1. 首頁
  2. OWASP Top 10

OWASP Top 10 ( owasptop10 | 14 hours )

Prerequisites:
  • 對 Web 開發生命週期的一般瞭解
  • 在 Web 應用程式開發和安全方面的經驗

觀眾

  • Web 開發人員
  • 領導人
Overview:

OWASP Top 10 是由開放 Web 應用程式安全專案 (OWASP) 基金會開發的由社區主導的開源文檔,用於識別最常見的 Web 應用程式威脅和漏洞。OWASP Top 10 提供了有關 Web 應用程式安全性、風險、影響和對策的綜合指南。

這種以講師為主導的現場培訓(現場或遠端)針對的是希望探索和實施OWASP Top 10參考標準以保護其Web應用程式的Web開發人員和領導者。

在本培訓結束時,參與者將能夠使用 OWASP Top 10 文檔制定策略、實施、保護和監控其 Web 應用程式和服務。

課程形式

  • 互動講座和討論。
  • 大量的練習和練習。
  • 在現場實驗室環境中動手實施。

課程自定義選項

  • 如需申請本課程的定製培訓,請聯繫我們進行安排。
Course Outline:

介紹

  • OWASP概述、其目的和在Web安全中的重要性
  • OWASP 前 10 名清單的說明
    • A01:2021-Broken Access Control 從第五位上升;94% 的應用程式經過了某種形式的訪問控制故障測試。映射到 Broken Access Control 的 34 個常見弱點枚舉 (CWE) 在應用程式中的出現次數比任何其他類別都多。
    • A02:2021-加密故障 上升一位至 #2,以前稱為敏感數據洩露,這是廣泛的癥狀,而不是根本原因。這裡重新關注與加密相關的故障,這通常會導致敏感數據洩露或系統洩露。
    • A03:2021 - Injection 向下滑動到第三個位置。94% 的申請都經過了某種形式的注射測試,而映射到該類別的 33 個 CWE 在申請中出現次數第二多。跨網站腳本現在是此版本的一部分。
    • A04:2021-不安全設計 是 2021 年的一個新類別,重點關注與設計缺陷相關的風險。如果我們真的想作為一個行業“向左移動”,就需要更多地使用威脅建模、安全設計模式和原則以及參考架構。
    • A05:2021 - 安全錯誤配置 從上一版本的 #6 上升;90% 的應用程式都經過了某種形式的錯誤配置測試。隨著更多人轉向高度可配置的軟體,看到這一類別的上升也就不足為奇了。XML 外部實體 (XXE) 的先前類別現在是此類別的一部分。
    • A06:2021-易受攻擊和過時的元件 之前被命名為使用具有已知漏洞的元件,在前 10 名社區調查中排名 #2,但也有足夠的數據通過數據分析進入前 10 名。該類別從 2017 年的 #9 上升,是我們努力測試和評估風險的已知問題。它是唯一一個沒有將任何常見漏洞和披露 (CVE) 映射到所包含 CWE 的類別,因此預設漏洞利用和影響權重 5.0 被計入其分數。
    • A07:2021-Identification and Authentication Failures 之前是 Broken Authentication,現在從第二位下滑,現在包括與識別失敗更相關的 CWE。此類別仍然是前 10 名不可或缺的一部分,但標準化框架的可用性增加似乎有所説明。
    • A08:2021 - 軟體和數據完整性故障是 2021 年的新類別,側重於在不驗證完整性的情況下做出與軟體更新、關鍵數據和 CI/CD 管道相關的假設。映射到此類別中 10 個 CWE 的常見漏洞和披露/通用漏洞評分系統 (CVE/CVSS) 數據中權重最高的影響之一。2017 年的不安全反序列化現在是這個更大類別的一部分。
    • A09:2021-安全日誌記錄和監控故障 以前是不足的日誌記錄和監控,是從行業調查(#3)中添加的,從之前的#10上升。此類別已擴展為包括更多類型的故障,難以測試,並且在 CVE/CVSS 資料中沒有得到很好的表示。但是,此類別中的故障會直接影響可見性、事件警報和取證。
    • A10:2021-伺服器端請求偽造 是從前 10 名社區調查 (#1) 中添加的。數據顯示,發病率相對較低,測試覆蓋率高於平均水準,漏洞利用和影響潛力的評級高於平均水準。此類別表示安全社區成員告訴我們這很重要的場景,即使目前數據中沒有說明這一點。

