Kurzusleírás

Bevezetés

  • Áttekintés az OWASP-ról, céljairól és jelentőségéről a webbiztonságban
  • Az OWASP Top 10 listájának magyarázata
    • A01:2021-Broken Access Control a ötödik helyről lépett előre; 94% az alkalmazásokból tesztelték valamely formában a megszakított hozzáférési ellenőrzést. A 34 Common Weakness Enumerations (CWEs) Broken Access Controlhoz rendelhető kategóriákban a legtöbb előfordulást mutatták alkalmazásokban az összes kategória közül.
    • A02:2021-Cryptographic Failures egy pozícióval előbbre lépett, korábban Sensitive Data Exposure (érzékeny adatkitétel) volt, ami inkább tünet volt, mint ok. Itt a hangsúly a kriptográfiai hibákra helyeződik, melyek gyakran vezettek érzékeny adatkitételhez vagy rendszerbelső támadáshoz.
    • A03:2021-Injection a harmadik helyre csúszott vissza. 94% az alkalmazásokból tesztelték valamely formában az injekciót, és a 33 CWEs, melyek beletartoznak ebben a kategóriában, a második legtöbb előfordulást mutatták alkalmazásokban. A keresztoldali script-kodolás (Cross-site Scripting) mostantól része ennek a kategóriának.
    • A04:2021-Insecure Design új kategória 2021-re, a hangsúly a tervező hibákkal kapcsolatos kockázatokon van. Ha igazán szeretnénk "balra mozdulni" az iparágban, szükség van a fenyegetésmodellezés, biztonságos tervezési minták és elvek, valamint referenciaarchitektúrák nagyobb használatára.
    • A05:2021-Security Misconfiguration a korábbi kiadás #6 helyéről lépett előre; 90% az alkalmazásokból tesztelték valamely formában a hibás konfigurációt. Minthogy egyre több áttérés történik a nagyon konfigurálható szoftverekre, nem meglepő, hogy ez a kategória előrébb lépett. Az XML külső entitások (XXE) korábbi kategóriája mostantól része ennek a kategóriának.
    • A06:2021-Vulnerable and Outdated Components korábban Using Components with Known Vulnerabilities (ismeretlen hibákkal rendelkező komponensek használata) címmel szerepelt, és #2 a Top 10 közösségi kutatásban, de elegendő adata volt a Top 10-nek a adatanalízis révén is. Ez a kategória a 2017-es 9. helyről lépett előre és ismert problémát jelöl meg, ami nehéz a tesztelésre és a kockázatok értékelésére. Ez az egyetlen kategória, aminek nincsenek Common Vulnerability and Exposures (CVEs) a belevett CWEs-hez rendelhetők, így egy alapértelmezett kihasználási és károsodási súly (5.0) számít bele a pontrendszerükbe.
    • A07:2021-Identification and Authentication Failures korábban Broken Authentication (megszakított hitelesítés) címmel szerepelt és a második helyről csúszott vissza, mostantól beletartoznak ide az azonosítási hibákhoz kapcsolódó CWEs. Ez a kategória továbbra is fontos része a Top 10-nek, de a standardizált keretrendszerek növekvő elérhetősége segíthet.
    • A08:2021-Software and Data Integrity Failures új kategória 2021-re, a hangsúly a szoftverfrissítések, kritikus adatok és CI/CD csatornák kapcsolódó feltételezésekre van, anélkül, hogy az integritásukat ellenőrzik. Egyike a legmagasabb súlyozású károsodási hatásoknak a Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) adatok alapján a 10 CWE-hez, melyeket ehhez a kategóriához rendelnek. Az Insecure Deserialization (biztonságtalan deserializáció) 2017-ből mostantól része ennek a nagyobb kategóriának.
    • A09:2021-Security Logging and Monitoring Failures korábban Insufficient Logging & Monitoring (elégtelen naplózás és monitorozás) címmel szerepelt és a #3 ipari felméréstől kerül be, a korábbi #10 helyről lépett előre. Ez a kategória bővítve van, hogy több típusú hibát is tartalmazzon, nehéz tesztelni és nem jól képviselődik a CVE/CVSS adatokban. Ez a kategória azonban közvetlen hatással van a láthatóságra, a incidensek figyelmeztetésére és a forenzikai vizsgálatra.
    • A10:2021-Server-Side Request Forgery a Top 10 közösségi kutatás (#1) alapján kerül be. Az adatok egy viszonylag alacsony előfordulási arányot mutatnak, de fenti átlagos tesztfedettséggel, valamint fenti átlagos értékelésekkel az Exploit és Impact potenciálra. Ez a kategória azt jelenti, hogy a biztonsági közösség tagjaink ezt fontosnak tartják, még akkor is, ha ez jelenleg nem mutatkozik az adatokban.

