Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Schița de curs
Introducere
- Prezentare generală a OWASP, scopul și importanța sa în securitatea web
- Explicația listei OWASP Top 10
- A01:2021-Broken Access Control urcă de pe poziția a cincea; 94% dintre aplicații au fost testate pentru o formă de control al accesului încălcat. Cele 34 de enumerații comune ale slăbiciunilor (CWE) asociate controlului încălcat Access au avut mai multe apariții în aplicații decât orice altă categorie.
- A02:2021-Cryptographic Failures (Eșecuri criptografice ) avansează cu o poziție, ajungând pe locul 2, cunoscută anterior ca Sensitive Data Exposure (Expunere la date sensibile), care era mai degrabă un simptom larg decât o cauză principală. Accentul reînnoit aici se pune pe eșecurile legate de criptografie, care conduc adesea la expunerea datelor sensibile sau la compromiterea sistemului.
- A03:2021-Injecție coboară pe poziția a treia. 94% dintre aplicații au fost testate pentru o formă sau alta de injecție, iar cele 33 de CWE incluse în această categorie sunt pe locul al doilea în ceea ce privește numărul de apariții în aplicații. Cross-site Scripting face acum parte din această categorie în această ediție.
- A04:2021 - Proiectare nesigură este o nouă categorie pentru 2021, cu accent pe riscurile legate de defectele de proiectare. Dacă dorim cu adevărat să "ne îndreptăm spre stânga" ca industrie, este nevoie de o mai mare utilizare a modelării amenințărilor, a modelelor și principiilor de proiectare sigură și a arhitecturilor de referință.
- A05:2021-Security Misconfiguration urcă de pe locul 6 în ediția anterioară; 90% din aplicații au fost testate pentru o formă de configurare greșită. Având în vedere că tot mai multe aplicații software sunt foarte configurabile, nu este surprinzător să vedem că această categorie crește. Fosta categorie pentru XML Entități externe (XXE) face acum parte din această categorie.
- A06:2021-Componente vulnerabile și învechite a fost intitulată anterior Utilizarea componentelor cu vulnerabilități cunoscute și ocupă locul 2 în Top 10 al sondajului comunității, dar a avut și suficiente date pentru a intra în Top 10 prin analiza datelor. Această categorie urcă de pe locul 9 în 2017 și este o problemă cunoscută pe care ne străduim să o testăm și să evaluăm riscul. Este singura categorie care nu are nicio Vulnerabilitate și expunere comună (CVE) asociată cu CWE-urile incluse, astfel încât un exploit implicit și ponderi de impact de 5,0 sunt luate în considerare în scorurile lor.
- A07:2021-Identification and Authentication Failures a fost anterior Broken Authentication și coboară de pe poziția a doua, incluzând acum CWE care sunt mai mult legate de eșecurile de identificare. Această categorie este încă o parte integrantă a Top 10, dar disponibilitatea crescută a cadrelor standardizate pare să ajute.
- A08:2021-Software and Data Integrity Failures (Eșecuri de integritate a software-ului și a datelor ) este o nouă categorie pentru 2021, axată pe formularea de ipoteze legate de actualizările software, datele critice și conductele CI/CD fără verificarea integrității. Unul dintre cele mai ponderate impacturi din datele Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) a fost mapat la cele 10 CWE din această categorie. Deserializarea nesigură din 2017 face acum parte din această categorie mai mare.
- A09:2021-Security Logging and Monitoring Failures a fost anterior Insufficient Logging & Monitoring și este adăugată din sondajul industriei (#3), urcând de la #10 anterior. Această categorie este extinsă pentru a include mai multe tipuri de eșecuri, este dificil de testat și nu este bine reprezentată în datele CVE/CVSS. Cu toate acestea, eșecurile din această categorie pot avea un impact direct asupra vizibilității, avertizării incidentelor și expertizei criminalistice.
