Grazie per aver inviato la tua richiesta! Uno dei nostri team membri ti contatterà a breve.
Grazie per aver inviato il tuo prenotazione! Uno dei nostri team membri ti contatterà a breve.
Struttura del corso
Introduzione
- Panoramica di OWASP, del suo scopo e importanza nella sicurezza web
-
Spiegazione della lista OWASP Top 10
- A01:2021-Controlli di Accesso Rotti si sposta dalla quinta posizione; il 94% delle applicazioni è stato testato per qualche forma di controllo di accesso rotto. Le 34 Common Weakness Enumerations (CWE) mappate ai Controlli di Accesso Rotti hanno avuto più occorrenze nelle applicazioni rispetto a qualsiasi altra categoria.
- A02:2021-Fallimenti Crittografici si sposta di una posizione alla seconda, precedentemente conosciuto come Esposizione di Dati Sensibili, che era un sintomo ampio piuttosto che una causa radicale. Il focus rinnovato qui è sui fallimenti correlati alla crittografia che spesso portano all'esposizione di dati sensibili o alla compromissione del sistema.
- A03:2021-Iniezione scivola al terzo posto. Il 94% delle applicazioni è stato testato per qualche forma di iniezione, e le 33 CWE mappate in questa categoria hanno la seconda maggiore occorrenza nelle applicazioni. Cross-site Scripting fa ora parte di questa categoria in questa edizione.
- A04:2021-Design Insicuro è una nuova categoria per 2021, con un focus sui rischi correlati ai difetti di progettazione. Se vogliamo davvero “muovere a sinistra” come industria, si richiede un utilizzo maggiore della modellizzazione delle minacce, dei pattern e principi di progettazione sicuri e di architetture di riferimento.
- A05:2021-Misconfigurazione di Sicurezza si sposta dalla sesta posizione dell'edizione precedente; il 90% delle applicazioni è stato testato per qualche forma di misconfigurazione. Con più passaggi verso software altamente configurabili, non sorprende vedere questa categoria spostarsi. La categoria precedente per XML External Entities (XXE) fa ora parte di questa categoria.
- A06:2021-Componenti Vulnerabili e Obsoleti era precedentemente intitolato Utilizzo di Componenti con Vulnerabilità Note ed è al secondo posto nel sondaggio della community Top 10, ma aveva anche abbastanza dati per entrare nella Top 10 tramite l'analisi dei dati. Questa categoria si sposta dalla nona posizione del 2017 e rappresenta un problema noto con cui lottiamo per testare e valutare i rischi. È l'unica categoria che non ha alcuna Common Vulnerability and Exposures (CVE) mappata alle CWE incluse, quindi pesi di sfruttamento e impatto predefiniti di 5.0 sono stati fattorizzati nei loro punteggi.
- A07:2021-Fallimenti di Identificazione e Autenticazione era precedentemente Convalida dell'Autenticazione Rottura ed è scivolata dalla seconda posizione, ora includendo CWE più correlati ai fallimenti di identificazione. Questa categoria rimane una parte integrante della Top 10, ma la maggiore disponibilità di framework standard sembra essere d'aiuto.
- A08:2021-Fallimenti di Integrità del Software e dei Dati è una nuova categoria per 2021, focalizzata sull'assunzione di rischi correlati alle aggiornamenti del software, ai dati critici e alle pipeline CI/CD senza verificare l'integrità. Uno degli impatti più pesanti derivanti dai dati Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mappati alle 10 CWE in questa categoria. La Deserializzazione Insicura del 2017 fa ora parte di questa categoria più ampia.
- A09:2021-Fallimenti di Registrazione e Monitoraggio della Sicurezza era precedentemente Registrazione e Monitoraggio Insufficienti ed è stato aggiunto dal sondaggio dell'industria (#3), spostandosi dalla decima posizione precedente. Questa categoria si espande per includere più tipologie di fallimenti, è difficile da testare e non è ben rappresentata nei dati CVE/CVSS. Tuttavia, i fallimenti in questa categoria possono impattare direttamente la visibilità, l'allerta degli incidenti e la forense.
