Курс за обучение по OWASP Top 10

Въведение

• Обзор на OWASP, неговата цел и значение в сигурността на уеб приложенията
• Обяснение на списъка OWASP Top 10
  • A01:2021-Broken Access Control се издига от петата позиция; 94% от приложенията са тествани за някаква форма на нарушен достъп. 34-те общи слабости, съответстващи на Broken Access Control, се срещат повече в приложенията от всеки друг раздел.
  • A02:2021-Cryptographic Failures се премества на едно място нагоре до #2, преди това известно като Exposed Sensitive Data, което е широк симптом, а не причина. Фокусът тук е върху грешки, свързани с криптография, които често водят до разкриване на чувствителни данни или компромитиране на системата.
  • A03:2021-Injection се спуска на третата позиция. 94% от приложенията са тествани за някаква форма на инжекция, и 33-те общи слабости, съответстващи на този раздел, имат втория най-често срещан случай в приложенията. Cross-site Scripting сега е част от този раздел в това издание.
  • A04:2021-Insecure Design е нов раздел за 2021 г., със фокус върху рисковете, свързани с грешки в дизайна. Ако искаме да "отидем наляво" като индустрия, това изисква повече използване на модел на заплахи, безопасни шаблони за дизайн и принципи, както и референтни архитектури.
  • A05:2021-Security Misconfiguration се издига от #6 в предишното издание; 90% от приложенията са тествани за някаква форма на грешка в конфигурацията. С повече прехвърляне към високо конфигурируеми софтуерни решения, не е изненадващо да видим този раздел да се издига. Бившият раздел за XML External Entities (XXE) сега е част от този раздел.
  • A06:2021-Vulnerable and Outdated Components преди това е назован Using Components with Known Vulnerabilities и е #2 в анкетата за Top 10, но също така има достатъчно данни, за да влезе в Top 10 чрез анализ на данните. Той се издига от #9 през 2017 г. и е известен проблем, с който се борим да тестваме и оценяваме риска. Това е единственият раздел, който няма нито един Common Vulnerability and Exposures (CVE), съответстващ на включените CWEs, така че стандартни експлоатации и оценки за въздействие от 5.0 са включени в оценките им.
  • A07:2021-Identification and Authentication Failures преди това е Broken Authentication и се спуска от втората позиция, и сега включва CWEs, които са повече свързани с грешки в идентификацията. Той остава неотменна част от Top 10, но увеличената наличност на стандартизирани рамки за работа изглежда, че помага.
  • A08:2021-Software and Data Integrity Failures е нов раздел за 2021 г., със фокус върху предполагаемото софтуерно обновяване, критични данни и CI/CD линии без проверка на целостта. Едни от най-високите оценки за въздействие от данните за Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) съответстващи на 10-те CWEs в този раздел. Insecure Deserialization от 2017 г. сега е част от този по-широк раздел.
  • A09:2021-Security Logging and Monitoring Failures преди това е назован Insufficient Logging & Monitoring и е добавено от анкетата на индустрията (#3), се издига от #10 предишното издание. Той е разширен, за да включва повече типове грешки, е труден за тестване и не е добре представен в данните за CVE/CVSS. Все пак, грешките в този раздел могат да окажат директно въздействие върху видимостта, инцидентно известване и форензика.
  • A10:2021-Server-Side Request Forgery е добавено от анкетата на Top 10 (#1). Данните показва относително ниска честота на случаи с над средната тестова покриваемост, както и над средните оценки за потенциал за експлоатация и въздействие. Това е сценарий, в който членовете на сигурността ни казват, че това е важно, въпреки че не е отразено в данните за момента.

Broken Access Control

• Практически примери за нарушен достъп
• Сигурни контролни мерки за достъп и най-добри практики

Cryptographic Failures

• Детайлен анализ на криптографски грешки, като слаби алгоритми за криптиране или неправилно управление на ключове
• Важността на силни криптографски механизми, сигурни протоколи (SSL/TLS) и примери за съвременна криптография в сигурността на уеб приложенията

Injection Attacks

• Детайлен разбор на SQL, NoSQL, OS и LDAP инжекции
• Техники за отразяване, като подготвени изрази, параметризирани запроси и избягване на входа

Insecure Design

• Разглеждане на грешки в дизайна, които могат да водят до уязвимости, като неправилно валидиране на вход
• Стратегии за сигурна архитектура и принципи за сигурен дизайн

Security Misconfiguration

• Реални примери за грешки в конфигурацията
• Стъпки за предотвратяване на грешки в конфигурацията, включително инструменти за управление на конфигурацията и автоматизация

Vulnerable and Outdated Components

• Идентифициране на рисковете при използване на уязвими библиотеки и рамки
• Най-добри практики за управление на зависимости и обновления

Identification and Authentication Failures

• Често срещани проблеми с идентификацията
• Сигурни стратегии за идентификация, като многофакторна аутентификация и правилно обработка на сесии

Software and Data Integrity Failures

• Фокус върху проблеми като недоверяване на софтуерни обновления и фалшифициране на данни
• Безопасни механизми за обновление и проверка на целостта на данните

Security Logging and Monitoring Failures

• Важността на записването на сигурностно значима информация и мониторинг за подозрителни активности
• Инструменти и практики за правилно записване и реално време мониторинг за ранно откриване на нарушения

Server-Side Request Forgery (SSRF)

• Обяснение на това, как нападателите експлоатират SSRF уязвимости, за да получат достъп до вътрешни системи
• Тактики за отразяване, включително правилно валидиране на вход и конфигурации на пожарните стени

Best Practices and Secure Coding

• Комплексен разговор за най-добрите практики за сигурно програмиране
• Инструменти за откриване на уязвимости

Резюме и следващи стъпки