Ευχαριστούμε που στάλθηκε η αποσαφήνισή σας! Ένα μέλος της ομάδου μας θα επικοινωνήσει μαζί σας σύντομα.
Ευχαριστούμε για την εκδήλωση κράτησης! Ένας από τους συνεργάτες μας θα επικοινωνήσει μαζί σας σύντομα.
Εξέλιξη Κομματιού
Εισαγωγή
- Γενική επισκόπηση του OWASP, της σημασίας και του ρόλου του στη διαδικτυακή ασφάλεια
- Εξήγηση της λίστας OWASP Top 10
- A01:2021-Χειρονεμημένος Έλεγχος Πρόσβασης κινείται από την πέμπτη στην πρώτη θέση. 94% των εφαρμογών υποβλήθηκαν σε κάποια μορφή του χειρονεμημένου έλεγχου πρόσβασης. Οι 34 Κοινές Αδυναμίες (CWEs) που συνδέονται με το χειρονεμημένο έλεγχο πρόσβασης εμφανίζονται σε περισσότερες εφαρμογές από κάθε άλλη κατηγορία.
- A02:2021-Αποτυχίες Κρυπτογράφησης κινείται κατά μία θέση στη δεύτερη, προηγουμένως γνωστή ως Έκθεση Ευαίσθητων Δεδομένων, η οποία ήταν ευρύ σύμπτωμα αντί της ριζικής αιτίας. Η νέα έμφαση εδώ είναι πάνω στις αποτυχίες που σχετίζονται με την κρυπτογράφηση, οι οποίες συχνά οδηγούν σε έκθεση ευαίσθητων δεδομένων ή σύστημα.
- A03:2021-Εισρροή κινείται στην τρίτη θέση. 94% των εφαρμογών υποβλήθηκαν σε κάποια μορφή της εισρροής, και τα 33 CWEs που συνδέονται με αυτή την κατηγορία έχουν τη δεύτερη πλειοψηφία εμφάνισης στις εφαρμογές. Η Cross-site Scripting (XSS) αποτελεί τώρα μέρος αυτής της κατηγορίας σ' αυτό το εκδοχή.
- A04:2021-Ασφαλή Σχεδιασμός είναι μια νέα κατηγορία για το 2021, με επίκεντρο στους κινδύνους που αφορούν στους αδυνάμεις σχεδιασμού. Αν ρέει αληθινά να «κινηθούμε στο δεξιό» καθώς βιομηχανία, αυτό επικαλεί περισσότερη χρήση μοντέλων απειλής, ασφαλών δομών και αρχών σχεδιασμού, καθώς και αναφερόμενων αρχιτεκτονικών.
- A05:2021-Ασφάλης Συνδρομή κινείται από την 6η στην πέμπτη θέση στην προηγούμενη εκδοχή. 90% των εφαρμογών υποβλήθηκαν σε κάποια μορφή άσφαλους συνδρομής. Με τη διάχυση στο εξαιρετικά προσαρμόσιμο λογισμικό, δεν είναι έκπληξη να βλέπουμε αυτή τη κατηγορία να κινείται προς τα πάνω. Η προηγούμενη κατηγορία για XML External Entities (XXE) είναι τώρα μέρος αυτής της κατηγορίας.
- A06:2021-Σενάρια Κινδύνου Διάφορων Βιβλιοθηκών και Αποτυχημένων Συστημάτων προηγουμένως τίτλος Using Components with Known Vulnerabilities και είναι #2 στην έρευνα Top 10, αλλά είχε επίσης αρκετά δεδομένα για να τοποθετηθεί στο Top 10 μέσω της ανάλυσης δεδομένων. Αυτή η κατηγορία κινείται από την 9η στο 2017 και είναι γνωστό πρόβλημα που χαλώνει στη δοκιμή και η αξιολόγηση του κινδύνου. Είναι η μόνη κατηγορία που δεν έχει κάποια Κοινές Αδυναμίες (CWEs) σχετικές με Κοινές Ασφαλείες και Εκτεθείσεις (CVEs), ώστε ένα προεπιλεγμένο βάρος εκμετάλλευσης και αντίκτυπου 5.0 να συμπεριλαμβάνεται στις ποσοτικές της.
