OWASP Top 10 2025 Κομμάτι εκπαίδευσης

A01:2025 - Λεπτές Έλεγχος Πρόσβασης
A02:2025 - Μη Ασφαλής Διαμόρφωση
A03:2025 - Τεχνικές αποτυχίες του λογισμικού Supply Chain
A04:2025 - Κρυπτογραφικές Αποτυχίες
A05:2025 - Εισαγωγή (Injection)
A06:2025 - Μη Ασφαλής Σχεδιασμός
A07:2025 - Αποτυχίες Εξακρίβωσης
A08:2025 - Τεχνικές αποτυχίες του λογισμικού και δεδομένων Integrity
A09:2025 - Αποτυχίες Καταγραφής και Ειδοποιήσης ασφάλειας
A10:2025 - Μη Άμεση Διαχείριση Εξαιρετικών Συνθηκών

A01:2025 Λεπτές Έλεγχος Πρόσβασης - Ο έλεγχος πρόσβασης εξασφαλίζει την πολιτική ώστε οι χρήστες να μην δράσουν εκτός από τα προβλεπόμενα δικαιώματά τους. Οι αποτυχίες συνήθως οδηγούν σε μη εξουσιοδοτημένη έκτροχαλωση πληροφοριών, τροποποίηση ή καταστροφή όλων των δεδομένων, ή εκτέλεση επιχειρηματικής λειτουργίας εκτός των ορίων του χρήστη.

A02:2025 Μη Ασφαλής Διαμόρφωση - Η μη ασφαλής διαμόρφωση είναι όταν ένα σύστημα, εφαρμογή ή υπηρεσία cloud είναι παράβλεψη της ασφάλειας, δημιουργώντας κενά ασφαλείας.

A03:2025 Τεχνικές αποτυχίες του λογισμικού Supply Chain - Οι τεχνικές αποτυχίες του λογισμικού supply chain είναι κατάρρευσης ή άλλες παραβιάσεις στο διαδίκτυο ανάπτυξης, κατανομής ή ενημέρωσης λογισμικού. Συχνά προκαλούνται από κενά ασφαλείας ή δυσώνυμες αλλαγές σε τρίτα λογισμικά, εργαλεία ή άλλες εξαρτήσεις που το σύστημα καθοδηγεί.

A04:2025 Κρυπτογραφικές Αποτυχίες - Γενικά, όλα τα δεδομένα σε μεταφορά πρέπει να κρυπτογραφούνται στην επίπεδο μεταφοράς (OSI layer 4). Προηγούμενες δυσκολίες όπως το παρόν απόδοση CPU και το διαχείριση ατζέντ κλειδών/πιστοποιητικών έχουν εξαφανιστεί με τη χρήση CPUs που διαθέτουν οδηγίες σχεδιασμένες για την επιτάχυνση κρυπτογράφησης (π.χ., υποστήριξη AES) και με απλοϊκό διαχείριση ατζέντ και πιστοποιητικών από τις υπηρεσίες όπως η LetsEncrypt.org, με σημαντικούς παρόχους cloud να παρέχουν ακόμα πιο εξαρτήμενα υπηρεσίες διαχείρισης πιστοποιητικών για τις συγκεκριμένες πλατφόρμες τους. Πέρα από τη διασφάλιση της μεταφοράς, είναι σημαντικό να καθοριστεί ποια δεδομένα χρειάζεται κρυπτογράφηση σε ηρεμία, καθώς και τα δεδομένα που χρειάζεται εξαιρετική κρυπτογράφηση σε μεταφορά (στο επίπεδο εφαρμογής, OSI layer 7). Για παράδειγμα, passwords, καρτέλες πιστωτικών, ιατρικά αρχεία, προσωπικές πληροφορίες και επιχειρηματικά μυστικά χρειάζονται εξαιρετική προστασία, ιδιαίτερα αν τα δεδομένα αυτά είναι υπό νόμους απόρρητων, όπως η κανονισμός Γενικής Προστασίας Δεδομένων (GDPR) της ΕΕ, ή κανονισμούς όπως ο PCI Data Security Standard (PCI DSS).

