Cursuri de pregatire OWASP Top 10 2025

A01:2025 - Controlul Accesului Compromis
A02:2025 - Configurare Incorectă a Securității
A03:2025 - Defecte ale Lanțului de Aprovizionare Software
A04:2025 - Defecte Criptografice
A05:2025 - Injectare
A06:2025 - Design Nesigur
A07:2025 - Defecte de Autentificare
A08:2025 - Defecte de Integritate a Software-ului sau a Datelor
A09:2025 - Defecte de Înregistrare și Alertare a Securității
A10:2025 - Gestionarea Incorectă a Condițiilor Excepționale

A01:2025 Controlul Accesului Compromis - Controlul accesului aplică politici astfel încât utilizatorii să nu poată acționa în afara permisiunilor lor intenționate. Defectele duc de obicei la dezvăluirea neautorizată a informațiilor, modificarea sau distrugerea tuturor datelor sau la efectuarea unei funcții de afaceri în afara limitelor utilizatorului.

A02:2025 Configurare Incorectă a Securității - Configurarea incorectă a securității apare atunci când un sistem, o aplicație sau un serviciu cloud este configurat incorect din punct de vedere al securității, creând vulnerabilități.

A03:2025 Defecte ale Lanțului de Aprovizionare Software - Defectele lanțului de aprovizionare software sunt defecțiuni sau alte compromisuri în procesul de construire, distribuire sau actualizare a software-ului. Acestea sunt adesea cauzate de vulnerabilități sau modificări malitioase în codul, instrumentele sau alte dependențe de la terți pe care se bazează sistemul.

A04:2025 Defecte Criptografice - În general, toate datele în tranzit ar trebui să fie criptate la nivelul de transport (stratul 4 OSI). Obstacolele anterioare, cum ar fi performanța CPU și gestionarea cheilor private/certificatelor, sunt acum gestionate de procesoarele care au instrucțiuni proiectate pentru a accelera criptarea (de exemplu, suportul AES), iar gestionarea cheilor private și a certificatelor este simplificată de servicii precum LetsEncrypt.org, cu mari furnizori de cloud oferind servicii de gestionare a certificatelor și mai integrate pentru platformele lor specifice. În plus față de securizarea stratului de transport, este important să se determine ce date necesită criptare în repaus, precum și ce date necesită criptare suplimentară în tranzit (la stratul de aplicație, stratul 7 OSI). De exemplu, parolele, numerele de card de credit, înregistrările medicale, informațiile personale și secretele de afaceri necesită protecție suplimentară, mai ales dacă aceste date se încadrează sub legile privind confidențialitatea, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) al UE, sau reglementări precum Standardul de Securitate a Datelor PCI (PCI DSS).

A05:2025 Injectare - O vulnerabilitate de injectare este o deficiență a sistemului care permite unui atacator să introducă cod sau comenzi malitioase (cum ar fi SQL sau cod shell) în câmpurile de intrare ale unui program, înșelând sistemul să execute codul sau comenzile ca și cum ar face parte din sistem. Acest lucru poate duce la consecințe grave.

A06:2025 Design Nesigur - Designul nesigur este o categorie largă care reprezintă diferite slăbiciuni, exprimate ca „lipsa sau ineficiența designului controalelor”. Designul nesigur nu este sursa pentru toate celelalte categorii de risc din Top Ten. Rețineți că există o diferență între designul nesigur și implementarea nesigură. Facem distincția între defectele de design și defectele de implementare pentru un motiv, acestea au cauze diferite, au loc în momente diferite în procesul de dezvoltare și au remedieri diferite. Un design securizat poate avea în continuare defecte de implementare care duc la vulnerabilități care pot fi exploatate. Un design nesigur nu poate fi remediat printr-o implementare perfectă, deoarece controalele de securitate necesare nu au fost niciodată create pentru a se apăra împotriva unor atacuri specifice. Unul dintre factorii care contribuie la designul nesigur este lipsa profilării riscurilor de afaceri inerente software-ului sau sistemului în curs de dezvoltare și, prin urmare, eșecul de a determina ce nivel de design de securitate este necesar.

