Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Struttura del corso
Introduzione
- Panoramica di OWASP, il suo scopo e l'importanza nella sicurezza web
- Spiegazione della lista OWASP Top 10
- A01:2021-Broken Access Control sale dalla quinta posizione; Il 94% delle applicazioni è stato testato per una qualche forma di controllo degli accessi interrotto. Le 34 Common Weakness Enumerations (CWE) mappate su Broken Access Control hanno avuto più occorrenze nelle applicazioni rispetto a qualsiasi altra categoria.
- A02:2021-Errori crittografici sale di una posizione a #2, precedentemente nota come esposizione ai dati sensibili, che era un sintomo generale piuttosto che una causa principale. L'attenzione è rivolta ai guasti legati alla crittografia, che spesso portano all'esposizione di dati sensibili o alla compromissione del sistema.
- A03:2021-L'iniezione scivola in terza posizione. Il 94% delle applicazioni è stato testato per una qualche forma di iniezione e le 33 CWE mappate in questa categoria hanno il secondo maggior numero di occorrenze nelle applicazioni. Il cross-site scripting fa ora parte di questa categoria in questa edizione.
- A04:2021-Insecure Design è una nuova categoria per il 2021, con particolare attenzione ai rischi legati ai difetti di progettazione. Se vogliamo davvero "spostarci a sinistra" come settore, è necessario un maggiore utilizzo della modellazione delle minacce, di modelli e principi di progettazione sicuri e di architetture di riferimento.
- A05:2021-La configurazione errata della sicurezza sale dalla #6 dell'edizione precedente; Il 90% delle applicazioni è stato testato per una qualche forma di configurazione errata. Con l'aumento dei passaggi a software altamente configurabili, non sorprende vedere questa categoria salire. La precedente categoria per XML Entità esterne (XXE) fa ora parte di questa categoria.
- A06:2021-Componenti vulnerabili e obsoleti era precedentemente intitolato Utilizzo di componenti con vulnerabilità note ed è #2 nel sondaggio della comunità Top 10, ma aveva anche dati sufficienti per entrare nella Top 10 tramite l'analisi dei dati. Questa categoria sale dal #9 del 2017 ed è un problema noto che facciamo fatica a testare e valutare il rischio. È l'unica categoria a non avere alcuna vulnerabilità ed esposizione comune (CVE) mappata ai CWE inclusi, quindi un exploit predefinito e un peso dell'impatto di 5,0 sono presi in considerazione nei loro punteggi.
- A07:2021-Errori di identificazione e autenticazione era in precedenza l'autenticazione interrotta e sta scivolando verso il basso dalla seconda posizione e ora include CWE che sono più correlati agli errori di identificazione. Questa categoria è ancora parte integrante della Top 10, ma la maggiore disponibilità di framework standardizzati sembra essere d'aiuto.
- A08:2021-Software and Data Integrity Failures è una nuova categoria per il 2021, che si concentra sulla formulazione di ipotesi relative ad aggiornamenti software, dati critici e pipeline CI/CD senza verificarne l'integrità. Uno degli impatti più ponderati dei dati CVE/CVSS (Common Vulnerability and Exposures/Common Vulnerability Scoring System) è stato mappato ai 10 CWE di questa categoria. La deserializzazione non sicura del 2017 fa ora parte di questa categoria più ampia.
- A09:2021-Security Logging and Monitoring Failures era precedentemente Insufficient Logging & Monitoring ed è stato aggiunto dal sondaggio di settore (#3), salendo dal precedente #10. Questa categoria è stata ampliata per includere più tipi di errori, è difficile da testare e non è ben rappresentata nei dati CVE/CVSS. Tuttavia, gli errori in questa categoria possono avere un impatto diretto sulla visibilità, sugli avvisi sugli incidenti e sull'analisi forense.
