OWASP Top 10 ( owasptop10 | 14 hours )

• 对 Web 开发生命周期的一般了解
• 在 Web 应用程序开发和安全方面的经验

观众

• Web 开发人员
• 领导人

OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 基金会开发的社区主导的开源文档，用于识别最常见的 Web 应用程序威胁和漏洞。 OWASP Top 10 提供了有关 Web 应用程序安全、风险、影响和对策的综合指南。

这种由讲师指导的现场培训（在线或现场）面向希望探索和实施 OWASP Top 10 参考标准以保护其 Web 应用程序的 Web 开发人员和领导者。

培训结束时，参与者将能够使用 OWASP Top 10 文档制定策略、实施、保护和监控其 Web 应用程序和服务。

课程形式

• 互动讲座和讨论。
• 大量的练习和练习。
• 在现场实验室环境中亲自实施。

课程定制选项

• 如需请求本课程的定制培训，请联系我们进行安排。

介绍

• OWASP概述、其目的和在Web安全中的重要性
• OWASP 前 10 名清单的说明
  • A01：2021-Broken Access Control 从第五位上升;94% 的应用程式经过了某种形式的访问控制故障测试。映射到 Broken Access Control 的 34 个常见弱点枚举 （CWE） 在应用程式中的出现次数比任何其他类别都多。
  • A02：2021-加密故障 上升一位至 #2，以前称为敏感数据泄露，这是广泛的症状，而不是根本原因。这里重新关注与加密相关的故障，这通常会导致敏感数据泄露或系统泄露。
  • A03：2021 - Injection 向下滑动到第三个位置。94% 的申请都经过了某种形式的注射测试，而映射到该类别的 33 个 CWE 在申请中出现次数第二多。跨网站脚本现在是此版本的一部分。
  • A04：2021-不安全设计 是 2021 年的一个新类别，重点关注与设计缺陷相关的风险。如果我们真的想作为一个行业“向左移动”，就需要更多地使用威胁建模、安全设计模式和原则以及参考架构。
  • A05：2021 - 安全错误配置 从上一版本的 #6 上升;90% 的应用程式都经过了某种形式的错误配置测试。随著更多人转向高度可配置的软体，看到这一类别的上升也就不足为奇了。XML 外部实体 （XXE） 的先前类别现在是此类别的一部分。
  • A06：2021-易受攻击和过时的元件 之前被命名为使用具有已知漏洞的元件，在前 10 名社区调查中排名 #2，但也有足够的数据通过数据分析进入前 10 名。该类别从 2017 年的 #9 上升，是我们努力测试和评估风险的已知问题。它是唯一一个没有将任何常见漏洞和披露 （CVE） 映射到所包含 CWE 的类别，因此预设漏洞利用和影响权重 5.0 被计入其分数。
  • A07：2021-Identification and Authentication Failures 之前是 Broken Authentication，现在从第二位下滑，现在包括与识别失败更相关的 CWE。此类别仍然是前 10 名不可或缺的一部分，但标准化框架的可用性增加似乎有所说明。
  • A08：2021 - 软体和数据完整性故障是 2021 年的新类别，侧重于在不验证完整性的情况下做出与软体更新、关键数据和 CI/CD 管道相关的假设。映射到此类别中 10 个 CWE 的常见漏洞和披露/通用漏洞评分系统 （CVE/CVSS） 数据中权重最高的影响之一。2017 年的不安全反序列化现在是这个更大类别的一部分。
  • A09：2021-安全日志记录和监控故障 以前是不足的日志记录和监控，是从行业调查（#3）中添加的，从之前的#10上升。此类别已扩展为包括更多类型的故障，难以测试，并且在 CVE/CVSS 资料中没有得到很好的表示。但是，此类别中的故障会直接影响可见性、事件警报和取证。
  • A10：2021-伺服器端请求伪造 是从前 10 名社区调查 （#1） 中添加的。数据显示，发病率相对较低，测试覆盖率高于平均水准，漏洞利用和影响潜力的评级高于平均水准。此类别表示安全社区成员告诉我们这很重要的场景，即使目前数据中没有说明这一点。

损坏的 Access 控制件

• 访问控制失效的实际范例
• 安全访问控制和最佳实践

加密失败

• 详细分析加密演算法较弱或金钥管理不当等加密故障
• 强大的加密机制、安全协定 （SSL/TLS） 和现代加密技术在 Web 安全中的重要性

注入攻击

• SQL、NoSQL、OS 和 LDAP 注射的详细分类
• 使用准备好的语句、参数化查询和转义输入的缓解技术

不安全的设计

• 探索可能导致漏洞的设计缺陷，例如不正确的输入验证
• 安全架构和安全设计原则的策略

安全配置错误

• 错误配置的真实范例
• 防止配置错误的步骤，包括配置管理和自动化工具

易受攻击和过时的元件

• 识别使用易受攻击的库和框架的风险
• 依赖项管理和更新的最佳实践

识别和身份验证失败

• 常见身份验证问题
• 安全的身份验证策略，例如多因素身份验证和适当的会话处理

软体和数据完整性故障

• 关注不受信任的软体更新和数据篡改等问题
• 安全更新机制和数据完整性检查

安全日志记录和监控故障

• 记录安全相关信息和监控可疑活动的重要性
• 用于正确日志记录和实时监控的工具和实践，以便及早发现违规行为

伺服器端请求伪造 （SSRF）

• 攻击者如何利用 SSRF 漏洞存取内部系统的说明
• 缓解策略，包括适当的输入验证和防火墙配置

最佳实践和安全编码

• 关于安全编码最佳实践的全面讨论
• 漏洞检测工具

总结和后续步骤