- A10:2021-Server-Side Request Forgery è stato aggiunto dal sondaggio della community Top 10 (#1). I dati mostrano un tasso di incidenza relativamente basso con una copertura di test superiore alla media, insieme a valutazioni superiori alla media per il potenziale di Sfruttamento e Impatto. Questa categoria rappresenta lo scenario in cui i membri della community di sicurezza ci dicono che questo è importante, anche se non è illustrato nei dati al momento.
Controlli di Accesso Rotti
- Esempi pratici di controlli di accesso rotti
- Controlli di accesso sicuri e best practice
Fallimenti Crittografici
- Analisi dettagliata dei fallimenti crittografici come algoritmi di cifratura deboli o gestione delle chiavi impropria
- Importanza di meccanismi crittografici forti, protocolli sicuri (SSL/TLS) e esempi di crittografia moderna nella sicurezza web
Attacchi di Iniezione
- Dettagli sull'iniezione SQL, NoSQL, OS e LDAP
- Tecniche di mitigazione utilizzando istruzioni preparate, query parametrizzate e escape degli input
Design Insicuro
- Esplorazione dei difetti di progettazione che possono portare a vulnerabilità, come la validazione impropria degli input
- Strategie per architetture sicure e principi di progettazione sicuri
Misconfigurazione di Sicurezza
- Esempi reali di misconfigurazioni
- Passaggi per prevenire le misconfigurazioni, inclusa la gestione della configurazione e gli strumenti di automazione
Componenti Vulnerabili e Obsoleti
- Identificazione dei rischi legati all'utilizzo di librerie e framework vulnerabili
- Best practice per la gestione delle dipendenze e gli aggiornamenti
Fallimenti di Identificazione e Autenticazione
- Problemi comuni di autenticazione
- Strategie di autenticazione sicura, come l'autenticazione a più fattori e la gestione corretta delle sessioni
Fallimenti di Integrità del Software e dei Dati
- Focus su problemi come aggiornamenti software non attendibili e manipolazione dei dati
- Meccanismi di aggiornamento sicuri e controlli sull'integrità dei dati
Fallimenti di Registrazione e Monitoraggio della Sicurezza
- Importanza del logging delle informazioni rilevanti per la sicurezza e del monitoraggio delle attività sospette
- Strumenti e pratiche per un logging appropriato e il monitoraggio in tempo reale per rilevare i brevi all'inizio
Server-Side Request Forgery (SSRF)
- Spiegazione di come gli attaccanti sfruttano le vulnerabilità SSRF per accedere ai sistemi interni
- Tattiche di mitigazione, incluse la validazione appropriata degli input e le configurazioni del firewall
Best Practice e Codifica Sicura
- Discussione completa sulle best practice per la codifica sicura
- Strumenti per il rilevamento delle vulnerabilità
Riepilogo e Prossimi Passi
Requisiti
- Comprensione generale del ciclo di vita dello sviluppo web
- Esperienza nello sviluppo e nella sicurezza delle applicazioni web
Pubblico Obiettivo
- Sviluppatori web
- Leader
14 ore
Recensioni (7)
un corso di formazione molto dinamico e flessibile!
Valentina Giglio - Fincons SPA
Corso - OWASP Top 10
Traduzione automatica
Esercizi di laboratorio
Pietro Colonna - Fincons SPA
Corso - OWASP Top 10
Traduzione automatica
Gli elementi interattivi e gli esempi.
Raphael - Global Knowledge
Corso - OWASP Top 10
Traduzione automatica
Approccio pratico e conoscenza del formatore
RICARDO
Corso - OWASP Top 10
Traduzione automatica
La conoscenza del formatore era fenomenale
Patrick - Luminus
Corso - OWASP Top 10
Traduzione automatica
esercizi, anche se fuori dalla mia zona di comfort.
Nathalie - Luminus
Corso - OWASP Top 10
Traduzione automatica
Il formatore è molto informato e conosce davvero l'argomento
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Corso - OWASP Top 10
Traduzione automatica
