Takk for at du sendte din henvendelse! En av våre teammedlemmer vil kontakte deg straks.
Takk for at du sendte din bestilling! En av våre teammedlemmer vil kontakte deg straks.
Kursplan
A01:2025 - Brutt access control
A02:2025 - Sikkerhetsfeilkonfigurasjon
A03:2025 - Software supply chain feil
A04:2025 - Kryptografiske feil
A05:2025 - Injection
A06:2025 - Usikker design
A07:2025 - Autentiseringsfeil
A08:2025 - Software eller dataintegritetsfeil
A09:2025 - Sikkerhetslogging og varsling feil
A10:2025 - Feilbehandlingen av eksepsjonelle situasjoner
A01:2025 Brutt access control - Access control påtvinger politikk slik at brukere ikke kan handle utenfor deres mentale rettigheter. Feil fører typisk til ukontrollert informasjonsdisclosure, modifisering eller ødelegging av all data, eller utførelse av en forretningsfunksjon utenfor brukerens grenser.
A02:2025 Sikkerhetsfeilkonfigurasjon - Sikkerhetsfeilkonfigurasjon oppstår når et system, applikasjon eller skytjeneste er satt opp feilaktig fra en sikkerhetsperspektiv, skapende sårbarheter.
A03:2025 Software supply chain feil - Software supply chain feil er brudd eller andre kompromitterte prosesser i byggingen, distribusjonen, eller oppdateringen av software. De er ofte forårsaket av sårbarheter eller ondskapsfulle endringer i tredjeparts kode, verktøy eller andre avhengigheter som systemet er avhengig av.
A04:2025 Kryptografiske feil - Generelt sett bør all data under overføring krypteres på transportlaget (OSI lag 4). Tidligere hindringer som CPU-ytelse og privat nøkkel/sertifikatforvaltning håndteres nå av CPUs som har instruksjoner designet for å akselerere kryptering (f.eks.: AES støtte) og privat nøkkel og sertifikatforvaltning forenkles av tjenester som LetsEncrypt.org med store skyleverandører som tilbyr enda mer integrerte sertifikatforvaltningstjenester for deres spesifikke Plattformer. Ut over å sikre transportlaget, er det viktig å bestemme hva slags data trenger kryptering i ro (data-at-rest) samt hva slags data trenger ekstra kryptering under overføring (på applikasjonslaget, OSI lag 7). For eksempel, passord, kreditkortnummer, helsejournaler, personlige opplysninger og virksomhetshemmeligheter krever ekstra beskyttelse, spesielt hvis data er underlagt privatlivslokker, f.eks., EUs Generelle dataskyddsregler (GDPR), eller reguleringer som PCI Data Security Standard (PCI DSS).
A05:2025 Injection - En injection-sårbarhet er et systemfeil som tillater en angriper å sette inn ondskapsfull kode eller kommandoer (som SQL eller shell-kode) i programets input-felt, lurer systemet til å utføre koden eller kommandoene som om de var del av systemet. Dette kan føre til virkelig alvorlige konsekvenser.
A06:2025 Usikker design - Usikker design er en bred kategori som representerer ulike svakheter, uttrykt som “manglende eller ineffektive kontrolldesign.” Usikkert design er ikke kilde for alle andre Top Ten risikokategorier. Merk at det er forskjell mellom usikkert design og usikker implementering. Vi skiller mellom designdefekter og implementasjonsfeil av en grunn, de har ulike rotsaker, skjer på ulike tidspunkter i utviklingsprosessen, og har ulike remsforslag. Et sikkert design kan fortsatt ha implementasjonsdefekter som fører til sårbarheter som kan utnyttes. Et usikkert design kan ikke fikses av en perfekt implementasjon da nødvendige sikkerhetkontroller aldri ble opprettet for å beskytte mot spesifikke angrep. En faktor som bidrar til usikkert design er mangelen på vurdering av virksomhetsrisikoer innhærrende i programvaren eller systemet som utvikles, og dermed mislykket bestemmelse av hvilket sikkerhetsnivå som kreves.
A07:2025 Autentiseringsfeil - Når en angriper klarer å lure et system til å anerkjenne en ugyldig eller feil bruker som legitim, er denne sårbarheten til stede.
