OWASP Top 10 Počítačový Kurz

Úvod

• Přehled OWASP, jeho účelu a důležitosti v bezpečnosti webových aplikací
• Vysvětlení seznamu OWASP Top 10
  • A01:2021-Porušené přístupové kontroly se posouvají z pátého místa na první. 94 % aplikací bylo testováno na nějakou formu porušených přístupových kontrol. 34 společných slabostí (CWE) zařazených do této kategorie se v aplikacích objevilo více než ve kterékoliv jiné kategorii.
  • A02:2021-Šifrovací selhání se posouvají o jedno místo na #2, dříve známá jako Zobrazení citlivých dat, což byl širší symptom spíše než kořenová příčina. Obnovený zájem se soustředí na selhání v oblasti kryptografie, které často vedou ke zobrazení citlivých dat nebo kompromitaci systému.
  • A03:2021-Injekce se posouvají na třetí místo. 94 % aplikací bylo testováno na nějakou formu injekce a 33 CWE zařazených do této kategorie mají druhé nejvyšší počet výskytů ve webových aplikacích. Cross-site scripting je v tomto vydání součástí této kategorie.
  • A04:2021-Bezpečné návrhy je novou kategorií pro rok 2021, s důrazem na rizika související s chybami v návrhu. Pokud chceme průmysl skutečně „posunout doleva“, je třeba více využívat modelování hrozeb, zabezpečené architektonické vzory a principy a referenční architektury.
  • A05:2021-Bezpečnostní nesprávné konfigurace se posouvají z #6 v předchozím vydání na třetí místo. 90 % aplikací bylo testováno na nějakou formu špatné konfigurace. S více přechodů do vysoce konfigurovatelného softwaru není překvapující, že tato kategorie stoupá. Předchozí kategorie XML External Entities (XXE) je nyní součástí této kategorie.
  • A06:2021-Ohrožené a zastaralé komponenty bylo dříve nazýváno Používání komponent s známými zranitelnostmi a je na #2 v anketě Top 10 komunity, ale také mělo dostatek dat k přesunu do Top 10 prostřednictvím analýzy dat. Tato kategorie se posouvá od #9 v roce 2017 a je známou otázkou, kterou máme problém testovat a posuzovat riziko. Je to jediná kategorie, ke které nejsou přiřazeny žádné společné zranitelnosti a projevy (CVE), takže do jejich skóre jsou zařazeny výchozí váhy exploitu a dopadu 5.0.
  • A07:2021-Ohrožené identifikace a ověřování bylo dříve nazýváno Porušené ověřování a stoupá z druhého místa, nyní však zahrnuje CWE související s identifikačními selháními. Tato kategorie je stále integrální součástí Top 10, ale příprava standardizovaných rámů se zdá pomoci.
  • A08:2021-Bezpečnostní selhání softwaru a dat je novou kategorií pro rok 2021, která se zaměřuje na předpokládání související s aktualizacemi softwaru, klíčovými daty a CI/CD kanály bez ověření integrity. Jeden z nejvyšších váh dopadu v datech o společných zranitelnostech a projevech/společném systému hodnocení zranitelností (CVE/CVSS) přiřazený k 10 CWE v této kategorii. Nezabezpečená deserializace z roku 2017 je nyní součástí této širší kategorie.
  • A09:2021-Bezpečnostní selhání protokolování a monitorování bylo dříve nazýváno Nedostatečné protokolování & monitorování a je přidané z průmyslové anketы (#3), což se posouvá od #10 v předchozím vydání. Tato kategorie je rozšířena o více typů selhání, je obtížné testovat a není dobře reprezentována ve datech CVE/CVSS. Selhání v této kategorii mohou přímo ovlivnit viditelnost, upozorňování na incidenty a forenzu.
  • A10:2021-Server-Side Request Forgery (SSRF) je přidané z anketы Top 10 komunity (#1). Data ukazují relativně nízkou výskytovost se nadprůměrnými prokrytími testování, spolu s nadprůměrnými hodnoceními Exploit a Dopad potenciálu. Tato kategorie představuje scénář, ve kterém nám členové bezpečnostní komunity říkají, že toto je důležité, i když není v datech pro tento čas vyobrazeno.

Porušené přístupové kontroly

• Praktické příklady porušených přístupových kontrol
• Bezpečné přístupové kontroly a osvědčené postupy

Šifrovací selhání

• Podrobná analýza šifrovacích selhání, jako jsou slabé šifrovací algoritmy nebo nesprávná správa klíčů.
• Důležitost silných šifrovacích mechanismů, bezpečných protokolů (SSL/TLS) a příklady moderní kryptografie v bezpečnosti webových aplikací.

Injekční útoky

• Podrobné rozbor SQL, NoSQL, OS a LDAP injekcí.
• Techniky zmírňování pomocí připravených příkazů, parametrických dotazů a escapačních vstupů.

Bezpečné návrhy

• Prozkoumání chyb v návrhu, které mohou vést k zranitelnostem, jako je nevhodná validace vstupů.
• Strategie pro bezpečné architektury a principy bezpečného návrhu.

Bezpečnostní špatně nastavení

• Reálné příklady špatné konfigurace.
• Kroky pro prevenci špatných konfigurací, včetně správy konfigurací a nástrojů pro automatizaci.

Ohrožené a zastaralé komponenty

• Identifikace rizik spojených s používáním ohrožených knihoven a frameworků.
• Osobní doporučení pro správu závislostí a aktualizace.

Ohrožené identifikace a ověřování

• Běžné problémy s ověřováním.
• Bezpečné strategie ověřování, jako jsou vícefaktorová autentizace a správné zpracování relací.

Bezpečnostní selhání softwaru a dat

• Zaměření na problémy, jako jsou nebezpečné aktualizace softwaru a poškození dat.
• Bezpečná mechanizmy pro aktualizace a kontrolu integrity dat.

Bezpečnostní selhání protokolování a monitorování

• Důležitost protokolování bezpečnostně relevantních informací a monitorování podezřelé aktivity.
• Nástroje a osvědčené postupy pro správné protokolování a v reálném čase sledování k detekci útoků co nejdříve.

Server-Side Request Forgery (SSRF)

• Vysvětlení, jak útočníci využívají zranitelnosti SSRF k přístupu ke vnitřním systémům.
• Taktiky zmírňování, včetně správné validace vstupů a konfigurace firewallů.

Osvědčené postupy a bezpečné kódování

• Komplexní diskuse o osvědčených postupech pro bezpečné kódování.
• Nástroje pro detekci zranitelností.

Shrnutí a další kroky