OWASP Top 10 Training Course

Εισαγωγή

• Επισκόπηση του OWASP, του σκοπού του και της σημασίας του στην ασφάλεια ιστού
• Επεξήγηση της λίστας OWASP Top 10
  • A01:2021-Broken Access Ο έλεγχος ανεβαίνει από την πέμπτη θέση. Το 94% των εφαρμογών δοκιμάστηκαν για κάποια μορφή σπασμένου ελέγχου πρόσβασης. Οι 34 Common Weakness Enumerations (CWE) που αντιστοιχίστηκαν στο Broken Access Control είχαν περισσότερες εμφανίσεις σε εφαρμογές από οποιαδήποτε άλλη κατηγορία.
  • A02:2021-Οι κρυπτογραφικές αποτυχίες μετατοπίζονται μία θέση προς τα πάνω στο #2, παλαιότερα γνωστό ως Έκθεση ευαίσθητων δεδομένων, το οποίο ήταν γενικό σύμπτωμα και όχι βασική αιτία. Η ανανεωμένη εστίαση εδώ είναι σε αστοχίες που σχετίζονται με την κρυπτογραφία, οι οποίες συχνά οδηγούν σε έκθεση ευαίσθητων δεδομένων ή σε συμβιβασμό του συστήματος.
  • A03:2021-Η ένεση ολισθαίνει προς τα κάτω στην τρίτη θέση. Το 94% των εφαρμογών δοκιμάστηκαν για κάποια μορφή έγχυσης και τα 33 CWE που αντιστοιχίζονται σε αυτήν την κατηγορία έχουν τις δεύτερες περισσότερες εμφανίσεις σε εφαρμογές. Η δέσμη ενεργειών μεταξύ τοποθεσιών αποτελεί πλέον μέρος αυτής της κατηγορίας σε αυτήν την έκδοση.
  • A04:2021-Insecure Design είναι μια νέα κατηγορία για το 2021, με έμφαση στους κινδύνους που σχετίζονται με ελαττώματα σχεδιασμού. Εάν θέλουμε πραγματικά να «μετακομίσουμε αριστερά» ως κλάδος, απαιτεί περισσότερη χρήση μοντελοποίησης απειλών, ασφαλών μοτίβων και αρχών σχεδιασμού και αρχιτεκτονικών αναφοράς.
  • A05:2021-Η εσφαλμένη ρύθμιση παραμέτρων ασφαλείας αυξάνεται από το #6 στην προηγούμενη έκδοση. Το 90% των εφαρμογών δοκιμάστηκαν για κάποια μορφή εσφαλμένης διαμόρφωσης. Με περισσότερες αλλαγές σε λογισμικό υψηλής διαμόρφωσης, δεν αποτελεί έκπληξη να βλέπουμε αυτήν την κατηγορία να ανεβαίνει. Η προηγούμενη κατηγορία για XML Εξωτερικές Οντότητες (XXE) αποτελεί πλέον μέρος αυτής της κατηγορίας.
  • A06:2021-Τα ευάλωτα και ξεπερασμένα στοιχεία ονομαζόταν προηγουμένως Χρήση στοιχείων με γνωστά τρωτά σημεία και είναι το #2 στην έρευνα της κοινότητας των 10 κορυφαίων, αλλά είχε επίσης αρκετά δεδομένα για να μπει στο Top 10 μέσω ανάλυσης δεδομένων. Αυτή η κατηγορία ανεβαίνει από το #9 το 2017 και είναι ένα γνωστό ζήτημα που παλεύουμε να δοκιμάσουμε και να αξιολογήσουμε τον κίνδυνο. Είναι η μόνη κατηγορία που δεν έχει καμία κοινή ευπάθεια και έκθεση (CVE) αντιστοιχισμένη στα συμπεριλαμβανόμενα CWE, επομένως μια προεπιλεγμένη εκμετάλλευση και βάρη αντίκτυπου 5,0 λαμβάνονται υπόψη στις βαθμολογίες τους.
  • A07:2021-Αποτυχίες αναγνώρισης και ελέγχου ταυτότητας ήταν προηγουμένως Κατεστραμμένος έλεγχος ταυτότητας και ολισθαίνει από τη δεύτερη θέση και τώρα περιλαμβάνει CWE που σχετίζονται περισσότερο με αποτυχίες αναγνώρισης. Αυτή η κατηγορία εξακολουθεί να αποτελεί αναπόσπαστο μέρος του Top 10, αλλά η αυξημένη διαθεσιμότητα τυποποιημένων πλαισίων φαίνεται να βοηθά.
  • A08:2021-Αστοχίες ακεραιότητας λογισμικού και δεδομένων είναι μια νέα κατηγορία για το 2021, η οποία εστιάζει στη δημιουργία υποθέσεων σχετικά με ενημερώσεις λογισμικού, κρίσιμα δεδομένα και αγωγούς CI/CD χωρίς επαλήθευση της ακεραιότητας. Ένας από τους υψηλότερους σταθμισμένους αντίκτυπους από τα δεδομένα Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) που έχουν αντιστοιχιστεί στα 10 CWE αυτής της κατηγορίας. Το Insecure Deserialization από το 2017 είναι πλέον μέρος αυτής της μεγαλύτερης κατηγορίας.
  • A09:2021-Αποτυχίες καταγραφής και παρακολούθησης ασφαλείας ήταν στο παρελθόν Ανεπαρκής καταγραφή και παρακολούθηση και προστέθηκε από την έρευνα του κλάδου (#3), ανεβαίνοντας από το #10 προηγουμένως. Αυτή η κατηγορία επεκτείνεται για να περιλαμβάνει περισσότερους τύπους αστοχιών, είναι δύσκολο να δοκιμαστεί και δεν εκπροσωπείται καλά στα δεδομένα CVE/CVSS. Ωστόσο, οι αστοχίες σε αυτήν την κατηγορία μπορούν να επηρεάσουν άμεσα την ορατότητα, την ειδοποίηση συμβάντων και την εγκληματολογία.
  • A10:2021-Πλάστηση αιτημάτων από την πλευρά του διακομιστή προστίθεται από την έρευνα κοινότητας Top 10 (#1). Τα δεδομένα δείχνουν ένα σχετικά χαμηλό ποσοστό επίπτωσης με κάλυψη δοκιμών άνω του μέσου όρου, μαζί με αξιολογήσεις άνω του μέσου όρου για το δυναμικό Exploit και Impact. Αυτή η κατηγορία αντιπροσωπεύει το σενάριο όπου τα μέλη της κοινότητας ασφαλείας μας λένε ότι αυτό είναι σημαντικό, παρόλο που δεν φαίνεται στα δεδομένα αυτήν τη στιγμή.

