Grazie per aver inviato la tua richiesta! Uno dei nostri team membri ti contatterà a breve.
Grazie per aver inviato il tuo prenotazione! Uno dei nostri team membri ti contatterà a breve.
Struttura del corso
Introduzione
- Panoramica di OWASP, il suo scopo e la sua importanza nella sicurezza web
-
Spiegazione della lista OWASP Top 10
- A01:2021-Broken Access Control si sposta dal quinto al primo posto; il 94% delle applicazioni è stato testato per qualche forma di controllo d'accesso non funzionante. Le 34 Enumerations of Common Weaknesses (CWE) mappate a Broken Access Control hanno avuto più occorrenze nelle applicazioni rispetto a qualsiasi altra categoria.
- A02:2021-Cryptographic Failures si sposta dal secondo posto, precedentemente noto come Sensitive Data Exposure, che era un sintomo ampio piuttosto che una causa radicale. L'attenzione rinnovata si concentra sugli errori relativi alla crittografia, che spesso portano a esposizione di dati sensibili o compromissione del sistema.
- A03:2021-Injection si sposta al terzo posto. Il 94% delle applicazioni è stato testato per qualche forma di iniezione, e le 33 CWE mappate in questa categoria hanno la seconda maggior quantità di occorrenze nelle applicazioni. Cross-site Scripting fa ora parte di questa categoria in questa edizione.
- A04:2021-Insecure Design è una nuova categoria per il 2021, con un focus sui rischi legati ai difetti di progettazione. Se vogliamo davvero "spostarci a sinistra" come industria, è necessario far maggiore uso di modellazione delle minacce, schemi e principi di design sicuro, e architetture di riferimento.
- A05:2021-Security Misconfiguration si sposta dal sesto posto nell'edizione precedente; il 90% delle applicazioni è stato testato per qualche forma di configurazione non sicura. Con un maggiore passaggio a software altamente configurabili, non sorprende vedere questa categoria avanzare. La categoria precedente XML External Entities (XXE) fa ora parte di questa categoria.
- A06:2021-Vulnerable and Outdated Components era precedentemente intitolato Using Components with Known Vulnerabilities e si trova al secondo posto nella community survey, ma ha anche abbastanza dati per entrare nei Top 10 tramite l'analisi dei dati. Questa categoria si sposta dal nono posto nel 2017 ed è un problema noto con cui lottiamo per testarlo e valutare il rischio. È l'unica categoria che non ha Common Vulnerability and Exposures (CVE) mappate alle CWE incluse, quindi pesi di sfruttamento e impatto predefiniti di 5.0 sono considerati nei loro punteggi.
- A07:2021-Identification and Authentication Failures era precedentemente Broken Authentication ed è sceso dalla seconda posizione, ora includendo CWE più correlate a problemi di identificazione. Questa categoria rimane un elemento integrante dei Top 10, ma l'aumentata disponibilità di framework standard sembra essere d'aiuto.
- A08:2021-Software and Data Integrity Failures è una nuova categoria per il 2021, con un focus sugli errori legati alle supposizioni sui aggiornamenti del software, dati critici e pipeline CI/CD senza verifica dell'integrità. Uno degli impatti più pesanti derivanti dai dati Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) mappati alle 10 CWE in questa categoria. L'Insecure Deserialization del 2017 fa ora parte di questa categoria più ampia.
- A09:2021-Security Logging and Monitoring Failures era precedentemente Insufficient Logging & Monitoring e viene aggiunto dalla community survey (#3), avanzando dal decimo posto in precedenza. Questa categoria si espande per includere più tipi di errori, è difficile da testare e non è bene rappresentata nei dati CVE/CVSS. Tuttavia, gli errori in questa categoria possono impattare direttamente la visibilità, l'allerta degli incidenti e le indagini forensiche.
- A10:2021-Server-Side Request Forgery viene aggiunto dalla community survey (#1). I dati mostrano un tasso di incidenza relativamente basso con una copertura dei test al di sopra della media, insieme a valutazioni al di sopra della media per il potenziale di sfruttamento e impatto. Questa categoria rappresenta lo scenario in cui i membri della community di sicurezza ci dicono che è importante, anche se non è illustrato nei dati attuali.
Broken Access Control
- Esempi pratici di controlli d'accesso non funzionanti
- Controlli d'accesso sicuri e best practice
Cryptographic Failures
- Analisi dettagliata degli errori crittografici come algoritmi di cifratura deboli o gestione delle chiavi impropria
- Importanza di meccanismi crittografici forti, protocolli sicuri (SSL/TLS), e esempi di crittografia moderna nella sicurezza web
Injection Attacks
- Analisi dettagliata di SQL, NoSQL, OS e LDAP injection
- Tecniche di mitigazione utilizzando istruzioni preparate, query parametrizzate e scappamento degli input
Insecure Design
- Esplorazione dei difetti di progettazione che possono portare a vulnerabilità, come la validazione impropria degli input
- Strategie per un'architettura sicura e principi di design sicuro
Security Misconfiguration
- Esempi reali di configurazioni non sicure
- Passaggi per prevenire la configurazione errata, compresi i tool di gestione della configurazione e automazione
Vulnerable and Outdated Components
- Identificazione dei rischi legati all'uso di librerie e framework vulnerabili
- Best practice per la gestione delle dipendenze e gli aggiornamenti
Identification and Authentication Failures
- Problemi di autenticazione comuni
- Strategie di autenticazione sicure, come l'autenticazione multifattore e la gestione corretta delle sessioni
Software and Data Integrity Failures
- Focus su problemi come aggiornamenti software non attendibili e manipolazione dei dati
- Meccanismi di aggiornamento sicuri e controlli di integrità dei dati
Security Logging and Monitoring Failures
- Importanza della registrazione delle informazioni relative alla sicurezza e del monitoraggio per attività sospette
- Strumenti e pratiche per una registrazione corretta e un monitoraggio in tempo reale per rilevare i breach precocemente
Server-Side Request Forgery (SSRF)
- Spiegazione di come gli attaccanti sfruttano le vulnerabilità SSRF per accedere ai sistemi interni
- Tattiche di mitigazione, inclusa la validazione corretta degli input e le configurazioni del firewall
Best Practices and Secure Coding
- Discussione completa sulle best practice per il coding sicuro
- Strumenti per la rilevazione delle vulnerabilità
Riepilogo e prossimi passi
Requisiti
- Una comprensione generale del ciclo di vita dello sviluppo web
- Esperienza nello sviluppo e nella sicurezza delle applicazioni web
Pubblico di riferimento
- Sviluppatori web
- Leader
14 Ore
Recensioni (7)
I componenti interattivi e gli esempi.
Raphael - Global Knowledge
Corso - OWASP Top 10
Traduzione automatica
Approccio pratico e conoscenza del formatore
RICARDO
Corso - OWASP Top 10
Traduzione automatica
La conoscenza dell'allenatore era fenomenale
Patrick - Luminus
Corso - OWASP Top 10
Traduzione automatica
Esercizi, anche se al di fuori della mia zona di comfort.
Nathalie - Luminus
Corso - OWASP Top 10
Traduzione automatica
Il formatore è molto istruttivo e conosce davvero l'argomento
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Corso - OWASP Top 10
Traduzione automatica
Il Trainor è davvero un esperto in materia.
Reynold - SGL Manila (Shared Service Center) Inc.
Corso - OWASP Top 10
Traduzione automatica
Laboratorio pratico su come ottenere un proiettile da una macchina attaccata
Catalin
Corso - OWASP Top 10
Traduzione automatica