損壞的 Access 控制件

  • 訪問控制失效的實際範例
  • 安全訪問控制和最佳實踐

加密失敗

  • 詳細分析加密演算法較弱或金鑰管理不當等加密故障
  • 強大的加密機制、安全協定 (SSL/TLS) 和現代加密技術在 Web 安全中的重要性

注入攻擊

  • SQL、NoSQL、OS 和 LDAP 注射的詳細分類
  • 使用準備好的語句、參數化查詢和轉義輸入的緩解技術

不安全的設計

  • 探索可能導致漏洞的設計缺陷,例如不正確的輸入驗證
  • 安全架構和安全設計原則的策略

安全配置錯誤

  • 錯誤配置的真實範例
  • 防止配置錯誤的步驟,包括配置管理和自動化工具

易受攻擊和過時的元件

  • 識別使用易受攻擊的庫和框架的風險
  • 依賴項管理和更新的最佳實踐

識別和身份驗證失敗

  • 常見身份驗證問題
  • 安全的身份驗證策略,例如多因素身份驗證和適當的會話處理

軟體和數據完整性故障

  • 關注不受信任的軟體更新和數據篡改等問題
  • 安全更新機制和數據完整性檢查

安全日誌記錄和監控故障

  • 記錄安全相關信息和監控可疑活動的重要性
  • 用於正確日誌記錄和實時監控的工具和實踐,以便及早發現違規行為

伺服器端請求偽造 (SSRF)

  • 攻擊者如何利用 SSRF 漏洞存取內部系統的說明
  • 緩解策略,包括適當的輸入驗證和防火牆配置

最佳實踐和安全編碼

  • 關於安全編碼最佳實踐的全面討論
  • 漏洞檢測工具

總結和後續步驟

Sites Published:

United Arab Emirates - OWASP Top 10

Qatar - OWASP Top 10

Egypt - OWASP Top 10

Saudi Arabia - OWASP Top 10

South Africa - OWASP Top 10

Brasil - OWASP Top 10

Canada - OWASP Top 10

中国 - OWASP Top 10

香港 - OWASP Top 10

澳門 - OWASP Top 10

台灣 - OWASP Top 10

USA - OWASP Top 10

Österreich - OWASP Top 10

Schweiz - OWASP Top 10

Deutschland - OWASP Top 10

Czech Republic - OWASP Top 10

Denmark - OWASP Top 10

Estonia - OWASP Top 10

Finland - OWASP Top 10

Greece - OWASP Top 10

Magyarország - OWASP Top 10

Ireland - OWASP Top 10

Israel - OWASP Top 10

Luxembourg - OWASP Top 10

Latvia - OWASP Top 10

España - OWASP Top 10

Italia - OWASP Top 10

Lithuania - OWASP Top 10

Nederland - OWASP Top 10

Norway - OWASP Top 10

Portugal - OWASP Top 10

România - OWASP Top 10

Sverige - OWASP Top 10

Türkiye - OWASP Top 10

Malta - OWASP Top 10

Belgique - OWASP Top 10

France - OWASP Top 10

日本 - OWASP Top 10

Australia - OWASP Top 10

Malaysia - OWASP Top 10

New Zealand - OWASP Top 10

Philippines - OWASP Top 10

Singapore - OWASP Top 10

Thailand - OWASP Top 10

Vietnam - OWASP Top 10

India - OWASP Top 10

Argentina - OWASP Top 10

Chile - OWASP Top 10

Costa Rica - OWASP Top 10

Ecuador - OWASP Top 10

Guatemala - OWASP Top 10

Colombia - OWASP Top 10

México - OWASP Top 10

Panama - OWASP Top 10

Peru - OWASP Top 10

Uruguay - OWASP Top 10

Venezuela - OWASP Top 10

Polska - OWASP Top 10

United Kingdom - OWASP Top 10

South Korea - OWASP Top 10

Pakistan - OWASP Top 10

Sri Lanka - OWASP Top 10

Bulgaria - OWASP Top 10

Bolivia - OWASP Top 10

Indonesia - OWASP Top 10

Kazakhstan - OWASP Top 10

Moldova - OWASP Top 10

Morocco - OWASP Top 10

Tunisia - OWASP Top 10

Kuwait - OWASP Top 10

Oman - OWASP Top 10

Slovakia - OWASP Top 10

Kenya - OWASP Top 10

Nigeria - OWASP Top 10

Botswana - OWASP Top 10

Slovenia - OWASP Top 10

Croatia - OWASP Top 10

Serbia - OWASP Top 10

Bhutan - OWASP Top 10

Nepal - OWASP Top 10