Broken Access Control

  • Pratikus példák megszakított hozzáférési ellenőrzésekről
  • Biztonságos hozzáférési ellenőrzések és legjobb gyakorlatok

Cryptographic Failures

  • Detalizált elemzés a kriptográfiai hibákról, mint például gyenge titkosítási algoritmusok vagy helytelen kulcskezelés
  • A erős kriptográfiai mechanizmusok, biztonságos protokollok (SSL/TLS) és a modern kriptográfia példái a webbiztonságban

Injection Attacks

  • Detalizált leírás az SQL, NoSQL, OS és LDAP injekciókról
  • Csökkentési technikák előkészített kijelentésekkel, paraméterezett lekérdezésekkel és inputok szökésével

Insecure Design

  • A tervezési hibák elemzése, melyek hibákhoz vezethetnek, mint például hibás bemeneti validáció
  • Stratégiák a biztonságos architektúra és biztonságos tervezési elvek számára

Security Misconfiguration

  • Valós világbeli példák hibás konfigurációkra
  • Lépések a hibás konfiguráció megelőzéséhez, beleértve a konfigurációs kezelést és automatikus eszközöket

Vulnerable and Outdated Components

  • A hibás könyvtárak és keretrendszerek használatának kockázatainak azonosítása
  • Legjobb gyakorlatok a függőségek kezeléséhez és frissítésekhez

Identification and Authentication Failures

  • Gyakori hitelesítési problémák
  • Biztonságos hitelesítési stratégiák, mint például többfaktoros hitelesítés és megfelelő munkamenetkezelés

Software and Data Integrity Failures

  • A bizalmatlan szoftverfrissítések és adatmanipuláció problémáira való fókusz
  • Biztonságos frissítési mechanizmusok és adatintegritás ellenőrzések

Security Logging and Monitoring Failures

  • A biztonságos információk naplózása és a gyanús tevékenységek monitorozása fontossága
  • Eszközök és gyakorlatok a megfelelő naplózáshoz és valós idejű monitorozáshoz a betörések korai felismeréséhez

Server-Side Request Forgery (SSRF)

  • Az SSRF hibák kihasználásának magyarázata, hogyan férnek hozzáférő a támadók a belső rendszerekhez
  • Csökkentési taktikák, beleértve a megfelelő bemeneti validációt és tűzfalbeállításokat

Best Practices and Secure Coding

  • Átfogó megbeszélés a biztonságos programozás legjobb gyakorlatairól
  • Eszközök hibafelderítéshez

Összegzés és Következő lépések

Követelmények

  • A webfejlesztési életciklus általános értéke
  • Webalkalmazás-fejlesztési és biztonsági tapasztalat

Audience

  • Webfejlesztők
  • Vezetők
 14 Órák

Résztvevők száma


Ár résztvevőnként

A nyílt képzésekhez 5+ résztvevő szükséges.

Vélemények (7)

nagyon dinamikus és rugalmas képzés!

Valentina Giglio - Fincons SPA
Kurzus - OWASP Top 10

Gépi fordítás

Laboratóriumi gyakorlatok

Pietro Colonna - Fincons SPA
Kurzus - OWASP Top 10

Gépi fordítás

Az interaktív elemek és példák.

Raphael - Global Knowledge
Kurzus - OWASP Top 10

Gépi fordítás

gyakorlati megközelítés és képző tudás

RICARDO
Kurzus - OWASP Top 10

Gépi fordítás

A képző tanulmányi ismeretei fenomenálisak voltak

Patrick - Luminus
Kurzus - OWASP Top 10

Gépi fordítás

gyakorlatokat, még akkor is, ha az komfortzónám túl esnek.

Nathalie - Luminus
Kurzus - OWASP Top 10

Gépi fordítás

A képző nagyon informatív, és tényleg jól ismeri a téma anyagot

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Kurzus - OWASP Top 10

Gépi fordítás

Közelgő kurzusok

OWASP Top 10

2026-01-26 09:30
14 Órák
Debrecen
540 EUR (Online.)
940 EUR (Tanterem)

OWASP Top 10

2026-02-09 09:30
14 Órák
Budapest, City Center
540 EUR (Online.)
940 EUR (Tanterem)

OWASP Top 10

2026-02-23 09:30
14 Órák
Miskolc
540 EUR (Online.)
940 EUR (Tanterem)

OWASP Top 10

2026-03-09 09:30
14 Órák
Szeged
540 EUR (Online.)
940 EUR (Tanterem)

Rokon tanfolyam

DevSecOps Tűzoltás: Megszakadás, Javítás és Erősítés

 7 Órák

Ez a világrangos, modern, gyakorlati képzés bevonja a résztvevőket a modern CI/CD folyamatbiztonság kritikus valóságába. Biztonsági szakemberek, DevOps mérnökök és fejlesztők számára tervezve, akik a haladó csatorna megszakadásának védelmét szeretnének elsajátítani, a képzés élő támadássimulációkat, iparágban vezető eszközöket és gyakorlati védelmi technikákat kombinál.

