OWASP Top 10 Träningskurs

Införandet

• Översikt över OWASP, dess syfte och betydelse inom webbsäkerhet
• Förklaring till OWASP Topp 10-listan
  • A01:2021-Bruten Access Kontrollen flyttas upp från den femte positionen; 94 % av applikationerna testades för någon form av trasig åtkomstkontroll. De 34 Common Weakness Enumerations (CWEs) som mappades till Broken Access Control hade fler förekomster i applikationer än någon annan kategori.
  • A02:2021-Cryptographic Failures flyttar upp en position till #2, tidigare känd som Sensitive Data Exposure, vilket var ett brett symptom snarare än en grundorsak. Det förnyade fokuset här ligger på fel relaterade till kryptografi, vilket ofta leder till exponering av känsliga data eller systemkompromettering.
  • A03:2021-Insprutningen glider ner till den tredje positionen. 94 % av applikationerna testades för någon form av injektion, och de 33 CWE:er som mappades in i denna kategori har näst flest förekomster i applikationer. Cross-site Scripting är nu en del av den här kategorin i den här utgåvan.
  • A04:2021-Osäker design är en ny kategori för 2021, med fokus på risker relaterade till designfel. Om vi verkligen vill "röra oss vänster" som bransch kräver det mer användning av hotmodellering, säkra designmönster och principer samt referensarkitekturer.
  • A05:2021-Säkerhetsfelkonfiguration flyttas upp från #6 i den tidigare utgåvan; 90 % av applikationerna testades för någon form av felkonfiguration. Med fler övergångar till mycket konfigurerbar programvara är det inte förvånande att se denna kategori röra sig uppåt. Den tidigare kategorin för XML Externa enheter (XXE) är nu en del av den här kategorin.
  • A06:2021-Sårbara och föråldrade komponenter hette tidigare Using Components with Known Vulnerabilities och är #2 i Top 10 community-undersökningen, men hade också tillräckligt med data för att ta sig till Top 10 via dataanalys. Den här kategorin går upp från #9 2017 och är ett känt problem som vi kämpar för att testa och bedöma risk för. Det är den enda kategorin som inte har några Common Vulnerability and Exposures (CVE:er) mappade till de inkluderade CWE:erna, så en standardexploatering och påverkansvikter på 5,0 tas med i deras poäng.
  • A07:2021 - Identifierings - och autentiseringsfel var tidigare bruten autentisering och glider ner från den andra positionen, och inkluderar nu CWE:er som är mer relaterade till identifieringsfel. Denna kategori är fortfarande en integrerad del av topp 10, men den ökade tillgängligheten av standardiserade ramverk verkar hjälpa.
  • A08:2021-Fel i programvaru- och dataintegritet är en ny kategori för 2021 som fokuserar på att göra antaganden relaterade till programuppdateringar, kritiska data och CI/CD-pipelines utan att verifiera integriteten.  En av de högst viktade effekterna från CVE/CVSS-data (Common Vulnerability and Exposures/Common Vulnerability Scoring System) som mappats till de 10 CWE:erna i den här kategorin. Osäker deserialisering från 2017 är nu en del av denna större kategori.
  • A09:2021 - Säkerhetsloggnings- och övervakningsfel var tidigare Otillräcklig loggning och övervakning och läggs till från branschundersökningen (#3), upp från #10 tidigare. Den här kategorin utökas till att omfatta fler typer av fel, är utmanande att testa för och är inte väl representerad i CVE/CVSS-data. Fel i den här kategorin kan dock direkt påverka synlighet, incidentaviseringar och kriminalteknik.
  • A10:2021-Förfalskning av begäran på serversidan läggs till från de 10 främsta communityundersökningarna (#1). Data visar en relativt låg incidens med en testtäckning över genomsnittet, tillsammans med betyg över genomsnittet för exploaterings- och påverkanspotential. Den här kategorin representerar det scenario där medlemmarna i säkerhetscommunityn berättar för oss att detta är viktigt, även om det inte illustreras i data just nu.

Bruten Access kontroll

• Praktiska exempel på trasiga åtkomstkontroller
• Säkra åtkomstkontroller och metodtips

Kryptografiska fel

• Detaljerad analys av kryptografiska fel, t.ex. svaga krypteringsalgoritmer eller felaktig nyckelhantering
• Vikten av starka kryptografiska mekanismer, säkra protokoll (SSL/TLS) och exempel på modern kryptografi inom webbsäkerhet

Injektionsattacker

• Detaljerad uppdelning av SQL, NoSQL, OS och LDAP injektion
• Riskreduceringstekniker med hjälp av förberedda instruktioner, parametriserade frågor och undantagna indata

Osäker design

• Utforska designfel som kan leda till sårbarheter, t.ex. felaktig validering av indata
• Strategier för säker arkitektur och säkra designprinciper

Felaktig konfiguration av säkerhet

• Verkliga exempel på felkonfigurationer
• Steg för att förhindra felkonfiguration, inklusive konfigurationshantering och automatiseringsverktyg

Sårbara och föråldrade komponenter

• Identifiera risker med att använda sårbara bibliotek och ramverk
• Metodtips för beroendehantering och uppdateringar

Identifierings- och autentiseringsfel

• Vanliga autentiseringsproblem
• Säkra autentiseringsstrategier, till exempel multifaktorautentisering och korrekt sessionshantering

Fel i programvara och dataintegritet

• Fokusera på problem som ej betrodda programuppdateringar och datamanipulering
• Säkra uppdateringsmekanismer och kontroller av dataintegritet

Fel vid säkerhetsloggning och övervakning

• Vikten av att logga säkerhetsrelevant information och övervaka misstänkta aktiviteter
• Verktyg och metoder för korrekt loggning och övervakning i realtid för att upptäcka intrång tidigt

Förfalskning av begäran på serversidan (SSRF)

• Förklaring av hur angripare utnyttjar SSRF-sårbarheter för att komma åt interna system
• Riskreduceringstaktik, inklusive korrekt validering av indata och brandväggskonfigurationer

Best Practices och säker kodning

• Omfattande diskussion om bästa praxis för säker kodning
• Verktyg för identifiering av sårbarheter

Sammanfattning och nästa steg