OWASP Top 10 Träningskurs

Introduktion

• Översikt över OWASP, dess syfte och betydelse inom webbsäkerhet
• Förklaring av OWASP Top 10-listan
  • A01:2021-Broken Access Control flyttas upp från femte plats; 94% av applikationerna testades för någon form av bruten åtkomstkontroll. De 34 Common Weakness Enumerations (CWEs) som kopplades till Broken Access Control hade fler förekomster i applikationer än någon annan kategori.
  • A02:2021-Cryptographic Failures flyttas upp ett steg till plats #2, tidigare känt som Sensitive Data Exposure, som var ett bredare symptom än en rotorsak. Fokus här är nu på misslyckanden relaterade till kryptografi som ofta leder till exponering av känslig data eller systemkompromiss.
  • A03:2021-Injection glider ner till tredje plats. 94% av applikationerna testades för någon form av injektion, och de 33 CWEs som kopplades till denna kategori har den näst högsta förekomsten i applikationer. Cross-site Scripting är nu en del av denna kategori i denna upplaga.
  • A04:2021-Insecure Design är en ny kategori för 2021, med fokus på risker relaterade till designfel. Om vi verkligen vill ”flytta till vänster” som en bransch, kräver det mer användning av hotmodellering, säkra designmönster och principer samt referensarkitekturer.
  • A05:2021-Security Misconfiguration flyttas upp från plats #6 i föregående upplaga; 90% av applikationerna testades för någon form av felkonfiguration. Med fler övergångar till högkonfigurerbar programvara är det inte överraskande att se denna kategori flytta upp. Den tidigare kategorin för XML External Entities (XXE) är nu en del av denna kategori.
  • A06:2021-Vulnerable and Outdated Components var tidigare titlad Using Components with Known Vulnerabilities och är #2 i Top 10 community-undersökningen, men hade också tillräckligt med data för att göra det till Top 10 via dataanalys. Denna kategori flyttas upp från plats #9 2017 och är ett känt problem som vi har svårt att testa och bedöma risk. Det är den enda kategorin som inte har några Common Vulnerability and Exposures (CVEs) kopplade till de inkluderade CWEs, så standardexploit och påverkningsvikter på 5,0 räknas in i deras poäng.
  • A07:2021-Identification and Authentication Failures var tidigare Broken Authentication och glider ner från andra plats och innefattar nu CWEs som är mer relaterade till identifieringsfel. Denna kategori är fortfarande en integrerad del av Top 10, men den ökade tillgängligheten av standardiserade ramverk tycks hjälpa.
  • A08:2021-Software and Data Integrity Failures är en ny kategori för 2021 och fokuserar på att göra antaganden om programuppdateringar, kritiska data och CI/CD-pipelines utan att verifiera integriteten. En av de högst vikta påverkningsdata från Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) som kopplas till de 10 CWEs i denna kategori. Insecure Deserialization från 2017 är nu en del av denna större kategori.
  • A09:2021-Security Logging and Monitoring Failures var tidigare Insufficient Logging & Monitoring och läggs till från branschundersökningen (#3), flyttas upp från plats #10 tidigare. Denna kategori utökas för att inkludera fler typer av fel, är svår att testa och är inte väl representerad i CVE/CVSS-data. Dock kan fel i denna kategori direkt påverka synlighet, incidentvarningar och forensik.
  • A10:2021-Server-Side Request Forgery läggs till från Top 10 community-undersökningen (#1). Data visar en relativt låg förekomstfrekvens med över genomsnittlig testtäckning, tillsammans med över genomsnittliga betyg för Exploit- och Impactpotential. Denna kategori representerar scenariot där säkerhetsgemenskapen berättar för oss att det här är viktigt, även om det inte illustreras i data för tillfället.

Broken Access Control

• Praktiska exempel på bruten åtkomstkontroll
• Säkra åtkomstkontroller och bästa praxis

Cryptographic Failures

• Detaljerad analys av kryptografiska fel såsom svaga krypteringsalgoritmer eller felaktig nyckelhantering
• Vikten av starka kryptografiska mekanismer, säkra protokoll (SSL/TLS) och exempel på modern kryptografi i webbsäkerhet

Injection Attacks

• Detaljerad uppdelning av SQL, NoSQL, OS och LDAP-injektion
• Åtgärdsmetoder med förberedda uttalanden, parametriserade frågor och att flytta inmatningar

Insecure Design

• Utforska designfel som kan leda till sårbarheter, som felaktig inmatningsvalidering
• Strategier för säker arkitektur och säkra designprinciper

Security Misconfiguration

• Verkliga exempel på felkonfigurationer
• Steg för att förhindra felkonfigurationer, inklusive konfigurationshantering och automatiseringsverktyg

Vulnerable and Outdated Components

• Identifiera risker med att använda sårbara bibliotek och ramverk
• Bäst praxis för beroendehantering och uppdateringar

Identification and Authentication Failures

• Vanliga autentiseringsproblem
• Säkra autentiseringsstrategier, som flerfaktorsautentisering och korrekt sessionshantering

Software and Data Integrity Failures

• Fokus på problem som oäkta programuppdateringar och datamanipulation
• Säkra uppdateringsmekanismer och dataintegritetskontroller

Security Logging and Monitoring Failures

• Vikten av att logga säkerhetsrelevant information och övervaka för misstänkta aktiviteter
• Verktyg och praxis för korrekt loggning och realtidsövervakning för att upptäcka intrång tidigt

Server-Side Request Forgery (SSRF)

• Förklaring av hur angripare utnyttjar SSRF-sårbarheter för att få åtkomst till interna system
• Åtgärdsmetoder, inklusive korrekt inmatningsvalidering och brandväggskonfigurationer

Best Practices and Secure Coding

• Omfattande diskussion om bästa praxis för säker kodning
• Verktyg för sårbarhetsupptäckt

Sammanfattning och nästa steg