- A07:2021-Αποτυχίες Εξαγωγής και Πιστοποίησης προηγουμένως Broken Authentication, μετακινείται από τη δεύτερη θέση. Εξακολουθεί να είναι αναπόσπαστο μέρος των Top 10, αλλά η αυξημένη διαθεσιμότητα πρότυπων πλαίσιων φαίνεται να βοηθά.
- A08:2021-Αποτυχίες Ακεραιότητας Λογισμικού και Δεδομένων είναι μια νέα κατηγορία για το 2021, εστιάζουσα στη δημιουργία υποθέσεων που αφορούν την αναβάθμιση λογισμικού, κρίσιμα δεδομένα και CI/CD pipelines χωρίς επαλήθευση της ακεραιότητας. Ενα πρωταρχικό αντίκτυπο στα δεδομένα Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) που συνδέονται με τα 10 CWEs αυτής της κατηγορίας. Η Insecure Deserialization του 2017 είναι τώρα μέρος αυτής της ευρύτερης κατηγορίας.
- A09:2021-Αποτυχίες Ασφαλούς Καταγραφής και Παρακολούθησης προηγουμένως Insufficient Logging & Monitoring, προστίθεται από την βιομηχανία έρευνα (#3) κινούμενη από τη 10η στην προηγούμενη. Αυτή η κατηγορία εξακολουθεί να διευρύνεται ώστε να περιλάβει περισσότερους τύπους αποτυχιών, είναι δύσκολη για τη δοκιμή και δεν εκφράζεται καλά στα δεδομένα CVE/CVSS. Ωστόσο, αποτυχίες σε αυτή την κατηγορία μπορούν να επηρεάζουν άμεσα τη διαφάνεια, την προειδοποίηση γεγονότων και τις διερεύνηση.
- A10:2021-Ζήτημα Αιτιολογίας Δέσμης Υποχρεώσεων (SSRF) προστίθεται από την Top 10 βιομηχανία έρευνα (#1). Τα δεδομένα εμφανίζουν χαμηλή συχνότητα εμφάνισης με πάνω από μέση κάλυψη δοκιμής, μαζί με πάνω από μέσους ρυθμούς Εκμετάλλευσης και Αντίκτυπου. Αυτή η κατηγορία εκφράζει το σενάριο όπου οι μέλη της κοινότητας ασφαλείας μας λένε πως αυτό είναι σημαντικό, ακόμη και αν δεν εξεγράφη στα δεδομένα.
