OWASP Top 10 Training Cursus

Inleiding

• Overzicht van OWASP, het doel en de betekenis in webbeveiliging
• Uitleg over de OWASP Top 10 lijst
  • A01:2021-Broken Access Control verhuist van de vijfde positie; 94% van de toepassingen werd getest op een vorm van gebroken toegangscontrole. De 34 Common Weakness Enumerations (CWEs) die zijn toegewezen aan Broken Access Control komen vaker voor in toepassingen dan in elke andere categorie.
  • A02:2021-Cryptographic Failures schuift een positie omhoog naar #2, eerder bekend als Sensitive Data Exposure, wat eerder een symptoom was in plaats van de oorspronkelijke oorzaak. De vernieuwde focus hier is op fouten die te maken hebben met cryptografie, wat vaak leidt tot blootstelling van gevoelige gegevens of compromittering van het systeem.
  • A03:2021-Injection daalt naar de derde positie. 94% van de toepassingen werd getest op een vorm van injectie, en de 33 CWEs die in deze categorie zijn ingesloten hebben de meeste voorkomens in toepassingen. Cross-site Scripting is nu onderdeel van deze categorie in deze editie.
  • A04:2021-Insecure Design is een nieuwe categorie voor 2021, met een focus op risico's die te maken hebben met ontwerpfouten. Als we echt willen "links bewegen" als branche, vraagt dit om meer gebruik van dreigingsmodellering, veilige ontwerpprincipes en referentiearchitecturen.
  • A05:2021-Security Misconfiguration verhuist van #6 in de vorige editie; 90% van de toepassingen werd getest op een vorm van misconfiguratie. Met meer overstappen naar zeer configurabele software, is het niet verrassend om deze categorie omhoog te zien gaan. De voormalige categorie voor XML External Entities (XXE) is nu onderdeel van deze categorie.
  • A06:2021-Vulnerable and Outdated Components heette eerder Using Components with Known Vulnerabilities en is #2 in de Top 10 community enquête, maar had ook voldoende data om de Top 10 te halen via data-analyse. Deze categorie verhuist van #9 in 2017 en is een bekend probleem waar we moeilijk te testen en risico's in te schatten. Het is de enige categorie zonder Common Vulnerability and Exposures (CVEs) die zijn gekoppeld aan de ingesloten CWEs, dus standaard exploit- en impactgewichten van 5.0 zijn gefactureerd in hun scores.
  • A07:2021-Identification and Authentication Failures heette eerder Broken Authentication en daalt van de tweede positie, en omvat nu CWEs die meer te maken hebben met identificatiefouten. Deze categorie is nog steeds een integraal onderdeel van de Top 10, maar de toenemende beschikbaarheid van gestandaardiseerde frameworks lijkt te helpen.
  • A08:2021-Software and Data Integrity Failures is een nieuwe categorie voor 2021, met een focus op aannames die te maken hebben met software-updates, kritische gegevens en CI/CD-pipelines zonder de integriteit te verifiëren. Eén van de hoogst gewogen impacten uit Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) gegevens die zijn gekoppeld aan de 10 CWEs in deze categorie. Insecure Deserialization uit 2017 is nu onderdeel van deze grotere categorie.
  • A09:2021-Security Logging and Monitoring Failures heette eerder Insufficient Logging & Monitoring en is toegevoegd vanuit de industrie enquête (#3), verhuist van #10 eerder. Deze categorie is uitgebreid om meer soorten fouten te omvatten, is moeilijk te testen en wordt niet goed weergegeven in de CVE/CVSS gegevens. Echter, fouten in deze categorie kunnen direct de zichtbaarheid, incidentmeldingen en forensische mogelijkheden beïnvloeden.
  • A10:2021-Server-Side Request Forgery is toegevoegd vanuit de Top 10 community enquête (#1). De data toont een relatief laag incidentiepercentage met bovengemiddelde testdekking, samen met bovengemiddelde beoordelingen voor Exploit- en Impactpotentieel. Deze categorie vertegenwoordigt het scenario waar de leden van de beveiligingsgemeenschap ons vertellen dat dit belangrijk is, zelfs al wordt dit niet geïllustreerd in de data op dit moment.

Broken Access Control

• Praktische voorbeelden van gebroken toegangscontrole
• Veilige toegangscontrole en beste praktijken

Cryptographic Failures

• Detaillede analyse van cryptografische fouten zoals zwakke encryptie-algoritmen of onjuiste sleutelbeheer
• Belang van sterke cryptografische mechanismen, veilige protocollen (SSL/TLS), en voorbeelden van moderne cryptografie in webbeveiliging

Injectie-aanvallen

• Detaillede uitleg van SQL, NoSQL, OS en LDAP injectie
• Tekorten van voorbereide statements, parametergebonden queries en ontsnapping van invoer

Insecure Design

• Ontdekken van ontwerpfouten die kunnen leiden tot kwetsbaarheden, zoals onjuiste invoervalidatie
• Strategieën voor veilige architectuur en veilige ontwerpprincipes

Security Misconfiguration

• Werkelijke voorbeelden van misconfiguraties
• Stappen om misconfiguraties te voorkomen, inclusief configuratiemanagement en automatiseringshulpmiddelen

Vulnerable and Outdated Components

• Identificeren van risico's bij het gebruik van kwetsbare bibliotheken en frameworks
• Beste praktijken voor afhankelijkheidsbeheer en updates

Identification and Authentication Failures

• Veelvoorkomende authenticatieproblemen
• Veilige authenticatiestrategieën, zoals meerfactorauthenticatie en juiste sessiebehandeling

Software and Data Integrity Failures

• Focus op problemen zoals onbetrouwbare software-updates en datavervalsing
• Veilige update-mechanismen en dataintegriteitscontroles

Security Logging and Monitoring Failures

• Belang van het loggen van beveiligingsrelevante informatie en het bewaken van verdachte activiteiten
• Hulpmiddelen en praktijken voor juist loggen en realtimebewaking om inbraken vroegtijdig te detecteren

Server-Side Request Forgery (SSRF)

• Uitleg hoe aanvallers SSRF-kwetsbaarheden uitbuiten om toegang te krijgen tot interne systemen
• Tekorten zoals juiste invoervalidatie en firewallconfiguraties

Beste praktijken en Veilig coderen

• Uitgebreide discussie over beste praktijken voor veilig coderen
• Hulpmiddelen voor kwetsbaarheidsdetectie

Samenvatting en Volgende Stappen