Tack för att du skickade din fråga! En av våra teammedlemmar kontaktar dig snart.
Tack för att du skickade din bokning! En av våra teammedlemmar kontaktar dig snart.
Kursplan
A01:2025 - Broken Access Control
A02:2025 - Security Misconfiguration
A03:2025 - Software Supply Chain Failures
A04:2025 - Cryptographic Failures
A05:2025 - Injection
A06:2025 - Insecure Design
A07:2025 - Authentication Failures
A08:2025 - Software or Data Integrity Failures
A09:2025 - Security Logging and Alerting Failures
A10:2025 - Mishandling of Exceptional Conditions
A01:2025 Broken Access Control - Åtkomstkontroll håller fast vid principer så att användare inte kan agera utanför sina avsedda behörigheter. Misslyckanden leder vanligtvis till obehörig informationsdisclosure, ändring eller förstörelse av all data, eller utförande av en affärsfunktion utanför användarens gränser.
A02:2025 Security Misconfiguration - Säkerhetsshälsning uppstår när ett system, program eller molntjänst är felaktigt konfigurerat från en säkerhetsperspektiv, vilket skapar sårbarheter.
A03:2025 Software Supply Chain Failures - Programvaruförsörjningskedjebrister är problem eller andra kompromisser i processen för att bygga, distribuera eller uppdatera programvara. De orsakas ofta av sårbarheter eller maliciös ändring i tredje parts kod, verktyg eller andra beroenden som systemet litar på.
A04:2025 Cryptographic Failures - Generellt sett bör all data under överföring krypteras på transportlagret (OSI-lager 4). Tidigare hinder som CPU-prestanda och hantering av privata nycklar/certifikat hanteras nu av processorer med instruktioner designade för att accelerera kryptering (t.ex. AES-stöd) och privat nyckel- och certifikathantering förenklades genom tjänster som LetsEncrypt.org, med större molnutvecklare som tillhandahåller ännu mer integrerade certifikathanteringservices för sina specifika plattformar. Utöver att säkra transportlagret är det viktigt att fastställa vilka data som behöver kryptering i vila samt vilka data som behöver extra kryptering under överföring (på programvarulagret, OSI-lager 7). Till exempel kräver lösenord, kreditkortsnr, hälsojournaler, personliga uppgifter och företagshemligheter extra skydd, särskilt om dessa data faller under integritetslagar som EU:s General Data Protection Regulation (GDPR) eller regler som PCI Data Security Standard (PCI DSS).
A05:2025 Injection - En injectionsvulnerabilitet är ett systemfel som tillåter en angripare att infoga maliciös kod eller kommandon (som SQL- eller shellkod) i programmets inmatningsfält, vilket luras till att utföra koden eller kommandona som om det var en del av systemet. Detta kan leda till allvarliga konsekvenser.
A06:2025 Insecure Design - Osäker design är ett brett kategori representerande olika svagheter, uttryckta som “manglande eller ineffektiva kontrollutformning.” Osäker design är inte källan till alla andra Top Ten riskkategorier. Det finns en skillnad mellan osäker design och osäker implementering. Vi skiljer på designfel och implementeringsdefekter av ett resonemang, de har olika grundorsaker, inträffar vid olika tidpunkter i utvecklingsprocessen och har olika åtgärder. En säker design kan fortfarande ha implementeringsdefekter som leder till sårbarheter som kan utnyttjas. En osäker design kan inte korrigeras genom en perfekt implementation eftersom nödvändiga säkerhetskontroller aldrig skapats för att försvara mot specifika angrepp. Ett av faktorerna som bidrar till osäker design är bristen på affärssårbarhetprofiling inbyggd i den utvecklade programvaran eller systemet, och därmed misslyckandet med att fastställa vilken säkerhetsnivå som krävs.
A07:2025 Authentication Failures - När en angripare lyckas lura ett system till att erkänna en ogiltig eller felaktig användare som legitim, finns denna sårbarhet.
