Mulțumim pentru trimiterea solicitării! Un membru al echipei noastre vă va contacta în curând.
Mulțumim pentru trimiterea rezervării! Un membru al echipei noastre vă va contacta în curând.
Schița de curs
Introducere
- Prezentare generală a OWASP, scopul său și importanța în securitatea web
- Explicație a listei OWASP Top 10
- A01:2021-Broken Access Control trece de la a cincea poziție; 94% dintre aplicații au fost testate pentru unele forme de control al accesului încălcit. Cele 34 Enumerări Comune ale Slăbiciunilor (CWEs) mapate pe Controlul Accesului Încălcit au avut mai multe apariții în aplicații decât orice altă categorie.
- A02:2021-Cryptographic Failures trece de la a doua poziție, fiind anterior cunoscut sub numele de Expunerea Datelor Sensibile, care era un simptom larg în loc de o cauză fundamentală. Refocalizarea actuală se face pe eșecurile legate de criptografie care adesea duce la expunerea datelor sensibile sau la compromiterea sistemului.
- A03:2021-Injection scade la a treia poziție. 94% dintre aplicații au fost testate pentru unele forme de injecție, iar cele 33 CWEs mapate în această categorie au al doilea număr cel mai mare de apariții în aplicații. Cross-site Scripting face acum parte din această categorie în acest edit.
- A04:2021-Insecure Design este o nouă categorie pentru 2021, cu un focus pe riscurile legate de defecte de proiectare. Dacă dorim cu adevărat să „mutăm la stânga” ca industrie, se cere un mai mare utilizare a modelării amenințărilor, modelelor și principiilor de proiectare securizată și arhitecturilor de referință.
- A05:2021-Security Misconfiguration trece de la a șasea poziție din ediția anterioară; 90% dintre aplicații au fost testate pentru unele forme de configurație încălciată. Cu mai multe mutări către software cu configurare ridicată, nu este surprinzător să vedem această categorie să se mute în sus. Categoria anterioară pentru Entitățile Externe XML (XXE) face acum parte din această categorie.
- A06:2021-Vulnerable and Outdated Components era anterior numit Utilizarea Componentelor cu Vulnerabilități Cunoscute și este pe a doua poziție în sondajul Top 10 al comunității, dar a avut și date suficiente pentru a intra în Top 10 prin analiza datelor. Această categorie trece de la a noua poziție din 2017 și este o problemă cunoscută cu care ne confruntăm atunci când testăm și evaluăm riscuri. Este singura categorie care nu are nicio Vulnerabilitate Comună și Exponerii (CVEs) mapate pe CWEs incluse, astfel că un exploit și impact implicit de 5.0 sunt luate în considerare în scorurile lor.
- A07:2021-Identification and Authentication Failures era anterior Controlul Autentificării Încălcit și scade de la a doua poziție, iar acum include CWEs care sunt mai legate de eșecuri de identificare. Această categorie rămâne totuși o parte integrantă a Top 10, dar creșterea disponibilității framework-urilor standard pare să ajute.
- A08:2021-Software and Data Integrity Failures este o nouă categorie pentru 2021, cu un focus pe presupunerile legate de actualizări de software, date critice și pipeleline-urile CI/CD fără verificarea integrității. Unul dintre cele mai importante impacte ponderați din datele CVE/CVSS mapate pe 10 CWEs din această categorie. Dezarializarea Insecură din 2017 face acum parte din această categorie mai amplă.
- A09:2021-Security Logging and Monitoring Failures era anterior Insuficienta Înregistrare și Monitorizare și a fost adăugată din sondajul industrial (#3), trecând de la a zecea poziție anterior. Această categorie este extinsă pentru a include mai multe tipuri de eșecuri, este dificil de testat și nu este bine reprezentată în datele CVE/CVSS. Cu toate acestea, eșecurile din această categorie pot afecta direct vizibilitatea, alertarea incidentelor și investigația.
