Curs de pregatire OWASP Top 10 2025

A01:2025 - Controlul Accesului Compromis
A02:2025 - Configurarea Incorectă a Securității
A03:2025 - Defecte în Lanțul de Aprovizionare Software
A04:2025 - Defecte Criptografice
A05:2025 - Injectare
A06:2025 - Design Insecure
A07:2025 - Defecte de Autentificare
A08:2025 - Defecte de Integritate a Software-ului sau a Datelor
A09:2025 - Defecte de Logare și Alertare a Securității
A10:2025 - Manipularea Incorectă a Condițiilor Excepționale

A01:2025 Controlul Accesului Compromis - Controlul accesului aplică politici astfel încât utilizatorii să nu poată acționa în afara permisiunilor lor intenționate. Defectele duc de obicei la dezvăluirea neautorizată a informațiilor, modificarea sau distrugerea tuturor datelor sau efectuarea unei funcții de afaceri în afara limitelor utilizatorului.

A02:2025 Configurarea Incorectă a Securității - Configurarea incorectă a securității apare atunci când un sistem, o aplicație sau un serviciu cloud este configurat incorect din punct de vedere al securității, creând vulnerabilități.

A03:2025 Defecte în Lanțul de Aprovizionare Software - Defectele în lanțul de aprovizionare software sunt defecțiuni sau compromisuri în procesul de construire, distribuire sau actualizare a software-ului. Acestea sunt adesea cauzate de vulnerabilități sau modificări malitioase în codul, instrumentele sau alte dependențe ale sistemului.

A04:2025 Defecte Criptografice - În general, toate datele în tranzit ar trebui să fie criptate la nivelul de transport (stratul 4 OSI). Obstacolele anterioare, cum ar fi performanța CPU și gestionarea cheilor private/certificatelor, sunt acum gestionate de procesoarele care au instrucțiuni proiectate pentru a accelera criptarea (de exemplu, suport AES), iar gestionarea cheilor private și a certificatelor este simplificată de servicii precum LetsEncrypt.org, cu furnizorii majori de cloud oferind servicii de gestionare a certificatelor integrate pentru platformele lor specifice. În plus față de securizarea stratului de transport, este important să se determine ce date necesită criptare la repaus, precum și ce date necesită criptare suplimentară în tranzit (la stratul de aplicație, stratul 7 OSI). De exemplu, parolele, numerele de carduri de credit, înregistrările medicale, informațiile personale și secretele de afaceri necesită protecție suplimentară, mai ales dacă aceste date sunt supuse legilor privind confidențialitatea, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) al UE, sau reglementări precum Standardul de Securitate a Datelor PCI (PCI DSS).

A05:2025 Injectare - O vulnerabilitate de injectare este un defect de sistem care permite unui atacator să insereze cod sau comenzi malitioase (cum ar fi SQL sau shell code) în câmpurile de intrare ale unui program, înșelând sistemul să execute codul sau comenzile ca și cum ar face parte din sistem. Acest lucru poate duce la consecințe grave.

A06:2025 Design Insecure - Designul insecure este o categorie largă care reprezintă diferite slăbiciuni, exprimate ca „design lipsit sau ineficient de controale”. Designul insecure nu este sursa pentru toate celelalte categorii de risc din Top Ten. Rețineți că există o diferență între designul insecure și implementarea insecure. Diferențiem între defectele de design și defectele de implementare pentru un motiv, ele au cauze diferite, apar în momente diferite ale procesului de dezvoltare și au remedieri diferite. Un design securizat poate avea în continuare defecte de implementare care duc la vulnerabilități care pot fi exploatate. Un design insecure nu poate fi corectat printr-o implementare perfectă, deoarece controalele de securitate necesare nu au fost create niciodată pentru a se apăra împotriva unor atacuri specifice. Unul dintre factorii care contribuie la designul insecure este lipsa profilării riscurilor de afaceri inerente software-ului sau sistemului în curs de dezvoltare și, prin urmare, eșecul de a determina ce nivel de design de securitate este necesar.

A07:2025 Defecte de Autentificare - Atunci când un atacator reușește să înșele sistemul să recunoască un utilizator nevalid sau incorect ca fiind legitim, această vulnerabilitate este prezentă.

A08:2025 Defecte de Integritate a Software-ului sau a Datelor - Defectele de integritate a software-ului și datelor se referă la codul și infrastructura care nu protejează împotriva codului sau datelor nevalide sau neîncrezătoare tratate ca fiind de încredere și valide. Un exemplu este când o aplicație se bazează pe plugin-uri, biblioteci sau module din surse neîncrezătoare, depozite și rețele de livrare de conținut (CDN). Un pipeline CI/CD insecure fără verificări de integritate a software-ului poate introduce potențialul de acces neautorizat, cod insecure sau malitios, sau compromiterea sistemului. Un alt exemplu este un CI/CD care preia cod sau artefacte din locuri neîncrezătoare și/sau nu le verifică înainte de utilizare (prin verificarea semnăturii sau a unui mecanism similar). 

A09:2025 Defecte de Logare și Alertare a Securității  - Fără logare și monitorizare, atacurile și breșele nu pot fi detectate, iar fără alertare este foarte dificil să răspunzi rapid și eficient în timpul unui incident de securitate. Logare insuficientă, monitorizare continuă, detectare și alertare pentru a iniția răspunsuri active apar oricând.

A10:2025 Manipularea Incorectă a Condițiilor Excepționale - Manipularea incorectă a condițiilor excepționale în software apare atunci când programele nu reușesc să prevină, să detecteze și să răspundă la situații neobișnuite și imprevizibile, ceea ce duce la blocaje, comportament neașteptat și uneori la vulnerabilități. Acest lucru poate implica unul sau mai multe dintre următoarele 3 defecte; aplicația nu prevină o situație neobișnuită să se producă, nu identifică situația pe măsură ce se întâmplă și/sau răspunde prost sau deloc la situație după aceea.

Vom discuta și prezenta aspecte practice ale:

Controlul Accesului Compromis
- Exemple practice de controale de acces compromise
- Controale de acces securizate și bune practici

Configurarea Incorectă a Securității
- Exemple din lumea reală de configurații incorecte
- Pași pentru a preveni configurațiile incorecte, inclusiv managementul configurațiilor și instrumente de automatizare

Defecte Criptografice
- Analiză detaliată a defectelor criptografice, cum ar fi algoritmi de criptare slabi sau gestionarea necorespunzătoare a cheilor
- Importanța mecanismelor criptografice puternice, a protocolor securizate (SSL/TLS) și exemple de criptografie modernă în securitatea web

Atacuri de Injectare
- Analiză detaliată a injectărilor SQL, NoSQL, OS și LDAP
- Tehnici de atenuare folosind instrucțiuni pregătite, interogări parametrizate și scăparea intrărilor

Design Insecure
- Vom explora defectele de design care pot duce la vulnerabilități, cum ar fi validarea incorectă a intrărilor
- Vom studia strategii pentru arhitectura securizată și principiile de design securizat

Defecte de Autentificare
- Probleme comune de autentificare
- Strategii securizate de autentificare, cum ar fi autentificarea multi-factor și gestionarea corectă a sesiunilor

Defecte de Integritate a Software-ului și Datelor
- Focus pe probleme precum actualizările software neîncrezătoare și manipularea datelor
- Mecanisme sigure de actualizare și verificări de integritate a datelor

Defecte de Logare și Monitorizare a Securității
- Importanța înregistrării informațiilor relevante pentru securitate și monitorizarea activităților suspecte
- Instrumente și practici pentru logare corectă și monitorizare în timp real pentru a detecta breșele devreme