A08:2025 Software or Data Integrity Failures - Programvara och dataintegritetsproblem gäller kod och infrastruktur som inte skyddar mot ogiltig eller oanvändbar kod eller data som behandlas som betrodd och giltig. Ett exempel på detta är där ett program litar på plugins, bibliotek eller moduler från oanvändbara källor, lagringsplatser och content delivery networks (CDNs). En osäker CI/CD-pipeline utan konsumtion och tillhandahållande av programvaraintegritetkontroller kan införa potentiellt obehörad åtkomst, osäker eller maliciös kod, eller systemkompromiss. Ett annat exempel på detta är en CI/CD som hämtar kod eller artefakter från oanvändbara platser och/eller inte verifierar dem innan de används (genom att kontrollera signaturen eller liknande mekanism).
A09:2025 Security Logging & Alerting Failures - Utan loggning och övervakning kan angrepp och dataintrång inte upptäckas, och utan avisering är det mycket svårt att reagera snabbt och effektivt under ett säkerhetsincident. Oadekvat loggning, kontinuerlig övervakning, detektion och avisering för att initiera aktiva svar inträffar när som helst
A10:2025 Mishandling of Exceptional Conditions - Felhantering av extraordinära situationer i programvara inträffar när program misslyckas med att förebygga, upptäcka och reagera på ovanliga och okända situationer, vilket leder till krascher, oväntat beteende och ibland sårbarheter. Detta kan involvera en eller flera av följande tre brister; programmet hindrar inte att en extraordinär situation inträffar, det identifierar inte situationen som den pågår, och/eller det reagerar dåligt eller inte alls på situationen efteråt.
Vi kommer att diskutera och presentera praktiska aspekter av:
Broken Access Control
- Praktiska exempel på brytningar i åtkomstkontroll
- Säkra åtkomstkontroller och bästa praxis
Security Misconfiguration
- Exempel från verkligheten på misconfigurations
- Steg för att förebygga misconfiguration, inklusive konfigurationshantering och automatiseringsverktyg
Cryptographic Failures
- Djupgående analys av kryptografiska misslyckanden som svaga krypteringsalgoritmer eller felaktig nyckelhantering
- Viktigheten av starka kryptografiska mekanismer, säkra protokoll (SSL/TLS), och exempel på modern kryptografi i webbsäkerhet
Injection Attacks
- Djupgående genombrott av SQL, NoSQL, OS- och LDAP-injectioner
- Mitigeringsmetoder med förberedda instruktioner, parametriserade frågor och escaping av inmatningar
Insecure Design
- Vi kommer att utforska designfel som kan leda till sårbarheter, som felaktig inmatningsvalidering
- Vi kommer att studera strategier för säker arkitektur och säkra designprinciper
Authentication Failures
- Vanliga autentiseringsproblem
- Säkra autentiseringsstrategier, som multifaktorautentisering och korrekt sessionshantering
Software and Data Integrity Failures
- Fokus på problem som oanvändbara programuppdateringar och datamanipulation
- Säkra uppdateringsmekanismer och dataintegritetskontroller
Security Logging and Monitoring Failures
- Viktigheten av att logga säkerhetssamt relevant information och övervaka misstänkta aktiviteter
- Verktyg och metoder för korrekt loggning och realtidsovervakning för att upptäcka intrång tidigt
Krav
- Allmän kunskap om webbutvecklingscykeln
- Erfarenhet av webbapplikationsutveckling och säkerhet
Målgrupp
- Webbutvecklare
- Ledare
14 Timmar
Vittnesmål (7)
mycket dynamisk och flexibel utbildning!
Valentina Giglio - Fincons SPA
Kurs - OWASP Top 10
Maskintolkat
Laboratorieövningar
Pietro Colonna - Fincons SPA
Kurs - OWASP Top 10
Maskintolkat
De interaktiva komponenterna och exempel.
Raphael - Global Knowledge
Kurs - OWASP Top 10
Maskintolkat
Praktisk tillvägagångssätt och tränar kunskap
RICARDO
Kurs - OWASP Top 10
Maskintolkat
Tränarens kunskap var fenomenal
Patrick - Luminus
Kurs - OWASP Top 10
Maskintolkat
övningar, även om de ligger utanför min bekvämlighetszon.
Nathalie - Luminus
Kurs - OWASP Top 10
Maskintolkat
Instruktören är mycket informativ och känner verkligen till ämnet
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Kurs - OWASP Top 10
Maskintolkat