- A10:2021-Server-Side Request Forgery è stato aggiunto dal sondaggio Top 10 della community (#1). I dati mostrano un tasso di incidenza relativamente basso con una copertura dei test superiore alla media, insieme a valutazioni superiori alla media per il potenziale di exploit e impatto. Questa categoria rappresenta lo scenario in cui i membri della community di sicurezza ci dicono che questo è importante, anche se non è illustrato nei dati in questo momento.
Controllo rotto Access
- Esempi pratici di controlli di accesso non funzionanti
- Controlli di accesso sicuri e best practice
Errori di crittografia
- Analisi dettagliata dei guasti crittografici come algoritmi di crittografia deboli o gestione impropria delle chiavi
- Importanza di meccanismi crittografici forti, protocolli sicuri (SSL/TLS) ed esempi di crittografia moderna nella sicurezza web
Attacchi di iniezione
- Analisi dettagliata dell'iniezione di SQL, NoSQL, OS e LDAP
- Tecniche di mitigazione che utilizzano istruzioni preparate, query con parametri e input di escape
Design insicuro
- Esplorare i difetti di progettazione che possono portare a vulnerabilità, come la convalida impropria dell'input
- Strategie per un'architettura sicura e principi di progettazione sicura
Errore di configurazione della sicurezza
- Esempi reali di configurazioni errate
- Passaggi per prevenire errori di configurazione, inclusi strumenti di gestione della configurazione e automazione
Componenti vulnerabili e obsoleti
- Identificazione dei rischi derivanti dall'utilizzo di librerie e framework vulnerabili
- Procedure consigliate per la gestione e gli aggiornamenti delle dipendenze
Errori di identificazione e autenticazione
- Problemi di autenticazione comuni
- Strategie di autenticazione sicure, come l'autenticazione a più fattori e la corretta gestione delle sessioni
Errori di integrità del software e dei dati
- Concentrati su problemi come aggiornamenti software non attendibili e manomissione dei dati
- Meccanismi di aggiornamento sicuri e controlli di integrità dei dati
Errori di registrazione e monitoraggio della sicurezza
- Importanza della registrazione delle informazioni rilevanti per la sicurezza e del monitoraggio delle attività sospette
- Strumenti e pratiche per una corretta registrazione e monitoraggio in tempo reale per rilevare tempestivamente le violazioni
Falsificazione delle richieste lato server (SSRF)
- Spiegazione di come gli aggressori sfruttano le vulnerabilità SSRF per accedere ai sistemi interni
- Tattiche di mitigazione, tra cui la convalida dell'input e le configurazioni del firewall
Best practice e codifica sicura
- Discussione completa sulle best practice per la codifica sicura
- Strumenti per il rilevamento delle vulnerabilità
Riepilogo e passaggi successivi
Requisiti
- Una comprensione generale del ciclo di vita dello sviluppo web
- Esperienza nello sviluppo e nella sicurezza di applicazioni web
Pubblico
- Sviluppatori web
- Leader
14 ore
Recensioni (7)
Approccio pratico e conoscenza del formatore
RICARDO
Corso - OWASP Top 10
Traduzione automatica
La conoscenza dell'allenatore era fenomenale
Patrick - Luminus
Corso - OWASP Top 10
Traduzione automatica
Esercizi, anche se al di fuori della mia zona di comfort.
Nathalie - Luminus
Corso - OWASP Top 10
Traduzione automatica
Il formatore è molto istruttivo e conosce davvero l'argomento
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Corso - OWASP Top 10
Traduzione automatica
Il Trainor è davvero un esperto in materia.
Reynold - SGL Manila (Shared Service Center) Inc.
Corso - OWASP Top 10
Traduzione automatica
Laboratorio pratico su come ottenere un proiettile da una macchina attaccata
Catalin
Corso - OWASP Top 10
Traduzione automatica
Lo stile facile per le spiegazioni tecniche.
Adriana Moga
Corso - OWASP Top 10
Traduzione automatica
