OWASP Top 10 2025

Prerequisites:

• 對Web開發生命週期有基本瞭解。
• 具備Web應用開發和安全的經驗。

受衆

• Web開發者。
• 領導者。

Overview:

OWASP Top 10是由開放Web應用安全項目（OWASP）基金會開發的社區主導的開源文檔，它識別了最常見的Web應用威脅和漏洞。OWASP Top 10提供了關於Web應用安全、風險、影響及應對措施的全面指南。

本次由講師主導的培訓（線上或線下）面向希望探索並實施OWASP Top 10參考標準以保護其Web應用的開發者和領導者。

培訓結束後，參與者將能夠使用OWASP Top 10文檔來制定策略、實施、保護並監控其Web應用和服務。

課程形式

• 互動講座與討論。
• 大量練習與實踐。
• 在即時實驗室環境中的動手操作。

課程定製選項

• 如需爲本課程定製培訓，請聯繫我們安排。

Course Outline:

A01:2025 - 訪問控制失效
A02:2025 - 安全配置錯誤
A03:2025 - 軟件供應鏈失效
A04:2025 - 加密失效
A05:2025 - 注入攻擊
A06:2025 - 不安全設計
A07:2025 - 認證失效
A08:2025 - 軟件或數據完整性失效
A09:2025 - 安全日誌與告警失效
A10:2025 - 異常處理不當

A01:2025 訪問控制失效 - 訪問控制用於執行策略，確保用戶不能在其權限之外進行操作。失效通常會導致未經授權的信息披露、數據修改或銷燬，或執行超出用戶限制的業務功能。

A02:2025 安全配置錯誤 - 安全配置錯誤是指從安全角度出發，系統、應用或雲服務配置不當，從而產生漏洞。

A03:2025 軟件供應鏈失效 - 軟件供應鏈失效是指在構建、分發或更新軟件過程中出現的故障或妥協。通常由第三方代碼、工具或其他依賴項中的漏洞或惡意更改引起。

A04:2025 加密失效 - 通常來說，所有傳輸中的數據都應在傳輸層（OSI第4層）進行加密。以往的障礙如CPU性能和私鑰/證書管理問題，現在已由CPU的加密加速指令（如AES支持）和Let's Encrypt.org等簡化私鑰和證書管理的服務解決，而主要雲廠商則爲其平臺提供了更緊密集成的證書管理服務。除了保護傳輸層，還需確定哪些數據需要在存儲時加密，以及哪些數據在傳輸時需要額外加密（在應用層，OSI第7層）。例如，密碼、信用卡號、健康記錄、個人信息和商業機密需要額外保護，尤其是當這些數據受隱私法規（如歐盟的《通用數據保護條例》（GDPR））或標準（如PCI數據安全標準（PCI DSS））約束時。

A05:2025 注入攻擊 - 注入漏洞是一種系統缺陷，允許攻擊者將惡意代碼或命令（如SQL或shell代碼）插入程序的輸入字段，誘使系統執行這些代碼或命令，彷彿它們是系統的一部分。這可能導致嚴重的後果。

A06:2025 不安全設計 - 不安全設計是一個廣泛的類別，代表不同的弱點，表現爲“缺失或無效的控制設計”。不安全設計並非所有其他十大風險類別的來源。需要注意的是，不安全設計與不安全實現是有區別的。我們將設計缺陷與實現缺陷區分開來是有原因的，它們的根本原因不同，發生在開發過程的不同階段，並且有不同的修復方法。一個安全的設計仍可能存在實現缺陷，導致可能被利用的漏洞。一個不安全的設計無法通過完美的實現來修復，因爲所需的安全控制從未被創建以抵禦特定攻擊。導致不安全設計的因素之一是缺乏對軟件或系統開發中固有的業務風險分析，從而無法確定需要何種級別的安全設計。

A07:2025 認證失效 - 當攻擊者能夠欺騙系統將無效或不正確的用戶識別爲合法用戶時，這種漏洞就會出現。

A08:2025 軟件或數據完整性失效 - 軟件和數據完整性失效涉及代碼和基礎設施未能防止無效或不受信任的代碼或數據被視爲可信和有效。一個例子是應用程序依賴來自不受信任來源的插件、庫或模塊，如存儲庫和內容分發網絡（CDN）。不安全的CI/CD管道，如果沒有進行軟件完整性檢查，可能會引入未經授權的訪問、不安全或惡意代碼，或系統被攻破的潛在風險。另一個例子是CI/CD從未受信任的地方拉取代碼或工件，並且/或在使用前未對其進行驗證（通過檢查簽名或類似機制）。 

A09:2025 安全日誌與告警失效  - 如果沒有日誌記錄和監控，攻擊和漏洞無法被檢測到，如果沒有告警，在安全事件期間很難快速有效地響應。日誌記錄不足、持續監控、檢測和告警以啓動主動響應的情況時有發生。

A10:2025 異常處理不當 - 當程序未能預防、檢測和響應異常和不可預測的情況時，會導致崩潰、意外行爲，有時還會導致漏洞。這可能涉及以下三種失敗中的一種或多種：應用程序未能防止異常情況發生，未能識別正在發生的異常情況，和/或在事後對異常情況處理不當或未處理。

我們將討論並展示以下方面的實際內容：

訪問控制失效
- 訪問控制失效的實際案例
- 安全訪問控制與最佳實踐

安全配置錯誤
- 配置錯誤的實際案例
- 防止配置錯誤的步驟，包括配置管理和自動化工具

加密失效
- 對加密失效的詳細分析，如弱加密算法或不當的密鑰管理
- 強加密機制、安全協議（SSL/TLS）的重要性，以及現代加密在Web安全中的應用實例

注入攻擊
- 對SQL、NoSQL、OS和LDAP注入的詳細解析
- 使用預處理語句、參數化查詢和輸入轉義來緩解注入攻擊的技術

不安全設計
- 我們將探討可能導致漏洞的設計缺陷，如不當的輸入驗證
- 我們將研究安全架構策略和安全設計原則

認證失效
- 常見的認證問題
- 安全認證策略，如多因素認證和正確的會話管理

軟件和數據完整性失效
- 關注不受信任的軟件更新和數據篡改等問題
- 安全更新機制和數據完整性檢查

安全日誌與監控失效
- 記錄安全相關信息並監控可疑活動的重要性
- 用於正確日誌記錄和即時監控以早期檢測漏洞的工具與實踐