OWASP Top 10 Khóa Học Đào Tạo

Giới thiệu

• Tổng quan về OWASP, mục đích và sự quan trọng trong việc bảo mật web
• Giải thích về danh sách Top 10 của OWASP
  • A01:2021-Broken Access Control được đẩy lên từ vị trí thứ năm; 94% các ứng dụng đã được kiểm tra về một dạng nào đó của truy cập không an toàn. 34 Weakness Enumerations (CWEs) được ánh xạ vào Broken Access Control có số lần xuất hiện trong ứng dụng nhiều hơn bất kỳ danh mục nào khác.
  • A02:2021-Cryptographic Failures được đẩy lên một vị trí để trở thành số 2, trước đây được gọi là Sensitive Data Exposure, đây là một triệu chứng rộng hơn là nguyên nhân gốc. Điểm chú ý ở đây là các thất bại liên quan đến mã hóa thường dẫn đến việc tiết lộ dữ liệu nhạy cảm hoặc xâm nhập hệ thống.
  • A03:2021-Injection lùi xuống vị trí thứ ba. 94% các ứng dụng đã được kiểm tra về một dạng nào đó của chèn dữ liệu, và 33 CWEs được ánh xạ vào danh mục này có số lần xuất hiện trong ứng dụng nhiều thứ hai. Cross-site Scripting giờ đây là một phần của danh mục này trong phiên bản này.
  • A04:2021-Insecure Design là một danh mục mới cho năm 2021, với sự chú ý đến các rủi ro liên quan đến lỗi thiết kế. Nếu chúng ta thực sự muốn “di chuyển về phía trái” như một ngành, điều này yêu cầu nhiều hơn sử dụng mô hình hóa mối đe dọa, mẫu thiết kế và nguyên tắc bảo mật, và kiến trúc tham khảo.
  • A05:2021-Security Misconfiguration được đẩy lên từ vị trí thứ 6 trong phiên bản trước; 90% các ứng dụng đã được kiểm tra về một dạng nào đó của cấu hình sai. Với nhiều chuyển đổi sang phần mềm có thể cấu hình cao, không có gì ngạc nhiên khi thấy danh mục này được đẩy lên. Danh mục cũ cho XML External Entities (XXE) giờ đây là một phần của danh mục này.
  • A06:2021-Vulnerable and Outdated Components trước đây có tên là Using Components with Known Vulnerabilities và là vị trí thứ 2 trong cuộc khảo sát Top 10 của cộng đồng, nhưng cũng có đủ dữ liệu để vươn lên Top 10 thông qua phân tích dữ liệu. Danh mục này được đẩy lên từ vị trí thứ 9 vào năm 2017 và là một vấn đề được biết đến mà chúng ta gặp khó khăn trong việc kiểm tra và đánh giá rủi ro. Đây là danh mục duy nhất không có bất kỳ Common Vulnerability and Exposures (CVEs) nào được ánh xạ với CWEs bao gồm, vì vậy trọng số khai thác và tác động mặc định 5.0 được đưa vào điểm số của chúng.
  • A07:2021-Identification and Authentication Failures trước đây có tên là Broken Authentication và đang lùi xuống từ vị trí thứ hai, và giờ đây bao gồm CWEs liên quan nhiều hơn đến lỗi xác định. Danh mục này vẫn là một phần quan trọng của Top 10, nhưng sự khả dụng tăng lên của các khung cấu trúc tiêu chuẩn dường như đang giúp ích.
  • A08:2021-Software and Data Integrity Failures là một danh mục mới cho năm 2021, tập trung vào việc làm giả định về cập nhật phần mềm, dữ liệu quan trọng và các pipeline CI/CD mà không xác minh tính toàn vẹn. Một trong những tác động trọng số cao nhất từ dữ liệu Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) được ánh xạ với 10 CWEs trong danh mục này. Insecure Deserialization từ năm 2017 giờ đây là một phần của danh mục lớn hơn này.
  • A09:2021-Security Logging and Monitoring Failures trước đây có tên là Insufficient Logging & Monitoring và được thêm từ cuộc khảo sát ngành nghề (#3), được đẩy lên từ vị trí thứ 10 trước đây. Danh mục này được mở rộng để bao gồm nhiều loại lỗi khác, khó kiểm tra và không được thể hiện rõ trong dữ liệu CVE/CVSS. Tuy nhiên, các lỗi trong danh mục này có thể trực tiếp ảnh hưởng đến khả năng nhìn thấy, cảnh báo sự cố và pháp y học.
  • A10:2021-Server-Side Request Forgery được thêm từ cuộc khảo sát cộng đồng Top 10 (#1). Dữ liệu cho thấy tỷ lệ xảy ra tương đối thấp với mức bù đắp kiểm tra trên trung bình, cùng với các điểm đánh giá trên trung bình về khả năng khai thác và tác động. Danh mục này đại diện cho tình huống mà các thành viên của cộng đồng bảo mật cho chúng ta biết điều này rất quan trọng, dù nó chưa được thể hiện trong dữ liệu vào lúc này.