A07:2025 Defecte de Autentificare - Atunci când un atacator reușește să înșele sistemul să recunoască un utilizator nevalid sau incorect ca fiind legitim, această vulnerabilitate este prezentă.

A08:2025 Defecte de Integritate a Software-ului sau a Datelor - Defectele de integritate a software-ului și a datelor se referă la codul și infrastructura care nu protejează împotriva codului sau datelor nevalide sau de încredere tratate ca fiind de încredere și valide. Un exemplu în acest sens este atunci când o aplicație se bazează pe plugin-uri, biblioteci sau module din surse nevalidate, depozite și rețele de distribuție de conținut (CDN). Un pipeline CI/CD nesigur fără verificări de integritate a software-ului poate introduce potențialul pentru acces neautorizat, cod nesigur sau malitios sau compromiterea sistemului. Un alt exemplu pentru aceasta este un CI/CD care preia cod sau artefacte din locuri nevalidate și/sau nu le verifică înainte de utilizare (prin verificarea semnăturii sau un mecanism similar).

A09:2025 Defecte de Înregistrare și Alertare a Securității - Fără înregistrare și monitorizare, atacurile și încălcările nu pot fi detectate, iar fără alertare este foarte dificil să se răspundă rapid și eficient în timpul unui incident de securitate. Înregistrarea insuficientă, monitorizarea continuă, detectarea și alertarea pentru a iniția răspunsuri active apar oricând.

A10:2025 Gestionarea Incorectă a Condițiilor Excepționale - Gestionarea incorectă a condițiilor excepționale în software apare atunci când programele nu reușesc să prevină, să detecteze și să răspundă la situații neobișnuite și imprevizibile, ceea ce duce la blocaje, comportament neașteptat și uneori la vulnerabilități. Aceasta poate implica unul sau mai multe dintre următoarele trei deficiențe: aplicația nu previne o situație neobișnuită să se producă, nu identifică situația pe măsură ce se produce și/sau răspunde prost sau deloc la situație după aceea.

Vom discuta și vom prezenta aspecte practice ale:

Controlul Accesului Compromis
- Exemple practice de controale de acces compromise
- Controale de acces securizate și cele mai bune practici

Configurare Incorectă a Securității
- Exemple din lumea reală de configurații incorecte
- Pași pentru a preveni configurațiile incorecte, inclusiv gestionarea configurațiilor și instrumente de automatizare

Defecte Criptografice
- Analiză detaliată a defectelor criptografice, cum ar fi algoritmi de criptare slabi sau gestionarea incorectă a cheilor
- Importanța mecanismelor criptografice puternice, a protocoalelor securizate (SSL/TLS) și a exemplelor de criptografie modernă în securitatea web

Atacuri de Injectare
- Defalcare detaliată a injectărilor SQL, NoSQL, OS și LDAP
- Tehnici de atenuare folosind instrucțiuni pregătite, interogări parametrizate și escaparea intrărilor

Design Nesigur
- Vom explora defectele de design care pot duce la vulnerabilități, cum ar fi validarea incorectă a intrărilor
- Vom studia strategii pentru o arhitectură securizată și principii de design securizat

Defecte de Autentificare
- Probleme comune de autentificare
- Strategii securizate de autentificare, cum ar fi autentificarea multi-factor și gestionarea corectă a sesiunilor

Defecte de Integritate a Software-ului și a Datelor
- Focus pe probleme precum actualizări de software nevalidate și manipularea datelor
- Mecanisme sigure de actualizare și verificări de integritate a datelor

Defecte de Înregistrare și Monitorizare a Securității
- Importanța înregistrării informațiilor relevante pentru securitate și a monitorizării activităților suspecte
- Instrumente și practici pentru o înregistrare corectă și monitorizare în timp real pentru a detecta încălcările la timp