- A10:2021-Server-Side Request Forgery este adăugat din sondajul comunității Top 10 (#1). Datele arată o rată de incidență relativ scăzută cu o acoperire de testare peste medie, împreună cu evaluări peste medie pentru potențialul de exploatare și impact. Această categorie reprezintă scenariul în care membrii comunității de securitate ne spun că acest lucru este important, chiar dacă nu este ilustrat în date în acest moment.
Control Access întrerupt
- Exemple practice de controale de acces defectuoase
- Controale de acces securizate și bune practici
Eșecuri criptografice
- Analiza detaliată a eșecurilor criptografice, cum ar fi algoritmii de criptare slabi sau gestionarea necorespunzătoare a cheilor
- Importanța mecanismelor criptografice puternice, a protocoalelor sigure (SSL/TLS) și exemple de criptografie modernă în securitatea web
Atacuri de injectare
- Defalcarea detaliată a injecțiilor SQL, NoSQL, OS și LDAP
- Tehnici de atenuare folosind declarații pregătite, interogări parametrizate și scăparea intrărilor
Proiectare nesigură
- Explorarea defectelor de proiectare care pot conduce la vulnerabilități, cum ar fi validarea necorespunzătoare a intrărilor
- Strategii pentru arhitectura sigură și principii de proiectare sigură
Configurarea greșită a securității
- Exemple din lumea reală de configurări greșite
- Pași de prevenire a configurării eronate, inclusiv instrumente de gestionare a configurației și de automatizare
Componente vulnerabile și învechite
- Identificarea riscurilor de utilizare a bibliotecilor și cadrelor vulnerabile
- Cele mai bune practici pentru gestionarea dependențelor și actualizări
Eșecuri de identificare și autentificare
- Probleme comune de autentificare
- Strategii sigure de autentificare, cum ar fi autentificarea cu mai mulți factori și gestionarea corectă a sesiunilor
Eșecuri privind integritatea software-ului și a datelor
- Accent pe probleme precum actualizările de software care nu prezintă încredere și falsificarea datelor
- Mecanisme sigure de actualizare și verificări ale integrității datelor
Eșecuri ale înregistrării și monitorizării securității
- Importanța înregistrării informațiilor relevante pentru securitate și monitorizarea activităților suspecte
- Instrumente și practici pentru înregistrarea corespunzătoare și monitorizarea în timp real pentru detectarea timpurie a încălcărilor
Server-Side Request Forgery (SSRF)
- Explicarea modului în care atacatorii exploatează vulnerabilitățile SSRF pentru a accesa sistemele interne
- Tactici de atenuare, inclusiv validarea corectă a intrărilor și configurarea firewall-urilor
Cele mai bune practici și codarea sigură
- Discuție cuprinzătoare privind cele mai bune practici pentru codarea sigură
- Instrumente pentru detectarea vulnerabilităților
Rezumat și pași următori
Cerințe
- O înțelegere generală a ciclului de viață al dezvoltării web
- Experiență în dezvoltarea și securitatea aplicațiilor web
Audiență
- Dezvoltatorii web
- Liderii
14 ore
Mărturii (7)
Abordare practică și cunoștințe de formator
RICARDO
Curs - OWASP Top 10
Tradus de catre o masina
Cunoștințele trainerului au fost fenomenale
Patrick - Luminus
Curs - OWASP Top 10
Tradus de catre o masina
exerciții, chiar dacă sunt în afara zonei mele de confort.
Nathalie - Luminus
Curs - OWASP Top 10
Tradus de catre o masina
Formatorul este foarte informativ și cunoaște cu adevărat subiectul
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curs - OWASP Top 10
Tradus de catre o masina
Trainor este într-adevăr un expert pe această temă.
Reynold - SGL Manila (Shared Service Center) Inc.
Curs - OWASP Top 10
Tradus de catre o masina
Laborator practic de obținere a unui shell de la o mașină atacată
Catalin
Curs - OWASP Top 10
Tradus de catre o masina
Stilul ușor pentru explicații tehnice.
Adriana Moga
Curs - OWASP Top 10
Tradus de catre o masina
