OWASP Top 10 Képzés

Bevezetés

• A OWASP áttekintése, célja és jelentősége a webbiztonságban
• A OWASP Top 10 lista magyarázata
  • A01:2021-Broken Access Az irányítás feljebb kerül az ötödik pozícióból; Az alkalmazások 94%-át tesztelték valamilyen hibás hozzáférés-szabályozás miatt. A Broken Access Controlhoz leképezett 34 Common Weakness Enumerations (CWE) több előfordulást mutatott az alkalmazásokban, mint bármely más kategóriában.
  • A02:2021 – A kriptográfiai hibák egy pozícióval feljebb, a 2. helyre tolódik, korábban érzékeny adatoknak való kitettségként ismert, amely inkább általános tünet volt, semmint kiváltó ok. Itt ismét a kriptográfiával kapcsolatos hibák állnak a középpontban, amelyek gyakran érzékeny adatokhoz vagy a rendszer kompromittálásához vezetnek.
  • A03:2021 – A befecskendezés lecsúszik a harmadik pozícióba. Az alkalmazások 94%-át valamilyen injekciós formára tesztelték, és az ebbe a kategóriába sorolt 33 CWE-nél a második legtöbb előfordulás az alkalmazásokban. A webhelyek közötti szkriptelés ebben a kiadásban most ebbe a kategóriába tartozik.
  • A04:2021 – A Bizonytalan tervezés egy új kategória 2021-ben, amely a tervezési hibákkal kapcsolatos kockázatokra összpontosít. Ha valóban „balra akarunk lépni” iparágként, akkor a fenyegetésmodellezés, a biztonságos tervezési minták és elvek, valamint a referenciaarchitektúrák fokozottabb használatára van szükség.
  • A05:2021 – A biztonsági hibás konfiguráció feljebb lép az előző kiadás 6. helyéről; Az alkalmazások 90%-át tesztelték valamilyen hibás konfiguráció miatt. A nagymértékben konfigurálható szoftverekre való több átállással nem meglepő, hogy ez a kategória feljebb kerül. Az XML külső entitások (XXE) korábbi kategóriája most ennek a kategóriának a része.
  • Az A06:2021-Sebezhető és elavult összetevők korábban az Ismert sérülékenységgel rendelkező komponensek használata címet viselték, és a 2. helyen áll a Top 10 közösségi felmérésben, de elegendő adattal rendelkezett ahhoz, hogy az adatelemzés révén a Top 10-be kerüljön. Ez a kategória a 2017-es 9. helyről feljebb lépett, és egy ismert probléma, amelynek tesztelésével és kockázatértékelésével küzdünk. Ez az egyetlen kategória, amelynél nincs általános sebezhetőség és kitettség (CVE) leképezve a benne foglalt CWE-khez, így az alapértelmezett 5.0-s kihasználási és behatási súlyokat beleszámítják a pontszámokba.
  • Az A07:2021-Identification and Authentication Failures korábban Broken Authentication volt, és a második pozícióról lefelé csúszik, és most olyan CWE-ket tartalmaz, amelyek inkább az azonosítási hibákhoz kapcsolódnak. Ez a kategória továbbra is a Top 10 szerves része, de a szabványosított keretrendszerek megnövekedett elérhetősége segíteni látszik.
  • Az A08:2021-Szoftver- és adatintegritási hibák egy új kategória 2021-re, amely a szoftverfrissítésekkel, a kritikus adatokkal és a CI/CD-folyamatokkal kapcsolatos feltételezésekre összpontosít az integritás ellenőrzése nélkül. Az egyik legnagyobb súlyozott hatás a Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) adatokból a kategória 10 CWE-jére leképezve. A 2017-es Insecure Deserialization most ennek a nagyobb kategóriának a része.
  • Az A09:2021 – Biztonsági naplózási és megfigyelési hibák korábban elégtelen naplózás és megfigyelés volt, és az iparági felmérésből (3. számú) adták hozzá, feljebb lépve a korábbi 10. helyről. Ez a kategória kibővült, hogy több típusú meghibásodást is magában foglaljon, nehéz tesztelni, és nincs megfelelően képviselve a CVE/CVSS-adatokban. Az ebbe a kategóriába tartozó hibák azonban közvetlenül befolyásolhatják a láthatóságot, az események riasztását és a kriminalisztikai adatokat.
  • A10:2021 – Szerveroldali kérés-hamisítás került hozzáadásra a Top 10 közösségi felmérésből (#1). Az adatok viszonylag alacsony előfordulási arányt mutatnak az átlag feletti tesztelési lefedettséggel, valamint az Exploit and Impact potenciál átlag feletti értékelésével. Ez a kategória azt a forgatókönyvet képviseli, amikor a biztonsági közösség tagjai azt mondják nekünk, hogy ez fontos, bár ez jelenleg nem szerepel az adatokban.

Törött Access Vezérlés

• Gyakorlati példák hibás hozzáférés-vezérlésekre
• Biztonságos hozzáférés-szabályozás és bevált gyakorlatok

Kriptográfiai hibák

• A titkosítási hibák, például gyenge titkosítási algoritmusok vagy nem megfelelő kulcskezelés részletes elemzése
• Az erős kriptográfiai mechanizmusok, a biztonságos protokollok (SSL/TLS) és a modern kriptográfia példái a webbiztonságban

Injekciós támadások

• A SQL, NoSQL, az OS és az LDAP injekció részletes lebontása
• Mérséklő technikák előkészített utasítások, paraméterezett lekérdezések és menekülő bemenetek használatával

Bizonytalan tervezés

• Olyan tervezési hibák feltárása, amelyek sebezhetőséghez vezethetnek, például helytelen beviteli ellenőrzéshez
• A biztonságos építészet stratégiái és a biztonságos tervezési elvek

Biztonsági hibás konfiguráció

• Valós példák hibás konfigurációkra
• Lépések a hibás konfiguráció megelőzésére, beleértve a konfigurációkezelést és az automatizálási eszközöket

Sebezhető és elavult összetevők

• A sebezhető könyvtárak és keretrendszerek használatának kockázatainak azonosítása
• A függőségek kezelésének és frissítéseinek bevált gyakorlatai

Azonosítási és hitelesítési hibák

• Gyakori hitelesítési problémák
• Biztonságos hitelesítési stratégiák, például többtényezős hitelesítés és megfelelő munkamenet-kezelés

Szoftver- és adatintegritási hibák

• Koncentráljon az olyan problémákra, mint a nem megbízható szoftverfrissítések és az adatok manipulálása
• Biztonságos frissítési mechanizmusok és adatintegritás-ellenőrzések

Biztonsági naplózási és figyelési hibák

• A biztonság szempontjából releváns információk naplózásának és a gyanús tevékenységek megfigyelésének fontossága
• Eszközök és gyakorlatok a megfelelő naplózáshoz és a valós idejű megfigyeléshez a jogsértések korai észleléséhez

Szerveroldali kérelem-hamisítás (SSRF)

• Magyarázat arról, hogy a támadók hogyan használják ki az SSRF biztonsági réseit a belső rendszerek eléréséhez
• Mérséklő taktikák, beleértve a megfelelő bemeneti ellenőrzést és a tűzfal konfigurációkat

Bevált gyakorlatok és biztonságos kódolás

• Átfogó vita a biztonságos kódolás legjobb gyakorlatairól
• Eszközök a sebezhetőség észleléséhez

Összegzés és a következő lépések