OWASP Top 10 2025 Κομμάτι εκπαίδευσης

A01:2025 - Broken Access Control
A02:2025 - Security Misconfiguration
A03:2025 - Software Supply Chain Failures
A04:2025 - Cryptographic Failures
A05:2025 - Injection
A06:2025 - Insecure Design
A07:2025 - Authentication Failures
A08:2025 - Software or Data Integrity Failures
A09:2025 - Security Logging and Alerting Failures
A10:2025 - Mishandling of Exceptional Conditions

A01:2025 Broken Access Control - Ο έλεγχος πρόσβασης επιβάλλει πολιτικές ώστε οι χρήστες να μην μπορούν να ενεργούν εκτός των προβλεπόμενων δικαιωμάτων τους. Οι αποτυχίες συνήθως οδηγούν σε μη εξουσιοδοτημένη αποκάλυψη πληροφοριών, τροποποίηση ή καταστροφή όλων των δεδομένων ή εκτέλεση επιχειρηματικής λειτουργίας εκτός των ορίων του χρήστη.

A02:2025 Security Misconfiguration - Η εσφαλμένη παραμετροποίηση ασφαλείας συμβαίνει όταν ένα σύστημα, μια εφαρμογή ή μια υπηρεσία cloud έχει ρυθμιστεί λανθασμένα από την άποψη της ασφάλειας, δημιουργώντας ευπάθειες.

A03:2025 Software Supply Chain Failures - Οι αστοχίες στην αλυσίδα εφοδιασμού λογισμικού είναι καταρρεύσεις ή άλλες παραβιάσεις στη διαδικασία δημιουργίας, διανομής ή ενημέρωσης λογισμικού. Συχνά προκαλούνται από ευπάθειες ή κακόβουλες αλλαγές σε κώδικα τρίτων, εργαλεία ή άλλες εξαρτήσεις στις οποίες βασίζεται το σύστημα.

A04:2025 Cryptographic Failures - Γενικά μιλώντας, όλα τα δεδομένα που μεταδίδονται θα πρέπει να κρυπτογραφούνται στο επίπεδο μεταφοράς (OSI layer 4). Προηγούμενα εμπόδια όπως η απόδοση της CPU και η διαχείριση ιδιωτικών κλειδιών/πιστοποιητικών αντιμετωπίζονται πλέον από CPU που διαθέτουν εντολές σχεδιασμένες να επιταχύνουν την κρυπτογράφηση (π.χ. υποστήριξη AES) και η διαχείριση ιδιωτικών κλειδιών και πιστοποιητικών απλοποιείται από υπηρεσίες όπως το LetsEncrypt.org, ενώ μεγάλοι πάροχοι cloud προσφέρουν ακόμα πιο στενά ενσωματωμένες υπηρεσίες διαχείρισης πιστοποιητικών για τις συγκεκριμένες πλατφόρμες τους. Πέρα από την ασφάλεια του επιπέδου μεταφοράς, είναι σημαντικό να καθοριστεί ποια δεδομένα χρειάζονται κρυπτογράφηση σε κατάσταση ηρεμίας καθώς και ποια δεδομένα χρειάζονται επιπλέον κρυπτογράφηση κατά τη μετάδοση (στο επίπεδο εφαρμογής, OSI layer 7). Για παράδειγμα, κωδικοί πρόσβασης, αριθμοί πιστωτικών καρτών, αρχεία υγείας, προσωπικές πληροφορίες και επιχειρηματικά μυστικά απαιτούν επιπλέον προστασία, ειδικά αν τα δεδομένα αυτά υπόκεινται σε νόμους περί προστασίας της ιδιωτικής ζωής, όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της ΕΕ, ή σε πρότυπα όπως το PCI Data Security Standard (PCI DSS).

A05:2025 Injection - Μια ευπάθεια έγχυσης είναι ένα ελάττωμα του συστήματος που επιτρέπει σε έναν επιτιθέμενο να εισάγει κακόβουλο κώδικα ή εντολές (όπως SQL ή κώδικα κελύφους) στα πεδία εισαγωγής ενός προγράμματος, ξεγελώντας το σύστημα ώστε να εκτελέσει τον κώδικα ή τις εντολές σαν να ήταν μέρος του συστήματος. Αυτό μπορεί να οδηγήσει σε πραγματικά τραγικές συνέπειες.

