OWASP Topp 10 Treningskurs

Introduksjon

• Oversikt over OWASP, dens formål og betydning for web-sikkerhet
• Forklaring på OWASP Top 10-lista
  • A01:2021-Broken Access Control røkker opp fra femteplass; 94% av applikasjonene ble testet for noen form for brutt tilgangskontroll. De 34 Common Weakness Enumerations (CWEs) som er knyttet til Broken Access Control hadde flere forekomster i applikasjoner enn noen annen kategori.
  • A02:2021-Cryptographic Failures røkker opp én plass til #2, tidligere kjent som Sensitive Data Exposure, som var et bredt symptom snarere enn en rotårsak. Fokuset her er nå på feil knyttet til kryptografi, som ofte fører til utsetting av sensitiv data eller systemkompromittering.
  • A03:2021-Injection røkker ned til tredjeplass. 94% av applikasjonene ble testet for noen form for injeksjon, og de 33 CWEs som er knyttet til denne kategorien har nest flest forekomster i applikasjoner. Cross-site Scripting er nå en del av denne kategorien i denne utgaven.
  • A04:2021-Insecure Design er en ny kategori for 2021, med fokus på risikoer knyttet til designfeil. Hvis vi virkelig ønsker å "flytte til venstre" som en bransje, krever det mer bruk av trusselmodellering, sikre designmønstre og prinsipper, og referansearkitekturer.
  • A05:2021-Security Misconfiguration røkker opp fra #6 i forrige utgave; 90% av applikasjonene ble testet for noen form for feilkonfigurasjon. Med flere skifter mot høyt konfigurerbar programvare, er det ikke overraskende å se denne kategorien røkke opp. Den tidligere kategorien for XML External Entities (XXE) er nå en del av denne kategorien.
  • A06:2021-Vulnerable and Outdated Components var tidligere kalt Using Components with Known Vulnerabilities og er #2 i Top 10-samfunnsundersøkelsen, men hadde også nok data til å komme inn på Top 10 via dataanalyse. Denne kategorien røkker opp fra #9 i 2017 og er et kjent problem som vi sliter med å teste og vurdere risiko. Det er den eneste kategorien som ikke har noen Common Vulnerability and Exposures (CVEs) knyttet til de inkluderte CWEs, så standard eksploiterings- og påvirkningsvekter på 5,0 er inkludert i deres poengsum.
  • A07:2021-Identification and Authentication Failures var tidligere kalt Broken Authentication og røkker ned fra andreplass, og inkluderer nå CWEs som er mer knyttet til identifikasjonsfeil. Denne kategorien er fortsatt en integrert del av Top 10, men den økte tilgjengeligheten av standardiserte rammeverk ser ut til å hjelpe.
  • A08:2021-Software and Data Integrity Failures er en ny kategori for 2021, med fokus på å gjøre antakelser knyttet til programvareoppdateringer, kritiske data og CI/CD-pipelines uten å verifisere integriteten. En av de høyest vektede påvirkningene fra Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS)-data er knyttet til de 10 CWEs i denne kategorien. Insecure Deserialization fra 2017 er nå en del av denne større kategorien.
  • A09:2021-Security Logging and Monitoring Failures var tidligere kalt Insufficient Logging & Monitoring og er tatt med fra bransjeundersøkelsen (#3), og røkker opp fra #10 tidligere. Denne kategorien er utvidet for å inkludere flere typer feil, er vanskelig å teste for, og er ikke godt representert i CVE/CVSS-data. Feil i denne kategorien kan imidlertid direkte påvirke synlighet, hendelsesvarsling og etterforskningsarbeid.
  • A10:2021-Server-Side Request Forgery er tatt med fra Top 10-samfunnsundersøkelsen (#1). Dataene viser en relativt lav forekomstrate med over gjennomsnittlig testdekning, samt over gjennomsnittlige vurderinger for eksploiterings- og påvirkningspotensial. Denne kategorien representerer scenariet hvor sikkerhetsfellesskapet forteller oss at dette er viktig, selv om det ikke illustreres i dataene for øyeblikket.

Broken Access Control

• Praktiske eksempler på brutt tilgangskontroll
• Sikre tilgangskontroller og beste praksis

Cryptographic Failures

• Detaljert analyse av kryptografiske feil, som svake krypteringsalgoritmer eller feil håndtering av nøkler
• Viktigheten av sterke kryptografiske mekanismer, sikre protokoller (SSL/TLS), og eksempler på moderne kryptografi i web-sikkerhet

Injection Attacks

• Detaljert oppdeling av SQL, NoSQL, OS og LDAP-injeksjoner
• Metoder for å avverge injeksjoner ved bruk av forberedte utsagn, parameteriserte spørringer og rensing av inndata

Insecure Design

• Utforsking av designfeil som kan føre til sårbarheter, som feil inndatavalidering
• Strategier for sikker arkitektur og sikre designprinsipper

Security Misconfiguration

• Reelle eksempler på feilkonfigurasjoner
• Skritt for å forhindre feilkonfigurasjoner, inkludert konfigurasjonshåndtering og automatiseringsverktøy

Vulnerable and Outdated Components

• Identifisering av risikoer ved bruk av sårbare biblioteker og rammeverk
• Beste praksis for avhengighetshåndtering og oppdateringer

Identification and Authentication Failures

• Vanlige autentiseringsproblemer
• Sikre autentiseringsstrategier, som multifaktorautentisering og riktig håndtering av økter

Software and Data Integrity Failures

• Fokus på problemer som ubetrodd programvareoppdatering og datamanipulasjon
• Sikre oppdateringsmekanismer og dataintegritetsjekker

Security Logging and Monitoring Failures

• Viktigheten av å logge sikkerhetsrelevant informasjon og overvåke for mistenkelige aktiviteter
• Verktøy og praksis for riktig logging og realtidsovervåking for å oppdage brudd tidlig

Server-Side Request Forgery (SSRF)

• Forklaring på hvordan angripere utnytter SSRF-sårbarheter for å få tilgang til interne systemer
• Metoder for å avverge SSRF, inkludert riktig inndatavalidering og brannmurkonfigurasjoner

Best Practices and Secure Coding

• Omfattende diskusjon om beste praksis for sikker kodingspraksis
• Verktøy for oppdagelse av sårbarheter

Oppsummering og Neste Skritt