OWASP Top 10 Počítačový Kurz

Zavedení

• Přehled OWASP, jeho účel a význam v zabezpečení webu
• Vysvětlení seznamu OWASP Top 10
  • A01:2021-Broken Access Ovládání se posouvá nahoru z páté pozice; 94 % aplikací bylo testováno na nějakou formu nefunkčního řízení přístupu. 34 Common Weakness Enumerations (CWE) mapovaných na Broken Access Control mělo v aplikacích více výskytů než kterákoli jiná kategorie.
  • A02:2021-Cyptographic Failures se posouvá o jednu pozici nahoru na číslo 2, dříve známé jako vystavení citlivým datům, což bylo spíše obecným příznakem než hlavní příčinou. Obnovený důraz je zde kladen na selhání související s kryptografií, která často vede k vystavení citlivých dat nebo kompromitaci systému.
  • A03:2021-Injection sklouzne dolů na třetí pozici. 94 % aplikací bylo testováno na nějakou formu vstřikování a 33 CWE mapovaných do této kategorie má druhý největší výskyt v aplikacích. Cross-site Scripting je nyní součástí této kategorie v tomto vydání.
  • A04:2021-Nezabezpečený design je nová kategorie pro rok 2021 se zaměřením na rizika související s chybami v designu. Pokud se jako odvětví skutečně chceme „posunout doleva“, vyžaduje to více používání modelování hrozeb, bezpečných návrhových vzorů a principů a referenčních architektur.
  • A05:2021-Security Misconfiguration se posouvá z #6 v předchozím vydání; 90 % aplikací bylo testováno na nějakou formu nesprávné konfigurace. S dalšími posuny do vysoce konfigurovatelného softwaru není divu, že se tato kategorie posouvá nahoru. Dřívější kategorie pro XML externí entity (XXE) je nyní součástí této kategorie.
  • A06:2021-Zranitelné a zastaralé komponenty byly dříve nazvány Používání komponent se známými zranitelnostmi a jsou na 2. místě v průzkumu komunity Top 10, ale také měly dostatek dat, aby se díky analýze dat dostaly do Top 10. Tato kategorie se v roce 2017 posouvá z 9. místa a je známým problémem, který se snažíme testovat a vyhodnocovat rizika. Je to jediná kategorie, která nemá žádné společné zranitelnosti a ohrožení (CVE) namapované na zahrnuté CWE, takže do jejich skóre jsou započítány výchozí váhy zneužití a dopadu 5,0.
  • A07:2021-Identification and Authentication Failures bylo dříve Broken Authentication a klesá z druhé pozice a nyní zahrnuje CWE, které se více týkají selhání identifikace. Tato kategorie je stále nedílnou součástí Top 10, ale zdá se, že pomáhá zvýšená dostupnost standardizovaných rámců.
  • A08:2021-Selhání integrity softwaru a dat je nová kategorie pro rok 2021, která se zaměřuje na vytváření předpokladů týkajících se aktualizací softwaru, důležitých dat a kanálů CI/CD bez ověřování integrity. Jeden z nejvyšších vážených dopadů dat Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mapovaných na 10 CWE v této kategorii. Nezabezpečená deseralizace z roku 2017 je nyní součástí této větší kategorie.
  • A09:2021-Selhání bezpečnostního protokolování a monitorování bylo dříve nedostatečné protokolování a monitorování a je přidáno z průmyslového průzkumu (č. 3), čímž se posunulo z předchozího čísla 10 nahoru. Tato kategorie je rozšířena tak, aby zahrnovala více typů poruch, je náročná na testování a není dobře zastoupena v datech CVE/CVSS. Selhání v této kategorii však může přímo ovlivnit viditelnost, upozornění na incidenty a forenzní analýzu.
  • A10:2021-Server-Side Request Forgery je přidán z 10 nejlepších komunitních průzkumů (#1). Data ukazují relativně nízkou míru výskytu s nadprůměrným pokrytím testováním spolu s nadprůměrným hodnocením potenciálu zneužití a dopadu. Tato kategorie představuje scénář, kdy nám členové bezpečnostní komunity říkají, že je to důležité, i když to v současnosti není v datech znázorněno.

Nefunkční Access ovládání

• Praktické ukázky nefunkčních řízení přístupu
• Zabezpečené kontroly přístupu a osvědčené postupy

Kryptografická selhání

• Podrobná analýza kryptografických selhání, jako jsou slabé šifrovací algoritmy nebo nesprávná správa klíčů
• Význam silných kryptografických mechanismů, bezpečných protokolů (SSL/TLS) a příklady moderní kryptografie ve webové bezpečnosti

Injekční útoky

• Podrobný rozpis injekcí SQL, NoSQL, OS a LDAP
• Techniky zmírnění pomocí připravených příkazů, parametrizovaných dotazů a únikových vstupů

Nezabezpečený design

• Zkoumání konstrukčních nedostatků, které mohou vést k zranitelnostem, jako je nesprávné ověření vstupu
• Strategie bezpečné architektury a principy bezpečného návrhu

Chybná konfigurace zabezpečení

• Příklady chybných konfigurací v reálném světě
• Kroky k zabránění chybné konfiguraci, včetně nástrojů pro správu konfigurace a automatizaci

Zranitelné a zastaralé komponenty

• Identifikace rizik používání zranitelných knihoven a rámců
• Osvědčené postupy pro správu závislostí a aktualizace

Selhání identifikace a autentizace

• Běžné problémy s autentizací
• Bezpečné autentizační strategie, jako je vícefaktorová autentizace a správné zpracování relací

Selhání integrity softwaru a dat

• Zaměřte se na problémy, jako jsou nedůvěryhodné aktualizace softwaru a manipulace s daty
• Bezpečné aktualizační mechanismy a kontroly integrity dat

Bezpečnostní protokolování a monitorování selhání

• Důležitost protokolování informací souvisejících se zabezpečením a monitorování podezřelých aktivit
• Nástroje a postupy pro správné protokolování a monitorování v reálném čase pro včasné odhalení narušení

Padělání požadavku na straně serveru (SSRF)

• Vysvětlení, jak útočníci zneužívají zranitelnosti SSRF k přístupu k interním systémům
• Zmírňující taktiky, včetně správného ověření vstupu a konfigurace firewallu

Osvědčené postupy a bezpečné kódování

• Obsáhlá diskuse o osvědčených postupech pro bezpečné kódování
• Nástroje pro detekci zranitelnosti

Shrnutí a další kroky