OWASP Top 10 Training Cursus

Introductie

• Overzicht van OWASP, het doel en het belang ervan voor webbeveiliging
• Toelichting op de OWASP Top 10 lijst
  • A01:2021-Broken Access Besturing gaat omhoog vanaf de vijfde positie; 94% van de applicaties werd getest op een of andere vorm van kapotte toegangscontrole. De 34 Common Weakness Enumerations (CBE's) die zijn toegewezen aan Broken Access Control kwamen vaker voor in toepassingen dan welke andere categorie dan ook.
  • A02:2021-Cryptographic Failures verschuift één positie naar #2, voorheen bekend als Sensitive Data Exposure, wat een breed symptoom was in plaats van een hoofdoorzaak. De hernieuwde focus ligt hier op storingen met betrekking tot cryptografie, wat vaak leidt tot blootstelling van gevoelige gegevens of het compromitteren van het systeem.
  • A03:2021-Injection zakt naar de derde positie. 94% van de toepassingen werd getest op een of andere vorm van injectie, en de 33 CWE's die in deze categorie zijn ingedeeld, komen het op één na meest voor in toepassingen. Cross-site Scripting maakt nu deel uit van deze categorie in deze editie.
  • A04:2021-Insecure Design is een nieuwe categorie voor 2021, met een focus op risico's in verband met ontwerpfouten. Als we als industrie echt 'naar links willen opschuiven', vraagt dat om meer gebruik van bedreigingsmodellering, veilige ontwerppatronen en -principes, en referentiearchitecturen.
  • A05:2021-Verkeerde beveiligingsconfiguratie stijgt van #6 in de vorige editie; 90% van de applicaties werd getest op een of andere vorm van verkeerde configuratie. Met meer verschuivingen naar zeer configureerbare software, is het niet verwonderlijk dat deze categorie omhoog gaat. De vroegere categorie voor XML Externe Entiteiten (XXE) maakt nu deel uit van deze categorie.
  • A06:2021-Vulnerable and Outdated Components was eerder getiteld Using Components with Known Vulnerabilities en is #2 in de Top 10 community-enquête, maar had ook genoeg gegevens om via data-analyse de Top 10 te halen. Deze categorie stijgt van # 9 in 2017 en is een bekend probleem dat we moeilijk kunnen testen en risico's beoordelen. Het is de enige categorie waarvoor geen Common Vulnerability and Exposures (CVE's) zijn toegewezen aan de opgenomen CWE's, dus een standaard exploit- en impactgewicht van 5,0 wordt meegenomen in hun scores.
  • A07:2021-Identification and Authentication Failures was voorheen Broken Authentication en glijdt van de tweede positie naar beneden, en omvat nu CWE's die meer gerelateerd zijn aan identificatiefouten. Deze categorie is nog steeds een integraal onderdeel van de Top 10, maar de toegenomen beschikbaarheid van gestandaardiseerde frameworks lijkt te helpen.
  • A08:2021-Fouten in software- en gegevensintegriteit is een nieuwe categorie voor 2021, die zich richt op het maken van aannames met betrekking tot software-updates, kritieke gegevens en CI/CD-pijplijnen zonder de integriteit te verifiëren.  Een van de hoogst gewogen effecten van Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS)-gegevens die zijn toegewezen aan de 10 CWE's in deze categorie. Insecure Deserialization uit 2017 maakt nu deel uit van deze grotere categorie.
  • A09:2021-Security Logging and Monitoring Failures was voorheen Onvoldoende Logging & Monitoring en is toegevoegd uit de branche-enquête (#3), stijgend van #10 eerder. Deze categorie is uitgebreid met meer soorten fouten, is een uitdaging om op te testen en is niet goed vertegenwoordigd in de CVE/CVSS-gegevens. Storingen in deze categorie kunnen echter rechtstreeks van invloed zijn op zichtbaarheid, incidentwaarschuwingen en forensisch onderzoek.
  • A10:2021-Server-Side Request Forgery is toegevoegd uit de Top 10 community-enquête (#1). De gegevens laten een relatief lage incidentie zien met een bovengemiddelde testdekking, samen met bovengemiddelde beoordelingen voor Exploit- en Impact-potentieel. Deze categorie vertegenwoordigt het scenario waarin de leden van de beveiligingsgemeenschap ons vertellen dat dit belangrijk is, ook al wordt dit op dit moment niet geïllustreerd in de gegevens.

Gebroken Access Controle

• Praktijkvoorbeelden van kapotte toegangscontroles
• Veilige toegangscontroles en best practices

Cryptografische fouten

• Gedetailleerde analyse van cryptografische fouten zoals zwakke versleutelingsalgoritmen of onjuist sleutelbeheer
• Belang van sterke cryptografische mechanismen, veilige protocollen (SSL/TLS) en voorbeelden van moderne cryptografie in webbeveiliging

Injectie aanvallen

• Gedetailleerde uitsplitsing van SQL, NoSQL, OS en LDAP injectie
• Mitigatietechnieken met behulp van voorbereide instructies, geparametriseerde query's en escape-invoer

Onveilig ontwerp

• Onderzoek naar ontwerpfouten die kunnen leiden tot kwetsbaarheden, zoals onjuiste invoervalidatie
• Strategieën voor veilige architectuur en veilige ontwerpprincipes

Verkeerde configuratie van de beveiliging

• Voorbeelden uit de praktijk van verkeerde configuraties
• Stappen om verkeerde configuratie te voorkomen, inclusief hulpprogramma's voor configuratiebeheer en automatisering

Kwetsbare en verouderde componenten

• Risico's van het gebruik van kwetsbare bibliotheken en frameworks identificeren
• Best practices voor afhankelijkheidsbeheer en updates

Mislukte identificatie en verificatie

• Veelvoorkomende verificatieproblemen
• Veilige authenticatiestrategieën, zoals multi-factor authenticatie en de juiste sessieafhandeling

Fouten in software- en gegevensintegriteit

• Focus op zaken als niet-vertrouwde software-updates en geknoei met gegevens
• Veilige updatemechanismen en gegevensintegriteitscontroles

Fouten in beveiligingsregistratie en bewaking

• Belang van het loggen van beveiligingsrelevante informatie en monitoring op verdachte activiteiten
• Tools en praktijken voor de juiste logboekregistratie en real-time monitoring om inbreuken vroegtijdig op te sporen

Vervalsing van verzoeken aan de serverzijde (SSRF)

• Uitleg over hoe aanvallers SSRF-kwetsbaarheden misbruiken om toegang te krijgen tot interne systemen
• Mitigatietactieken, waaronder de juiste invoervalidatie en firewallconfiguraties

Best practices en veilig coderen

• Uitgebreide bespreking van best practices voor veilig coderen
• Tools voor het opsporen van kwetsbaarheden

Samenvatting en volgende stappen