OWASP Top 10 Treningskurs

Introduksjon

• Oversikt over OWASP, dens formål og betydning for nettsikkerhet
• Forklaring av OWASP Topp 10-listen
  • A01:2021-Broken Access Kontrollen beveger seg opp fra den femte posisjonen; 94 % av applikasjonene ble testet for en eller annen form for ødelagt tilgangskontroll. De 34 Common Weakness Enumerations (CWEs) kartlagt til Broken Access Control hadde flere forekomster i applikasjoner enn noen annen kategori.
  • A02:2021-Kryptografiske feil flytter opp én posisjon til #2, tidligere kjent som Sensitive Data Exposure, som var et bredt symptom snarere enn en rotårsak. Det fornyede fokuset her er på feil relatert til kryptografi som ofte fører til eksponering av sensitive data eller systemkompromittering.
  • A03:2021-Injeksjon glir ned til tredje posisjon. 94 % av applikasjonene ble testet for en eller annen form for injeksjon, og de 33 CWE-ene som er kartlagt i denne kategorien har nest flest forekomster i applikasjoner. Cross-site Scripting er nå en del av denne kategorien i denne utgaven.
  • A04:2021-Insecure Design er en ny kategori for 2021, med fokus på risiko knyttet til designfeil. Hvis vi virkelig ønsker å "flytte til venstre" som industri, krever det mer bruk av trusselmodellering, sikre designmønstre og prinsipper og referansearkitekturer.
  • A05:2021-Sikkerhetsfeilkonfigurasjon rykker opp fra #6 i forrige utgave; 90 % av applikasjonene ble testet for en eller annen form for feilkonfigurasjon. Med flere skift til svært konfigurerbar programvare, er det ikke overraskende å se denne kategorien rykke opp. Den tidligere kategorien for XML eksterne enheter (XXE) er nå en del av denne kategorien.
  • A06:2021-Sårbare og utdaterte komponenter hadde tidligere tittelen Using Components with Known Vulnerabilities og er #2 i topp 10 fellesskapsundersøkelsen, men hadde også nok data til å komme på topp 10 via dataanalyse. Denne kategorien rykker opp fra #9 i 2017 og er et kjent problem som vi sliter med å teste og vurdere risiko. Det er den eneste kategorien som ikke har noen Common Vulnerability and Exposures (CVE) kartlagt til de inkluderte CWE-ene, så en standard utnyttelses- og effektvekt på 5.0 er tatt med i poengsummen deres.
  • A07:2021-Identification and Authentication Failures var tidligere Broken Authentication og glir ned fra den andre posisjonen, og inkluderer nå CWE-er som er mer relatert til identifiseringsfeil. Denne kategorien er fortsatt en integrert del av Topp 10, men den økte tilgjengeligheten av standardiserte rammeverk ser ut til å hjelpe.
  • A08:2021-Programvare og dataintegritetsfeil er en ny kategori for 2021, med fokus på å gjøre antakelser knyttet til programvareoppdateringer, kritiske data og CI/CD-pipelines uten å verifisere integriteten. En av de høyest vektede konsekvensene fra Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS)-data som er kartlagt til de 10 CWE-ene i denne kategorien. Insecure Deserialization fra 2017 er nå en del av denne større kategorien.
  • A09:2021-Sikkerhetslogging og overvåkingsfeil var tidligere utilstrekkelig logging og overvåking og er lagt til fra bransjeundersøkelsen (#3), og går opp fra #10 tidligere. Denne kategorien er utvidet til å omfatte flere typer feil, er utfordrende å teste for, og er ikke godt representert i CVE/CVSS-dataene. Feil i denne kategorien kan imidlertid direkte påvirke synlighet, hendelsesvarsling og etterforskning.
  • A10:2021-Server-Side Request Forgery er lagt til fra topp 10 fellesskapsundersøkelsen (#1). Dataene viser en relativt lav forekomstrate med testdekning over gjennomsnittet, sammen med vurderinger over gjennomsnittet for utnyttelses- og effektpotensial. Denne kategorien representerer scenariet der medlemmer av sikkerhetsfellesskapet forteller oss at dette er viktig, selv om det ikke er illustrert i dataene for øyeblikket.

Ødelagt Access Kontroll

• Praktiske eksempler på ødelagte adgangskontroller
• Sikre tilgangskontroller og beste praksis

Kryptografiske feil

• Detaljert analyse av kryptografiske feil som for eksempel svake krypteringsalgoritmer eller feilaktig nøkkelhåndtering
• Viktigheten av sterke kryptografiske mekanismer, sikre protokoller (SSL/TLS) og eksempler på moderne kryptografi i nettsikkerhet

Injeksjonsangrep

• Detaljert oversikt over SQL, NoSQL, OS og LDAP injeksjon
• Begrensningsteknikker ved hjelp av forberedte utsagn, parameteriserte spørringer og unnslippende innganger

Usikker design

• Utforske designfeil som kan føre til sårbarheter, som feilaktig inndatavalidering
• Strategier for sikker arkitektur og sikre designprinsipper

Feilkonfigurasjon av sikkerhet

• Eksempler fra den virkelige verden på feilkonfigurasjoner
• Trinn for å forhindre feilkonfigurasjon, inkludert konfigurasjonsadministrasjon og automatiseringsverktøy

Sårbare og utdaterte komponenter

• Identifisere risiko ved bruk av sårbare biblioteker og rammeverk
• Beste praksis for avhengighetshåndtering og oppdateringer

Identifikasjons- og autentiseringsfeil

• Vanlige autentiseringsproblemer
• Sikre autentiseringsstrategier, som multifaktorautentisering og riktig økthåndtering

Programvare- og dataintegritetsfeil

• Fokuser på problemer som uklarerte programvareoppdateringer og tukling av data
• Trygge oppdateringsmekanismer og kontroller av dataintegritet

Sikkerhetslogging og overvåkingsfeil

• Viktigheten av å logge sikkerhetsrelevant informasjon og overvåke mistenkelige aktiviteter
• Verktøy og praksis for riktig logging og sanntidsovervåking for å oppdage brudd tidlig

Server-Side Request Forgery (SSRF)

• Forklaring på hvordan angripere utnytter SSRF-sårbarheter for å få tilgang til interne systemer
• Begrensningstaktikker, inkludert riktig inndatavalidering og brannmurkonfigurasjoner

Beste praksis og sikker koding

• Omfattende diskusjon om beste praksis for sikker koding
• Verktøy for sårbarhetsdeteksjon

Sammendrag og neste trinn