A08:2025 Software eller dataintegritetsfeil - Software- og dataintegritetsfeil relaterer seg til kode og infrastruktur som ikke beskytter mot ugyldig eller upålitelig kode eller data som behandles som pålitelig og gyldig. Et eksempel på dette er når en applikasjon støtter seg på plugins, biblioteker eller moduler fra upålitelige kilder, repositorier og innholdsleverandører (CDNs). En usikkert CI/CD-pipeline uten konsumering og levering av programvareintegritetssjekker kan introdusere potensial for uautorisert tilgang, usikker eller ondskapsfull kode, eller systemkompromitteringer. Et annet eksempel er en CI/CD som trekker kode eller artefakter fra upålitelige steder og/eller ikke verifiserer dem før bruk (ved sjekking av signatur eller lignende mekanisme).
A09:2025 Sikkerhetslogging & varsling feil - Uten logging og overvåking kan angrep og brudd ikke oppdages, og uten varsling er det svært vanskelig å reagere raskt og effektivt under et sikkerhetshendelse. Utilstrekkelig logging, kontinuerlig overvåking, detektering, og varsling for å initiere aktive responser skjer enhver gang.
A10:2025 Feilbehandlingen av eksepsjonelle situasjoner - Feilbehandling av eksepsjonelle situasjoner i programvare skjer når programmer feiler å forebygge, oppdage og reagere på usannsynlige og uforutsigbare situasjoner, som fører til krasj, ukontrollert adferd, og iblant sårbarheter. Dette kan involvere en eller flere av følgende feil; programvaren hindrer ikke at en usannsynlig situasjon skjer, den identifiserer ikke situasjonen som den foregår, og/eller reagerer dårlig eller overhodet ikke på situasjonen etterpå.
Vi vil diskutere og presentere praktediske aspekter av:
Brutt access control
- Praktiske eksempler på brutte access controls
- Sikre access controls og beste praksis
Sikkerhetsfeilkonfigurasjon
- Eksempler fra virkeligheten av feilkonfigurasjoner
- Trinn for å forebygge feilkonfigurasjon, inkludert konfigurasjonsforvaltning og automatiseringstøy
Kryptografiske feil
- Detaljert analyse av kryptografiske feil som svake krypteringsalgoritmer eller utilstrekkelig nøkkelforvaltning
- Vikten av sterke kryptografiske mekanismer, sikre protokoller (SSL/TLS), og eksempler på moderne kryptografi i web-sikkerhet
Injection-angrep
- Detaljert nedbrytning av SQL, NoSQL, OS, og LDAP-injection
- Mitigeringsmetoder ved hjelp av forberedte uttrykk, parametriserte spørringer, og escaping inputs
Usikker design
- Vi vil utforske designdefekter som kan føre til sårbarheter, som ufeilaktig inputvalidering
- Vi vil studere strategier for sikker arkitektur og sikre designprinsipper
Autentiseringsfeil
- Vanlige autentiseringsspørsmål
- Sikre autentiseringsstrategier, som multifaktorautentisering og riktig sesjonsbehandling
Software- og dataintegritetsfeil
- Fokus på problemer som upålitelig programvareoppdatering og datamanipulering
- Sikre oppdateringsmekanismer og dataintegritetssjekker
Sikkerhetslogging og overvåking feil
- Vikten av logging av sikkerhetrelevant informasjon og overvåkning for misstanslige aktiviteter
- Verktøy og praksis for riktig logging og sanntids-overvåking for tidlig oppdagelse av brudd
Krav
- Generelt forståelse av webutviklingsløkken
- Erfaring med webapplikasjonsutvikling og sikkerhet
Målgruppe
- Webutviklere
- Ledere
14 Timer
Referanser (7)
svært dynamisk og fleksibel opplæring!
Valentina Giglio - Fincons SPA
Kurs - OWASP Top 10
Maskinoversatt
Laboratorøvelser
Pietro Colonna - Fincons SPA
Kurs - OWASP Top 10
Maskinoversatt
De interaktive komponentene og eksemplene.
Raphael - Global Knowledge
Kurs - OWASP Top 10
Maskinoversatt
Praktisk tilnærming og trenerkunnskap
RICARDO
Kurs - OWASP Top 10
Maskinoversatt
Instruktørens kunnskap var fenomenal
Patrick - Luminus
Kurs - OWASP Top 10
Maskinoversatt
øvelser, selv om de ligger utenfor min komfortson.
Nathalie - Luminus
Kurs - OWASP Top 10
Maskinoversatt
Instruktøren er meget informativ og kjenner virkelig emnet.
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Kurs - OWASP Top 10
Maskinoversatt