Olvass tovább...

Web Security Testing - Webalkalmazások biztonságának és tesztelésének OWASP segítségével

 21 Órák

Ez az oktató által vezetett, élő (online vagy helyszíni) képzés olyan fejlesztőknek, mérnököknek és építészeknek szól, akik szeretnék biztonságossá tenni webalkalmazásaikat és szolgáltatásaikat.

A képzés végére a résztvevők integrálhatják, tesztelhetik, védhetik és elemezhetik webalkalmazásaikat és szolgáltatásaikat a OWASP tesztelési keretrendszer és eszközök segítségével.

Olvass tovább...

OWASP GenAI Security

 14 Órák

A legfrissebb OWASP GenAI Security Project iránymutatása alapján a résztvevők megtanulják az AI-szpecifikus fenyegetések azonosítását, értékelését és csökkentését gyakorlati feladatokon és valós helyzetekben.

Olvass tovább...

OWASP Mobile Security Testing Guide

 21 Órák

Ez a képzés (online vagy helyszíni), amelyet egy oktató vezet, a fejlesztőknek, mérnököknek és architektúráknak szánt, akik szeretnék alkalmazni az MSTG tesztelési elveit, folyamatokat, technikáit és eszközeit a mobil alkalmazásaik és szolgáltatásuk biztonságosítása érdekében.

A képzés végeztével a résztvevők képesek lesznek:

  • Tesztelési technikákat tárgyalni hatékony biztonsági tesztelési megvalósítás stratégizálása érdekében a fejlesztési életciklusban.
  • Tesztelési technikákat alkalmazni általános biztonsági réseket és kockázatokat vizsgáló célból mobilalkalmazásokban.
  • Végrehajtanak különböző biztonsági tesztelési folyamatokat Android és iOS mobilalkalmazásaik biztonságosítása érdekében.
Olvass tovább...

OWASP Web Security Testing Guide

 21 Órák

Ez az oktató vezetett, élőképes képzés Magyarország (online vagy helyszínen) a fejlesztők, mérnökök és architektúrák számára készült, akik szeretnék alkalmazni a WSTG tesztelőkeretrendszerének elveit és technikáit az webalkalmazások és szolgáltatások biztonságossá tételére.

A képzés végeztélével a résztvevők képesek lesznek:

  • Használni a WSTG-t a webfejlesztés életciklusában tesztelési folyamatok és technikák implementálására.
  • Különböző tesztelési technikákat alkalmazni a WSTG keretrendszerének szabályozása érdekében üzleti igények alapján.
  • Végrehajtani különféle biztonságos tesztelési módszereket, hogy megvédjék a webalkalmazásokat az eszközökkel és támadásokkal szemben.
  • Létrehoznak egy értékelési jelentést a biztonsági tesztelés eredményeinek dokumentálására.
Olvass tovább...

Mikor Írni Biztonságos Kodot

 35 Órák

Ez a tanfolyam Magyarország célja, hogy segítsen a következő feladatokban:

  1. Fejlesztőknek segítséget nyújt a Biztonságos Kódírás technikáinak mesterségesítéséhez
  2. Segítség nyújt a szoftvertesztelőknek abban, hogy a készüléket publikálás előtt teszteljék a rendszer biztonságát
  3. Segítség nyújt a szoftverszabályozóknak abban, hogy megértik az alkalmazások körül ható kockázatokat
  4. Segítség nyújt a csapatvezetőknek abban, hogy a biztonsági alapvonalakat állítsák be a fejlesztők számára
  5. Segítség nyújt a webmastereknek abban, hogy a szervereket hiba nélküli módon konfigurálják
Olvass tovább...

Biztonságos Fejlesztő Java (OWASP is beleértve)

 21 Órák
Ez a kurzus a Java segítségével zajló biztonságos kódolási fogalmakat és elveket mutatja be az Open Web Application Security Project (OWASP) tesztelési módszerének segítségével. Az Open Web Application Security Project egy online közösség, amely ingyenesen hozzáférhető cikkeket, módszereket, dokumentációkat, eszközöket és technológiákat készít a webalkalmazások biztonsága területén.
Olvass tovább...

Biztonságos Fejlesztő .NET (OWASP bevonásával)

 21 Órák

Ez a kurzus az ASP.net alapú biztonságos kódolási fogalmakat és elveket mutatja be az Open Web Application Security Project (OWASP) tesztelési módszerét használva. Az OWASP egy olyan online közösség, amely ingyenesen elérhető cikkek, módszertani irányelveket, dokumentációt, eszközöket és technológiákat készít a webalkalmazások biztonsága terén.

Ez a kurzus a Dot Net keretrendszer biztonsági funkcióit és a webalkalmazások biztonságosításának módjait mutatja be.

Olvass tovább...

Rokon kategóriák

OWASP
OWASP