Broken Access Control

• Các ví dụ thực tế về các điều khiển truy cập không an toàn
• Các điều khiển truy cập an toàn và các thực hành tốt nhất

Cryptographic Failures

• Phân tích chi tiết về các lỗi mã hóa như thuật toán mã hóa yếu hoặc quản lý khóa không đúng cách
• Sự quan trọng của các cơ chế mã hóa mạnh mẽ, các giao thức an toàn (SSL/TLS) và các ví dụ về mã hóa hiện đại trong bảo mật web

Injection Attacks

• Phân tích chi tiết về các cuộc tấn công SQL, NoSQL, OS và LDAP chèn dữ liệu
• Các phương pháp giảm thiểu bằng cách sử dụng các câu lệnh chuẩn bị, truy vấn tham số và thoát các đầu vào

Insecure Design

• Khám phá các lỗi thiết kế có thể dẫn đến các lỗ hổng, như xác thực đầu vào không đúng cách
• Các chiến lược cho kiến trúc an toàn và các nguyên tắc thiết kế an toàn

Security Misconfiguration

• Các ví dụ thực tế về các cấu hình sai
• Các bước để ngăn chặn các cấu hình sai, bao gồm các công cụ quản lý cấu hình và tự động hóa

Vulnerable and Outdated Components

• Xác định các rủi ro khi sử dụng các thư viện và khung làm việc bị tấn công
• Các thực hành tốt nhất cho quản lý và cập nhật phụ thuộc

Identification and Authentication Failures

• Các vấn đề xác thực thường gặp
• Các chiến lược xác thực an toàn, như xác thực nhiều yếu tố và xử lý phiên làm việc đúng cách

Software and Data Integrity Failures

• Tìm hiểu về các vấn đề như các cập nhật phần mềm không đáng tin cậy và dữ liệu bị thay đổi
• Các cơ chế cập nhật an toàn và kiểm tra tính toàn vẹn dữ liệu

Security Logging and Monitoring Failures

• Sự quan trọng trong việc ghi lại thông tin bảo mật và giám sát các hoạt động đáng ngờ
• Các công cụ và thực hành để ghi lại và giám sát thời gian thực để phát hiện các vụ xâm nhập sớm

Server-Side Request Forgery (SSRF)

• Giải thích cách kẻ tấn công lợi dụng các lỗ hổng SSRF để truy cập các hệ thống nội bộ
• Các chiến lược giảm thiểu, bao gồm xác thực đầu vào đúng cách và cấu hình tường lửa

Best Practices and Secure Coding

• Thảo luận toàn diện về các thực hành tốt nhất cho việc lập trình an toàn
• Các công cụ để phát hiện lỗ hổng

Tóm lược và các bước tiếp theo