- A10:2021-Server-Side Request Forgery a fost adăugată din sondajul Top 10 al comunității (#1). Datele arată o rată de incidențe relativ mică cu acoperire de testare mai mare decât media, alături de scoruri de Exploatare și Impact mai mari decât media. Această categorie reprezintă scenariul în care membrii comunității de securitate ne spun că aceasta este importantă, chiar dacă nu este ilustrată în datele actuale.
Controlul Accesului Încălcit
- Exemple practice de control al accesului încălcit
- Controale de acces securizate și cele mai bune practici
Eșecuri Criptografice
- Analiză detaliată a eșecurilor criptografice, cum ar fi algoritmi de criptare slabi sau gestionarea incorectă a cheilor
- Importanța mecanismelor criptografice puternice, protocoalelor securizate (SSL/TLS) și exemple de criptografie modernă în securitatea web
Atacuri prin Injecție
- Descompunerea detaliată a injecțiilor SQL, NoSQL, OS și LDAP
- Tehnici de mitigare folosind instrucțiuni pregătite, interogări parametrizate și scaparea intrărilor
Proiectare Nesecurizată
- Explorarea defectelor de proiectare care pot duce la vulnerabilități, cum ar fi validarea incorectă a intrărilor
- Strategii pentru o arhitectură și principii de proiectare securizate
Configurație Nesecurizată
- Exemple din lumea reală de configurări încălcite
- Pași pentru prevenirea configurațiilor încălcite, inclusiv gestionarea configurațiilor și instrumente de automatizare
Componente Vulnabile și Întârziate
- Identificarea riscurilor legate de biblioteci și framework-uri vulnerabile
- Cele mai bune practici pentru gestionarea dependențelor și actualizări
Eșecuri de Identificare și Autentificare
- Probleme comune legate de autentificare
- Strategii securizate de autentificare, cum ar fi autentificarea multi-factorială și gestionarea corectă a sesiunilor
Eșecuri de Integritate a Software-ului și Datelor
- Focalizare pe probleme precum actualizările neîncredibile ale software-ului și manipularea datelor
- Mecanisme sigure de actualizare și verificări de integritate a datelor
Eșecuri de Înregistrare și Monitorizare Securitatea
- Importanța înregistrării informațiilor relevante pentru securitate și monitorizării activităților suspecte
- Instrumente și practici pentru o înregistrare adecvată și monitorizarea în timp real pentru detectarea infracțiunilor la timp
Server-Side Request Forgery (SSRF)
- Explicație a modului în care atacatorii exploatează vulnerabilitățile SSRF pentru a accesa sistemele interne
- Tactici de mitigare, inclusiv validarea corectă a intrărilor și configurările firewall-ului
Cele Mai Bune Practici și Codificarea Securizată
- Discuție comprehensivă asupra celor mai bune practici pentru codificarea securizată
- Instrumente pentru detectarea vulnerabilităților
Rezumat și Următorii Pași
Cerințe
- O înțelegere generală a ciclului de viață al dezvoltării web
- Experiență în dezvoltarea și securitatea aplicațiilor web
Audiență
- Dezvoltatori web
- Lideri
14 ore
Mărturii (7)
Componentele interactivelor și exemplele.
Raphael - Global Knowledge
Curs - OWASP Top 10
Tradus de catre o masina
Abordare practică și cunoștințe de formator
RICARDO
Curs - OWASP Top 10
Tradus de catre o masina
Cunoștințele trainerului au fost fenomenale
Patrick - Luminus
Curs - OWASP Top 10
Tradus de catre o masina
exerciții, chiar dacă sunt în afara zonei mele de confort.
Nathalie - Luminus
Curs - OWASP Top 10
Tradus de catre o masina
Formatorul este foarte informativ și cunoaște cu adevărat subiectul
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curs - OWASP Top 10
Tradus de catre o masina
Trainor este într-adevăr un expert pe această temă.
Reynold - SGL Manila (Shared Service Center) Inc.
Curs - OWASP Top 10
Tradus de catre o masina
Laborator practic de obținere a unui shell de la o mașină atacată
Catalin
Curs - OWASP Top 10
Tradus de catre o masina