A06:2025 Insecure Design - Ο μη ασφαλής σχεδιασμός είναι μια ευρεία κατηγορία που αντιπροσωπεύει διαφορετικές αδυναμίες, οι οποίες εκφράζονται ως «ελλιπής ή αναποτελεσματικός σχεδιασμός ελέγχου». Ο μη ασφαλής σχεδιασμός δεν αποτελεί την πηγή για όλες τις άλλες κατηγορίες κινδύνου των Top Ten. Σημειώστε ότι υπάρχει διαφορά μεταξύ μη ασφαλούς σχεδιασμού και μη ασφαλούς υλοποίησης. Διαχωρίζουμε τα ελαττώματα σχεδιασμού από τα ελαττώματα υλοποίησης για κάποιον λόγο: έχουν διαφορετικές βασικές αιτίες, λαμβάνουν χώρα σε διαφορετικές χρονικές στιγμές κατά τη διαδικασία ανάπτυξης και έχουν διαφορετικές διορθώσεις. Ένας ασφαλής σχεδιασμός μπορεί ακόμα να έχει ελαττώματα υλοποίησης που οδηγούν σε ευπάθειες που μπορούν να αξιοποιηθούν. Ένας μη ασφαλής σχεδιασμός δεν μπορεί να διορθωθεί με μια τέλεια υλοποίηση, καθώς οι απαραίτητοι έλεγχοι ασφαλείας δεν δημιουργήθηκαν ποτέ για να αμυνθούν έναντι συγκεκριμένων επιθέσεων. Ένας από τους παράγοντες που συμβάλλει στον μη ασφαλή σχεδιασμό είναι η έλλειψη ανάλυσης επιχειρηματικού κινδύνου που ενυπάρχει στο λογισμικό ή το σύστημα που αναπτύσσεται, και συνεπώς η αποτυχία καθορισμού του απαιτούμενου επιπέδου σχεδιασμού ασφαλείας.

A07:2025 Authentication Failures - Όταν ένας επιτιθέμενος μπορεί να εξαπατήσει ένα σύστημα ώστε να αναγνωρίσει έναν μη έγκυρο ή λανθασμένο χρήστη ως νόμιμο, τότε υπάρχει αυτή η ευπάθεια.

A08:2025 Software or Data Integrity Failures - Οι αστοχίες ακεραιότητας λογισμικού ή δεδομένων αφορούν κώδικα και υποδομή που δεν προστατεύουν από μη έγκυρο ή μη αξιόπιστο κώδικα ή δεδομένα που αντιμετωπίζονται ως αξιόπιστα και έγκυρα. Ένα παράδειγμα είναι όταν μια εφαρμογή βασίζεται σε πρόσθετα (plugins), βιβλιοθήκες ή αρθρώματα (modules) από μη αξιόπιστες πηγές, αποθετήρια και δίκτυα παράδοσης περιεχομένου (CDNs). Μια μη ασφαλής γραμμή CI/CD χωρίς την κατανάλωση και παροχή ελέγχων ακεραιότητας λογισμικού μπορεί να εισάγει το ενδεχόμενο μη εξουσιοδοτημένης πρόσβασης, μη ασφαλούς ή κακόβουλου κώδικα ή παραβίασης του συστήματος. Ένα άλλο παράδειγμα είναι μια γραμμή CI/CD που αντλεί κώδικα ή artifacts από μη αξιόπιστα μέρη και/ή δεν τα επαληθεύει πριν από τη χρήση (ελέγχοντας την υπογραφή ή παρόμοιο μηχανισμό). 

