Важността на силните криптографски механизми, сигурни протоколи (SSL/TLS) и примери за съвременна криптография в уеб сигурността

Атаки чрез инжекция
- Подробен разбор на SQL, NoSQL, OS и LDAP инжекции - Техники за предотвратяване с използване на подготовени заявки, параметризирани заявки и убягване от входните данни

Несигурно проектиране
- Ще изучаваме проектиращи дефекти, които могат да доведат до уязвимости, като неправилна валидация на входните данни - Ще изучаваме стратегии за сигурно архитектури и принципи за сигурно проектиране

Уязвимости в аутентикацията
- Общи проблеми с аутентикацията - Стратегии за сигурна аутентикация, като многофакторна аутентикация и правилно управление на сесии

Уязвимостите в целостта на софтуера или данните
- Осъществяване на проблеми като непотребителски софтуерни актуализации и манипулация на данните - Безопасни механизми за актуализация и проверки на цялостта на данните

Несигурни логиране и мониторинг
- Важността на логирането на информация, свързана с сигурността, и мониторинг за подозрителна активност - Инструменти и практики за правилно логиране и реален мониторинг, за да бъдат рано детектирани влошенията