Χαλασμένος Access Έλεγχος

• Πρακτικά παραδείγματα σπασμένων στοιχείων ελέγχου πρόσβασης
• Ασφαλείς έλεγχοι πρόσβασης και βέλτιστες πρακτικές

Κρυπτογραφικές αποτυχίες

• Λεπτομερής ανάλυση κρυπτογραφικών αστοχιών όπως αδύναμοι αλγόριθμοι κρυπτογράφησης ή ακατάλληλη διαχείριση κλειδιών
• Σημασία ισχυρών κρυπτογραφικών μηχανισμών, ασφαλών πρωτοκόλλων (SSL/TLS) και παραδειγμάτων σύγχρονης κρυπτογραφίας στην ασφάλεια ιστού

Επιθέσεις με ένεση

• Λεπτομερής ανάλυση των SQL, NoSQL, OS και LDAP injection
• Τεχνικές μετριασμού με χρήση προετοιμασμένων δηλώσεων, παραμετροποιημένων ερωτημάτων και εισροών διαφυγής

Ανασφαλής Σχεδιασμός

• Διερεύνηση ελαττωμάτων σχεδιασμού που μπορεί να οδηγήσουν σε τρωτά σημεία, όπως ακατάλληλη επικύρωση εισόδου
• Στρατηγικές για ασφαλή αρχιτεκτονική και αρχές ασφαλούς σχεδιασμού

Λανθασμένη διαμόρφωση ασφαλείας

• Πραγματικά παραδείγματα εσφαλμένων διαμορφώσεων
• Βήματα για την αποτροπή εσφαλμένης διαμόρφωσης, συμπεριλαμβανομένων εργαλείων διαχείρισης διαμόρφωσης και αυτοματισμού

Ευάλωτα και ξεπερασμένα στοιχεία

• Προσδιορισμός κινδύνων από τη χρήση ευάλωτων βιβλιοθηκών και πλαισίων
• Βέλτιστες πρακτικές για τη διαχείριση εξαρτήσεων και ενημερώσεις

Αποτυχίες αναγνώρισης και ελέγχου ταυτότητας

• Συνήθη ζητήματα ελέγχου ταυτότητας
• Ασφαλείς στρατηγικές ελέγχου ταυτότητας, όπως έλεγχος ταυτότητας πολλαπλών παραγόντων και σωστός χειρισμός περιόδου σύνδεσης

Αποτυχίες ακεραιότητας λογισμικού και δεδομένων

• Εστιάστε σε ζητήματα όπως μη αξιόπιστες ενημερώσεις λογισμικού και παραβίαση δεδομένων
• Μηχανισμοί ασφαλούς ενημέρωσης και έλεγχοι ακεραιότητας δεδομένων

Αποτυχίες καταγραφής και παρακολούθησης ασφαλείας

• Σημασία της καταγραφής πληροφοριών που σχετίζονται με την ασφάλεια και της παρακολούθησης για ύποπτες δραστηριότητες
• Εργαλεία και πρακτικές για σωστή καταγραφή και παρακολούθηση σε πραγματικό χρόνο για τον έγκαιρο εντοπισμό παραβιάσεων

Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF)

• Επεξήγηση του τρόπου με τον οποίο οι εισβολείς εκμεταλλεύονται τα τρωτά σημεία SSRF για να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα
• Τακτικές μετριασμού, συμπεριλαμβανομένης της κατάλληλης επικύρωσης εισόδου και διαμορφώσεων τείχους προστασίας

Βέλτιστες πρακτικές και ασφαλής κωδικοποίηση

• Ολοκληρωμένη συζήτηση για τις βέλτιστες πρακτικές για ασφαλή κωδικοποίηση
• Εργαλεία για τον εντοπισμό ευπάθειας

Περίληψη και Επόμενα Βήματα