OWASP Top 10培訓

介紹

• OWASP概述、其目的和在Web安全中的重要性
• OWASP 前 10 名清單的說明
  • A01：2021-Broken Access Control 從第五位上升;94% 的應用程式經過了某種形式的訪問控制故障測試。映射到 Broken Access Control 的 34 個常見弱點枚舉 （CWE） 在應用程式中的出現次數比任何其他類別都多。
  • A02：2021-加密故障 上升一位至 #2，以前稱為敏感數據洩露，這是廣泛的癥狀，而不是根本原因。這裡重新關注與加密相關的故障，這通常會導致敏感數據洩露或系統洩露。
  • A03：2021 - Injection 向下滑動到第三個位置。94% 的申請都經過了某種形式的注射測試，而映射到該類別的 33 個 CWE 在申請中出現次數第二多。跨網站腳本現在是此版本的一部分。
  • A04：2021-不安全設計 是 2021 年的一個新類別，重點關注與設計缺陷相關的風險。如果我們真的想作為一個行業“向左移動”，就需要更多地使用威脅建模、安全設計模式和原則以及參考架構。
  • A05：2021 - 安全錯誤配置 從上一版本的 #6 上升;90% 的應用程式都經過了某種形式的錯誤配置測試。隨著更多人轉向高度可配置的軟體，看到這一類別的上升也就不足為奇了。XML 外部實體 （XXE） 的先前類別現在是此類別的一部分。
  • A06：2021-易受攻擊和過時的元件 之前被命名為使用具有已知漏洞的元件，在前 10 名社區調查中排名 #2，但也有足夠的數據通過數據分析進入前 10 名。該類別從 2017 年的 #9 上升，是我們努力測試和評估風險的已知問題。它是唯一一個沒有將任何常見漏洞和披露 （CVE） 映射到所包含 CWE 的類別，因此預設漏洞利用和影響權重 5.0 被計入其分數。
  • A07：2021-Identification and Authentication Failures 之前是 Broken Authentication，現在從第二位下滑，現在包括與識別失敗更相關的 CWE。此類別仍然是前 10 名不可或缺的一部分，但標準化框架的可用性增加似乎有所説明。
  • A08：2021 - 軟體和數據完整性故障是 2021 年的新類別，側重於在不驗證完整性的情況下做出與軟體更新、關鍵數據和 CI/CD 管道相關的假設。映射到此類別中 10 個 CWE 的常見漏洞和披露/通用漏洞評分系統 （CVE/CVSS） 數據中權重最高的影響之一。2017 年的不安全反序列化現在是這個更大類別的一部分。
  • A09：2021-安全日誌記錄和監控故障 以前是不足的日誌記錄和監控，是從行業調查（#3）中添加的，從之前的#10上升。此類別已擴展為包括更多類型的故障，難以測試，並且在 CVE/CVSS 資料中沒有得到很好的表示。但是，此類別中的故障會直接影響可見性、事件警報和取證。
  • A10：2021-伺服器端請求偽造 是從前 10 名社區調查 （#1） 中添加的。數據顯示，發病率相對較低，測試覆蓋率高於平均水準，漏洞利用和影響潛力的評級高於平均水準。此類別表示安全社區成員告訴我們這很重要的場景，即使目前數據中沒有說明這一點。

損壞的 Access 控制件

• 訪問控制失效的實際範例
• 安全訪問控制和最佳實踐

加密失敗

• 詳細分析加密演算法較弱或金鑰管理不當等加密故障
• 強大的加密機制、安全協定 （SSL/TLS） 和現代加密技術在 Web 安全中的重要性

注入攻擊

• SQL、NoSQL、OS 和 LDAP 注射的詳細分類
• 使用準備好的語句、參數化查詢和轉義輸入的緩解技術

不安全的設計

• 探索可能導致漏洞的設計缺陷，例如不正確的輸入驗證
• 安全架構和安全設計原則的策略

安全配置錯誤

• 錯誤配置的真實範例
• 防止配置錯誤的步驟，包括配置管理和自動化工具

易受攻擊和過時的元件

• 識別使用易受攻擊的庫和框架的風險
• 依賴項管理和更新的最佳實踐

識別和身份驗證失敗

• 常見身份驗證問題
• 安全的身份驗證策略，例如多因素身份驗證和適當的會話處理

軟體和數據完整性故障

• 關注不受信任的軟體更新和數據篡改等問題
• 安全更新機制和數據完整性檢查

安全日誌記錄和監控故障

• 記錄安全相關信息和監控可疑活動的重要性
• 用於正確日誌記錄和實時監控的工具和實踐，以便及早發現違規行為

伺服器端請求偽造 （SSRF）

• 攻擊者如何利用 SSRF 漏洞存取內部系統的說明
• 緩解策略，包括適當的輸入驗證和防火牆配置

最佳實踐和安全編碼

• 關於安全編碼最佳實踐的全面討論
• 漏洞檢測工具

總結和後續步驟