A05:2025 Εισαγωγή - Η απειλή εισαγωγής είναι μια παράβλεψη συστήματος που επιτρέπει σε επιθετικό να εισαγάγει κακόβουλο κώδικα ή εντολές (όπως SQL ή shell code) στα πεδία εισόδου εφαρμογής, παραπλανώντας το σύστημα να εκτελέσει τον κώδικα ή τις εντολές ως αν μερικό που ανήκει στο σύστημα. Αυτό μπορεί να οδηγήσει σε πραγματικά δυστυχή επιπτώσεις.

A06:2025 Μη Ασφαλής Σχεδιασμός - Ο μη ασφαλής σχεδιασμός είναι μια γενική κατηγορία που αντιπροσωπεύει διάφορες αδυναμίες, εκφραζόμενες ως «χαμένη ή μη αποτελεσματική σχεδιασμός έλεγχου». Ο μη ασφαλής σχεδιασμός δεν είναι η πηγή όλων των κινδύνων OWASP Top 10. Σημειώνουμε ότι υπάρχει διαφορά μεταξύ ασφαλούς σχεδιασμού και ασφαλούς εκτέλεσης. Διακρίνουμε τα προβλήματα σχεδιασμού από τα λάθη υλοποίησης για να καταλάβουμε ότι έχουν διαφορετικές ρίζες, παρέχουν συγκεκριμένες ευκαιρίες και απαιτούν διαφορετικές διορθώσεις. Ένας ασφαλής σχεδιασμός μπορεί να πάρει λάθη υλοποίησης και να δημιουργήσει ευκαιρίες ανάπτυξης, οι οποίες μπορεί να εκμεταλλευτούνται. Ένας ασφαλής σχεδιασμός δεν μπορεί να διορθωθεί από την τέλεια υλοποίηση, καθώς οι αναγκαίες συστήματα προστασίας δεν δημιουργήθηκαν για να προστατέψουν εναντίον συγκεκριμένων απειλών. Ένας από τους παράγοντες που συμβάλλει στο μη ασφαλή σχεδιασμό είναι το ότι κατά την ανάπτυξη λογισμικού ή συστήματος, δεν εξασφαλίζεται η προσαρμογή κινδύνων απόρρητων του εργαστηρίου, και ως αποτέλεσμα δεν καθορίζεται ποια βαθμίδα σχεδιασμού ασφάλειας είναι απαραίτητη.

A07:2025 Αποτυχίες Εξακρίβωσης - Όταν ένας επιθετικός μπορεί να παραπλανήσει ένα σύστημα να αναγνωρίζει ένα μη κατάλληλο ή λανθασμένο χρήστη ως εξουσιοδοτημένο, παρατηρείται αυτή η απειλή.

A08:2025 Τεχνικές αποτυχίες του λογισμικού και δεδομένων Integrity - Οι τεχνικές αποτυχίες του λογισμικού και δεδομένων integrity σχετίζονται με κώδικα και υποδομή που δεν προστατεύει από άθελη ή άφιλη εμπιστοσύνης των δεδομένων, που θεωρούνται έγκυρα και αξιόπιστα. Για παράδειγμα, μια εφαρμογή που υποστηρίζει plugins, βιβλιοθήκες ή μονάδες από αξιόπιστες πηγές, ταπεινών και δικτύα παροχής περιεχομένου (CDNs). Ένα μη ασφαλής CI/CD pipeline χωρίς κατανάλωση και παροχή ελέγχων ακεραιότητας λογισμικού μπορεί να εισαγάγει την πιθανότητα απέναντι στην άλλη πρόσβαση, κώδικα ή λογισμικού που δεν είναι αξιόπιστος. Για παράδειγμα, μια CI/CD που συλλέγει κώδικα ή αντικείμενα από ταπεινές πηγές και/ή δεν τα επαληθεύει πριν από χρήση (με δοκιμαστική αξιολόγηση ή μηχανισμοί).