Χειρονεμημένος Έλεγχος Πρόσβασης
- Πρακτικά παραδείγματα χειρονεμημένου έλεγχου πρόσβασης
- Ασφαλής έλεγχος πρόσβασης και καλύτερες πρακτικές
Αποτυχίες Κρυπτογράφησης
- Λεπτομερής ανάλυση αποτυχιών κρυπτογράφησης όπως αδύναμες αλγόριθμοι κρυπτογράφησης ή εξαρθρωμένη διαχείριση κλειδιών
- Σημασία των ισχυρών μηχανισμών κρυπτογράφησης, ασφαλείς πρωτόκολλα (SSL/TLS), και παραδείγματα σύγχρονης κρυπτογράφησης στη διαδικτυακή ασφάλεια
Εισρροές Επιθέσεων
- Λεπτομερής ανάλυση των SQL, NoSQL, OS και LDAP εισρροών
- Τεχνικές αποποίησης χρησιμοποιώντας προετοιμασμένες δηλώσεις, παραμετροποιημένα ερωτήματα και την αποφυγή χτυπημάτων
Ασφαλής Σχεδιασμός
- Έρευνα αδυναμιών σχεδιασμού που μπορούν να οδηγήσουν σε εκτεθέσεις, όπως λανθασμένη επαλήθευση εισόδου
- Στρατηγικές για ασφαλή αρχιτεκτονική και αρχές σχεδιασμού
Ασφάλη Συνδρομή
- Πρακτικά παραδείγματα αποτυχιών σύνδεσης
- Βήματα για την επέκταση απόφυγης καθώς και διαχείριση ρυθμίσεων και εργαλεία αυτομάτων
Σενάρια Κινδύνου Διάφορων Βιβλιοθηκών και Αποτυχημένων Συστημάτων
- Εξαγωγή ρισκών από την χρήση κεφαλαιωμένων βιβλιοθηκών και πλατφόρμων
- Καλύτερες πρακτικές για τη διαχείριση εξαρτήσεων και αποκαταστάσεις
Αποτυχίες Εξαγωγής και Πιστοποίησης
- Κοινά πρόβλημα των αυθεντικοποιήσεων
- Ασφαλείς στρατηγικές αυθεντικοποίησης, όπως διεπιφάνεια πολλαπλής αυθεντικοποίησης και κατάλληλη επεξεργασία σενάριων
Αποτυχίες Ακεραιότητας Λογισμικού και Δεδομένων
- Εστίαση στα προβλήματα όπως τα μη αξιόπιστα αναβάθμισεις λογισμικού και εξουσιοδότηση δεδομένων
- Ασφαλείς μηχανισμοί αναβάθμισης και εξουσιοδότηση δεδομένων
Αποτυχίες Ασφαλούς Καταγραφής και Παρακολούθησης
- Σημασία της καταγραφής ασφάλειας εξαιρετικών πληροφοριών και παρακολούθησης για ύποπτες δραστηριότητες
- Εργαλεία και συμβουλές για αξιόπιστη καταγραφή και πραγματική παρακολούθηση για να εντοπίζεται ριψοδύναμη αρχών
Ζήτημα Αιτιολογίας Δέσμης Υποχρεώσεων (SSRF)
- Εξήγηση του πώς οι επιθέτες χρησιμοποιούν SSRF εκτεθέσεις για να πρόσεχουν συστήματα
- Τεχνικές αποποίησης, όπως κατάλληλη επαλήθευση εισόδου και ρυθμίσεις πυρίνων
Καλύτερες Πρακτικές και Ασφαλής Κώδικας
- Συνολική συζήτηση για τις καλύτερες πρακτικές ασφαλούς κώδικα
- Εργαλεία εξαγωγής ρισκών
Περίληψη και Επόμενοι Βήματες
Απαιτήσεις
- Γενική κατανόηση του κύκλου ζωής ανάπτυξης διαδικτυακών εφαρμογών
- Έμπειρη γνώση στην ανάπτυξη και την ασφάλεια διαδικτυακών εφαρμογών
Ακροατήριο
- Διαδικτυακοί αναπτυξεις
- Ηγέτες
14 Ώρες
Σχόλια (7)
Τα ενεργή μέρη και τα παραδείγματα.
Raphael - Global Knowledge
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
Πραγματική προσέγγιση και γνώση εκπαιδευτή
RICARDO
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
Οι γνώσεις του προπονητή ήταν εκπληκτικές
Patrick - Luminus
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
ασκήσεις, ακόμα κι αν είναι εκτός της ζώνης άνεσής μου.
Nathalie - Luminus
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
Ο εκπαιδευτής είναι πολύ κατατοπιστικός και γνωρίζει πραγματικά το θέμα
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
Ο Trainor είναι πραγματικά ειδικός στο θέμα.
Reynold - SGL Manila (Shared Service Center) Inc.
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
Πρακτικό εργαστήριο για την απόκτηση ενός κελύφους από ένα μηχάνημα που επιτέθηκε
Catalin
Κομμάτι - OWASP Top 10
Μηχανική Μετάφραση
