OWASP Top 10 2025 Képzés

A01:2025 - Megtört hozzáférés-vezérlés
A02:2025 - Biztonsági hibás konfiguráció
A03:2025 - Szoftverellátási lánc hibái
A04:2025 - Kriptográfiai hibák
A05:2025 - Injekció
A06:2025 - Biztonságtalan tervezés
A07:2025 - Hitelesítési hibák
A08:2025 - Szoftver- vagy adatintegritás hibái
A09:2025 - Biztonsági naplózási és riasztási hibák
A10:2025 - Kivételes helyzetek kezelésének hibája

A01:2025 Megtört hozzáférés-vezérlés - A hozzáférés-vezérlés biztosítja, hogy a felhasználók ne léphessék túl a rájuk vonatkozó engedélyeket. A hibák általában jogosulatlan információközlést, adatok módosítását vagy megsemmisítését, illetve üzleti funkciók végrehajtását eredményezik a felhasználó hatáskörén kívül.

A02:2025 Biztonsági hibás konfiguráció - A biztonsági hibás konfiguráció akkor következik be, ha egy rendszer, alkalmazás vagy felhőszolgáltatás biztonsági szempontból helytelenül van beállítva, sebezhetőségeket teremtve.

A03:2025 Szoftverellátási lánc hibái - A szoftverellátási lánc hibái a szoftver építésének, terjesztésének vagy frissítésének folyamatában bekövetkező meghibásodások vagy egyéb kompromittálások. Ezeket gyakran harmadik féltől származó kód, eszközök vagy egyéb függőségek sebezhetőségei vagy rosszindulatú módosításai okozzák, amelyekre a rendszer támaszkodik.

A04:2025 Kriptográfiai hibák - Általánosságban elmondható, hogy minden átvitelben lévő adatot titkosítani kell a szállítási rétegben (OSI 4. réteg). A korábbi akadályok, mint a CPU teljesítmény és a titkos kulcs/tanúsítványkezelés, ma már kezelhetőek a CPU-k által, amelyek olyan utasításokkal rendelkeznek, amelyek gyorsítják a titkosítást (pl.: AES támogatás), valamint a titkos kulcs és tanúsítványkezelés leegyszerűsödött olyan szolgáltatásokkal, mint a LetsEncrypt.org, míg a nagyobb felhőszolgáltatók még szorosabban integrált tanúsítványkezelési szolgáltatásokat nyújtanak saját platformjaikhoz. A szállítási réteg biztonságossá tétele mellett fontos meghatározni, hogy mely adatokat kell titkosítani tárolás közben, valamint mely adatokat kell extra titkosítani átvitel közben (az alkalmazási rétegben, OSI 7. réteg). Például jelszavak, hitelkártyaszámok, egészségügyi adatok, személyes adatok és üzleti titkok extra védelmet igényelnek, különösen akkor, ha ezek az adatok olyan adatvédelmi törvények hatálya alá esnek, mint az EU Általános Adatvédelmi Rendelet (GDPR), vagy olyan szabályozások, mint a PCI Adatbiztonsági Szabvány (PCI DSS).

A05:2025 Injekció - Az injekciós sebezhetőség egy rendszerhiba, amely lehetővé teszi, hogy egy támadó rosszindulatú kódot vagy parancsokat (például SQL vagy shell kódot) szúrjon be egy program beviteli mezőibe, ezzel becsapva a rendszert, hogy a kódot vagy parancsokat a rendszer részeként hajtsa végre. Ez igazán súlyos következményekhez vezethet.

A06:2025 Biztonságtalan tervezés - A biztonságtalan tervezés egy széles kategória, amely különböző gyengeségeket képvisel, amelyeket „hiányzó vagy hatástalan vezérlési tervezésként” fejeznek ki. A biztonságtalan tervezés nem az összes többi Top Ten kockázati kategória forrása. Megjegyzendő, hogy különbség van a biztonságtalan tervezés és a biztonságtalan implementáció között. Megkülönböztetjük a tervezési hibákat és az implementációs hibákat egy okból, ezek különböző gyökerekkel rendelkeznek, különböző időpontokban következnek be a fejlesztési folyamat során, és különböző javítási módszerekkel rendelkeznek. Egy biztonságos tervezés továbbra is tartalmazhat implementációs hibákat, amelyek sebezhetőségekhez vezethetnek, és amelyek kihasználhatóak. Egy biztonságtalan tervezést nem lehet tökéletes implementációval kijavítani, mivel a szükséges biztonsági ellenőrzéseket soha nem hozták létre, hogy védekezzenek bizonyos támadásokkal szemben. Az egyik tényező, amely hozzájárul a biztonságtalan tervezéshez, az a szoftver vagy rendszer fejlesztése során hiányzó üzleti kockázatprofilozás, és így a meghatározás hiánya, hogy milyen szintű biztonsági tervezésre van szükség.