A09:2025 Security Logging & Alerting Failures  - Χωρίς καταγραφή και παρακολούθηση, οι επιθέσεις και οι παραβιάσεις δεν μπορούν να εντοπιστούν, και χωρίς ειδοποίηση είναι πολύ δύσκολο να ανταποκριθεί κανείς γρήγορα και αποτελεσματικά κατά τη διάρκεια ενός περιστατικού ασφάλειας. Ανεπαρκής καταγραφή, συνεχής παρακολούθηση, ανίχνευση και ειδοποίηση για την έναρξη ενεργών αποκρίσεων συμβαίνει οποτεδήποτε...

A10:2025 Mishandling of Exceptional Conditions - Η εσφαλμένη διαχείριση εξαιρετικών συνθηκών στο λογισμικό συμβαίνει όταν τα προγράμματα αποτυγχάνουν να αποτρέψουν, να ανιχνεύσουν και να ανταποκριθούν σε ασυνήθιστες και απρόβλεπτες καταστάσεις, γεγονός που οδηγεί σε καταρρεύσεις, μη αναμενόμενη συμπεριφορά και μερικές φορές ευπάθειες. Αυτό μπορεί να περιλαμβάνει μία ή περισσότερες από τις ακόλουθες 3 αποτυχίες: η εφαρμογή δεν αποτρέπει μια ασυνήθιστη κατάσταση από το να συμβεί, δεν αναγνωρίζει την κατάσταση ενώ συμβαίνει και/ή ανταποκρίνεται ανεπαρκώς ή καθόλου στην κατάσταση στη συνέχεια.

Θα συζητήσουμε και θα παρουσιάσουμε πρακτικές πτυχές για:

Broken Access Control
- Πρακτικά παραδείγματα ελέγχων πρόσβασης που έχουν παραβιαστεί
- Ασφαλείς έλεγχοι πρόσβασης και βέλτιστες πρακτικές

Security Misconfiguration
- Πραγματικά παραδείγματα εσφαλμένων παραμετροποιήσεων
- Βήματα για την πρόληψη εσφαλμένης παραμετροποίησης, συμπεριλαμβανομένης της διαχείρισης διαμόρφωσης και των εργαλείων αυτοματισμού

Cryptographic Failures
- Λεπτομερής ανάλυση κρυπτογραφικών αστοχιών, όπως αδύναμοι αλγόριθμοι κρυπτογράφησης ή ακατάλληλη διαχείριση κλειδιών
- Σημασία ισχυρών κρυπτογραφικών μηχανισμών, ασφαλών πρωτοκόλλων (SSL/TLS) και παραδείγματα σύγχρονης κρυπτογραφίας στην ασφάλεια ιστού

Injection Attacks
- Λεπτομερής ανάλυση των εισαγώγων SQL, NoSQL, OS και LDAP
- Τεχνικές μετριασμού με χρήση προετοιμασμένων δηλώσεων, παραμετροποιημένων ερωτημάτων και διαφυγής εισόδων

Insecure Design
- Θα εξερευνήσουμε ελαττώματα σχεδιασμού που μπορούν να οδηγήσουν σε ευπάθειες, όπως ακατάλληλη επικύρωση εισόδου
- Θα μελετήσουμε στρατηγικές για ασφαλή αρχιτεκτονική και αρχές ασφαλούς σχεδιασμού

Authentication Failures
- Συνήθη ζητήματα αυθεντικοποίησης
- Ασφαλείς στρατηγικές αυθεντικοποίησης, όπως αυθεντικοποίηση πολλαπλών παραγόντων και σωστή διαχείριση συνεδριών

Software and Data Integrity Failures
- Εστίαση σε ζητήματα όπως μη αξιόπιστες ενημερώσεις λογισμικού και παραποίηση δεδομένων
- Ασφαλείς μηχανισμοί ενημέρωσης και έλεγχοι ακεραιότητας δεδομένων

Security Logging and Monitoring Failures
- Σημασία της καταγραφής πληροφοριών σχετικών με την ασφάλεια και της παρακολούθησης για ύποπτες δραστηριότητες
- Εργαλεία και πρακτικές για σωστή καταγραφή και παρακολούθηση σε πραγματικό χρόνο για έγκαιρο εντοπισμό παραβιάσεων