感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
A01:2025 - 访问控制失效
A02:2025 - 安全配置错误
A03:2025 - 软件供应链失效
A04:2025 - 加密失效
A05:2025 - 注入攻击
A06:2025 - 不安全设计
A07:2025 - 认证失效
A08:2025 - 软件或数据完整性失效
A09:2025 - 安全日志与告警失效
A10:2025 - 异常处理不当
A01:2025 访问控制失效 - 访问控制用于执行策略,确保用户不能在其权限之外进行操作。失效通常会导致未经授权的信息披露、数据修改或销毁,或执行超出用户限制的业务功能。
A02:2025 安全配置错误 - 安全配置错误是指从安全角度出发,系统、应用或云服务配置不当,从而产生漏洞。
A03:2025 软件供应链失效 - 软件供应链失效是指在构建、分发或更新软件过程中出现的故障或妥协。通常由第三方代码、工具或其他依赖项中的漏洞或恶意更改引起。
A04:2025 加密失效 - 通常来说,所有传输中的数据都应在传输层(OSI第4层)进行加密。以往的障碍如CPU性能和私钥/证书管理问题,现在已由CPU的加密加速指令(如AES支持)和Let's Encrypt.org等简化私钥和证书管理的服务解决,而主要云厂商则为其平台提供了更紧密集成的证书管理服务。除了保护传输层,还需确定哪些数据需要在存储时加密,以及哪些数据在传输时需要额外加密(在应用层,OSI第7层)。例如,密码、信用卡号、健康记录、个人信息和商业机密需要额外保护,尤其是当这些数据受隐私法规(如欧盟的《通用数据保护条例》(GDPR))或标准(如PCI数据安全标准(PCI DSS))约束时。
A05:2025 注入攻击 - 注入漏洞是一种系统缺陷,允许攻击者将恶意代码或命令(如SQL或shell代码)插入程序的输入字段,诱使系统执行这些代码或命令,仿佛它们是系统的一部分。这可能导致严重的后果。
A06:2025 不安全设计 - 不安全设计是一个广泛的类别,代表不同的弱点,表现为“缺失或无效的控制设计”。不安全设计并非所有其他十大风险类别的来源。需要注意的是,不安全设计与不安全实现是有区别的。我们将设计缺陷与实现缺陷区分开来是有原因的,它们的根本原因不同,发生在开发过程的不同阶段,并且有不同的修复方法。一个安全的设计仍可能存在实现缺陷,导致可能被利用的漏洞。一个不安全的设计无法通过完美的实现来修复,因为所需的安全控制从未被创建以抵御特定攻击。导致不安全设计的因素之一是缺乏对软件或系统开发中固有的业务风险分析,从而无法确定需要何种级别的安全设计。
A07:2025 认证失效 - 当攻击者能够欺骗系统将无效或不正确的用户识别为合法用户时,这种漏洞就会出现。
A08:2025 软件或数据完整性失效 - 软件和数据完整性失效涉及代码和基础设施未能防止无效或不受信任的代码或数据被视为可信和有效。一个例子是应用程序依赖来自不受信任来源的插件、库或模块,如存储库和内容分发网络(CDN)。不安全的CI/CD管道,如果没有进行软件完整性检查,可能会引入未经授权的访问、不安全或恶意代码,或系统被攻破的潜在风险。另一个例子是CI/CD从未受信任的地方拉取代码或工件,并且/或在使用前未对其进行验证(通过检查签名或类似机制)。
A09:2025 安全日志与告警失效 - 如果没有日志记录和监控,攻击和漏洞无法被检测到,如果没有告警,在安全事件期间很难快速有效地响应。日志记录不足、持续监控、检测和告警以启动主动响应的情况时有发生。
A10:2025 异常处理不当 - 当程序未能预防、检测和响应异常和不可预测的情况时,会导致崩溃、意外行为,有时还会导致漏洞。这可能涉及以下三种失败中的一种或多种:应用程序未能防止异常情况发生,未能识别正在发生的异常情况,和/或在事后对异常情况处理不当或未处理。
我们将讨论并展示以下方面的实际内容:
访问控制失效
- 访问控制失效的实际案例
- 安全访问控制与最佳实践
安全配置错误
- 配置错误的实际案例
- 防止配置错误的步骤,包括配置管理和自动化工具
加密失效
- 对加密失效的详细分析,如弱加密算法或不当的密钥管理
- 强加密机制、安全协议(SSL/TLS)的重要性,以及现代加密在Web安全中的应用实例
注入攻击
- 对SQL、NoSQL、OS和LDAP注入的详细解析
- 使用预处理语句、参数化查询和输入转义来缓解注入攻击的技术
不安全设计
- 我们将探讨可能导致漏洞的设计缺陷,如不当的输入验证
- 我们将研究安全架构策略和安全设计原则
认证失效
- 常见的认证问题
- 安全认证策略,如多因素认证和正确的会话管理
软件和数据完整性失效
- 关注不受信任的软件更新和数据篡改等问题
- 安全更新机制和数据完整性检查
安全日志与监控失效
- 记录安全相关信息并监控可疑活动的重要性
- 用于正确日志记录和实时监控以早期检测漏洞的工具与实践
要求
- 对Web开发生命周期有基本了解。
- 具备Web应用开发和安全的经验。
受众
- Web开发者。
- 领导者。
14 小时
客户评论 (7)
非常动态且灵活的培训!
Valentina Giglio - Fincons SPA
课程 - OWASP Top 10
机器翻译
实验练习
Pietro Colonna - Fincons SPA
课程 - OWASP Top 10
机器翻译
交互式组件和示例。
Raphael - Global Knowledge
课程 - OWASP Top 10
机器翻译
实践方法与培训师知识
RICARDO
课程 - OWASP Top 10
机器翻译
培训师的知识非常出色
Patrick - Luminus
课程 - OWASP Top 10
机器翻译
练习,即使超出了我的舒适区。
Nathalie - Luminus
课程 - OWASP Top 10
机器翻译
培训师非常专业,对该主题有深入的了解
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
课程 - OWASP Top 10
机器翻译