A07:2025 Hitelesítési hibák - Akkor következik be ez a sebezhetőség, ha egy támadó képes becsapni a rendszert, hogy érvénytelen vagy hibás felhasználót legitímnek ismerjen el.

A08:2025 Szoftver- vagy adatintegritás hibái - A szoftver- és adatintegritás hibái a kódra és infrastruktúrára vonatkoznak, amelyek nem védik meg a rendszert attól, hogy érvénytelen vagy nem megbízható kódot vagy adatokat megbízhatónak és érvényesnek kezeljen. Ennek egy példája, amikor egy alkalmazás nem megbízható forrásokból, tárolókból és tartalomkézbesítő hálózatokból (CDN) származó bővítményekre, könyvtárakra vagy modulokra támaszkodik. Egy biztonságtalan CI/CD folyamat, amely nem foglal magában és nem nyújt szoftverintegritás-ellenőrzéseket, bevezetheti a jogosulatlan hozzáférés, a biztonságtalan vagy rosszindulatú kód, vagy a rendszer kompromittálásának lehetőségét. Egy másik példa erre egy CI/CD, amely kódot vagy artefaktokat nem megbízható helyekről húz le és/vagy nem ellenőrzi őket használat előtt (aláírás vagy hasonló mechanizmus ellenőrzésével). 

A09:2025 Biztonsági naplózási és riasztási hibák  - Naplózás és monitorozás nélkül a támadások és adatsértések nem észlelhetők, és riasztás nélkül nagyon nehéz gyorsan és hatékonyan reagálni egy biztonsági incidens során. A nem elegendő naplózás, folyamatos monitorozás, észlelés és riasztás bármikor előfordulhat, hogy aktív válaszokat kezdeményez.

A10:2025 Kivételes helyzetek kezelésének hibája - A kivételes helyzetek hibás kezelése a szoftverben akkor következik be, ha a programok nem tudják megakadályozni, észlelni és reagálni a szokatlan és kiszámíthatatlan helyzetekre, amelyek összeomlásokhoz, váratlan viselkedéshez és néha sebezhetőségekhez vezetnek. Ez magában foglalhatja a következő három hibát; az alkalmazás nem akadályozza meg a szokatlan helyzet bekövetkezését, nem azonosítja a helyzetet, amint az történik, és/vagy rosszul vagy egyáltalán nem reagál a helyzetre később.

Tárgyalni és bemutatni fogjuk a következő gyakorlati aspektusokat:

Megtört hozzáférés-vezérlés
- Gyakorlati példák a megtört hozzáférés-vezérlésre
- Biztonságos hozzáférés-vezérlés és ajánlott eljárások

Biztonsági hibás konfiguráció
- Valós példák a hibás konfigurációkra
- Lépések a hibás konfiguráció megelőzésére, beleértve a konfigurációkezelést és automatizálási eszközöket

Kriptográfiai hibák
- Részletes elemzés a kriptográfiai hibákról, mint például a gyenge titkosítási algoritmusok vagy a helytelen kulcskezelés
- Az erős kriptográfiai mechanizmusok, biztonságos protokollok (SSL/TLS) és a modern kriptográfia szerepe a webes biztonságban

Injekciós támadások
- Részletes elemzés az SQL, NoSQL, operációs rendszer és LDAP injekciókról
- Enyhítő technikák előkészített utasítások, paraméterezett lekérdezések és bemeneti adatok escape-elésével

Biztonságtalan tervezés
- Megvizsgáljuk a tervezési hibákat, amelyek sebezhetőségekhez vezethetnek, mint például a helytelen bemeneti érvényesítés
- Tanulmányozzuk a biztonságos architektúra stratégiáit és a biztonságos tervezés elveit

Hitelesítési hibák
- Gyakori hitelesítési problémák
- Biztonságos hitelesítési stratégiák, mint a többtényezős hitelesítés és a megfelelő munkamenet-kezelés

Szoftver- és adatintegritás hibák
- Összpontosítunk olyan problémákra, mint a nem megbízható szoftverfrissítések és az adatmanipuláció
- Biztonságos frissítési mechanizmusok és adatintegritás-ellenőrzések

Biztonsági naplózási és monitorozási hibák
- A biztonsági szempontból releváns információk naplózásának és a gyanús tevékenységek monitorozásának fontossága
- Eszközök és gyakorlatok a megfelelő naplózáshoz és valós idejű monitorozáshoz a megsértések korai észlelése érdekében