A09:2025 Αποτυχίες Καταγραφής και Ειδοποιήσης ασφάλειας - Χωρίς καταγραφή και παρακολούθηση, οι επιθέσεις και η δυνατότητα αποδότησης δεν μπορούν να ανιχνευτούν, και χωρίς ειδοποίηση είναι πολύ δύσκολο να απαντήσετε γρήγορα και αποτελεσματικά κατά τη διάρκεια ενός περιστατικού ασφάλειας. Η ανεπαρκής καταγραφή, συνεχής παρακολούθηση, ανίχνευση και ειδοποίηση για να ξεκινήσουν δράσεις υφίσταται σε πολλές περιπτώσεις.

A10:2025 Μη Άμεση Διαχείριση Εξαιρετικών Συνθηκών - Η μη άμεση διαχείριση εξαιρετικών συνθηκών του λογισμικού γίνεται όταν προγράμματα αποτυγχάνουν να εμποδίσουν, ανιχνεύσουν και να ανταποκριθούν σε απρόβλεπτες και άπροσδόκητες συνθήκες, που μπορεί να οδηγήσει σε τέσσερα ελάττωμα: το λογισμικό δεν εμποδίζει μια απρόβλεπτη συνθήκη, δεν αναγνωρίζει τη συνθήκη καθώς αυτή προκύπτει, ή/και αντιδρά χαλάρως ή μη ριζικά στη συνθήκη.

Θα συζητήσουμε και παρουσιάσουμε τα πρακτικά πλευρές των:

Λεπτές Έλεγχος Πρόσβασης
- Πρακτικές παραδείγματα λεπτών ελέγχων πρόσβασης
- Ασφαλής έλεγχος πρόσβασης και καλές πρακτικές

Μη Ασφαλής Διαμόρφωση
- Πραγματικά παραδείγματα διαμόρφωσης λαθών
- Βήματα για να αποφευχθεί μη ασφαλής διαμόρφωση, συμπεριλαμβανομένων των εργαλείων διαχείρισης και αυτομάτου χειρισμού διαμόρφωσης

Κρυπτογραφικές Αποτυχίες
- Λεπτομερής ανάλυση κρυπτογραφικών αποτυχιών όπως αδύναμες αλγόριθμοι κρυπτογράφησης ή ελαττωματική διαχείριση κλειδών - Σημασία των ασφαλών κρυπτογραφικών μηχανισμών, σταθερά πρωτόκολλα (SSL/TLS), και παραδείγματα σύγχρονης κρυπτογραφίας στην ασφάλεια web

Εισαγωγή
- Λεπτομερής ανάλυση SQL, NoSQL, OS και LDAP injection - Μέτρα μείωσης χρησιμοποιώντας προετοιμασμένες δηλώσεις, parametrized queries και εξάλειψη εισόδου

Μη Ασφαλής Σχεδιασμός
- Θα εξερευνήσουμε σχεδιαστικά λάθη που μπορεί να οδηγήσουν σε ανεπάρκειες, όπως ελαττωματική επαλήθευση εισόδου - Θα μελετήσουμε στρατηγικές για ασφαλή αρχιτεκτονική και κανόνες ασφαλούς σχεδιασμού

Αποτυχίες Εξακρίβωσης
- Κοινές προβλήματα εξακρίβωσης - Στρατηγικές ασφαλούς εξακρίβωσης, όπως η πολυστάδια εξακρίβωση και σωστή διαχείριση session

Τεχνικές αποτυχίες του λογισμικού και δεδομένων Integrity
- Έμφαση σε προβλήματα όπως μη αξιόπιστες ενημερώσεις λογισμικού και τροποποίηση δεδομένων - Ασφαλή μηχανισμοί αναβάθμισης και ελέγχου ακεραιότητας δεδομένων

Αποτυχίες Καταγραφής και Παρακολούθησης ασφάλειας
- Σημασία της καταγραφής συνδεδεμένων πληροφοριών ασφάλειας και μετρήσεων για ύποπτες δραστηριότητες - Εργαλεία και πρακτικές για κατάλληλη καταγραφή και αντίδραση σε πραγματικό χρόνο για να ανιχνευθούν παραβιάσεις από τώρα