Obrigado por enviar sua consulta! Um dos membros da nossa equipe entrará em contato com você em breve.
Obrigado por enviar sua reserva! Um dos membros da nossa equipe entrará em contato com você em breve.
Programa do Curso
Introdução
- Descrição geral de OWASP, seu objetivo e importância para a segurança da Web
- Explicação da lista dos OWASP Top 10
- A01:2021-Controlo Access quebrado sobe da quinta posição; 94% das aplicações foram testadas quanto a alguma forma de controlo de acesso quebrado. As 34 enumerações de fraquezas comuns (CWEs) mapeadas para o controlo Access quebrado tiveram mais ocorrências em aplicações do que qualquer outra categoria.
- A02:2021 - Falhas criptográficas - sobe uma posição para o n.º 2, anteriormente conhecido como Exposição de dados sensíveis, que era um sintoma geral e não uma causa principal. O foco renovado aqui é em falhas relacionadas com a criptografia, que muitas vezes leva à exposição de dados sensíveis ou ao comprometimento do sistema.
- A03:2021-Injeção desce para a terceira posição. 94% das aplicações foram testadas quanto a alguma forma de injeção, e as 33 CWEs mapeadas nesta categoria têm o segundo maior número de ocorrências em aplicações. O Cross-site Scripting faz agora parte desta categoria nesta edição.
- A04:2021-Conceção Insegura é uma nova categoria para 2021, centrada nos riscos relacionados com falhas de conceção. Se quisermos realmente "avançar para a esquerda" como indústria, é necessária uma maior utilização da modelação de ameaças, de padrões e princípios de conceção seguros e de arquitecturas de referência.
- A05:2021 - A configuração incorrecta da segurança passa do 6º lugar na edição anterior; 90% das aplicações foram testadas quanto a alguma forma de configuração incorrecta. Com mais mudanças para software altamente configurável, não é surpreendente ver esta categoria subir. A antiga categoria de XML Entidades Externas (XXE) faz agora parte desta categoria.
- A06:2021-Componentes vulneráveis e desactualizados era anteriormente intitulada Utilizar componentes com vulnerabilidades conhecidas e é a 2.ª no inquérito da comunidade aos 10 principais, mas também tinha dados suficientes para entrar no Top 10 através da análise de dados. Esta categoria subiu da 9ª posição em 2017 e é um problema conhecido que temos dificuldade em testar e avaliar o risco. É a única categoria que não tem qualquer Vulnerabilidade e Exposições Comuns (CVE) mapeadas para as CWEs incluídas, pelo que um exploit predefinido e pesos de impacto de 5,0 são tidos em conta nas suas pontuações.
- A07:2021-Falhas de identificação e autenticação era anteriormente Autenticação quebrada e está a descer da segunda posição, incluindo agora CWEs que estão mais relacionadas com falhas de identificação. Esta categoria continua a ser uma parte integrante do Top 10, mas a maior disponibilidade de estruturas normalizadas parece estar a ajudar.
- A08:2021-Falhas de integridade de software e dados é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) foi mapeado para as 10 CWEs nesta categoria. A desserialização insegura de 2017 faz agora parte desta categoria mais alargada.
- A09:2021-Falhas no Registo eMonitorização de Segurança era anteriormente Registo e Monitorização Insuficientes e foi adicionada a partir do inquérito ao sector (#3), subindo da #10 anterior. Esta categoria é expandida para incluir mais tipos de falhas, é difícil de testar e não está bem representada nos dados CVE/CVSS. No entanto, as falhas nesta categoria podem afetar diretamente a visibilidade, o alerta de incidentes e a análise forense.
- A10:2021 - Falsificação de pedidos do lado do servidor é adicionado a partir do inquérito da comunidade Top 10 (#1). Os dados mostram uma taxa de incidência relativamente baixa com cobertura de testes acima da média, juntamente com classificações acima da média para potencial de exploração e impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança estão a dizer-nos que isto é importante, apesar de não estar ilustrado nos dados neste momento.
Controlo Access quebrado
- Exemplos práticos de controlos de acesso danificados
- Controlos de acesso seguros e melhores práticas
Falhas criptográficas
- Análise detalhada de falhas criptográficas, como algoritmos de encriptação fracos ou gestão inadequada de chaves
- Importância de mecanismos criptográficos fortes, protocolos seguros (SSL/TLS) e exemplos de criptografia moderna na segurança da Web
Ataques de injeção
- Análise pormenorizada da injeção SQL, NoSQL, OS e LDAP
- Técnicas de atenuação usando instruções preparadas, consultas parametrizadas e entradas de escape
Design inseguro
- Explorando falhas de design que podem levar a vulnerabilidades, como validação de entrada inadequada
- Estratégias para arquitetura segura e princípios de conceção segura
Configuração incorrecta da segurança
- Exemplos reais de configurações incorrectas
- Passos para evitar a configuração incorrecta, incluindo gestão de configuração e ferramentas de automatização
Componentes vulneráveis e desactualizados
- Identificação dos riscos da utilização de bibliotecas e estruturas vulneráveis
- Melhores práticas para gestão de dependências e actualizações
Falhas de identificação e autenticação
- Problemas comuns de autenticação
- Estratégias de autenticação segura, como autenticação multifator e tratamento adequado de sessões
Falhas na integridade do software e dos dados
- Foco em problemas como actualizações de software não fiáveis e adulteração de dados
- Mecanismos de atualização seguros e verificações da integridade dos dados
Falhas no registo de segurança e na monitorização
- Importância do registo de informações relevantes para a segurança e da monitorização de actividades suspeitas
- Ferramentas e práticas para um registo adequado e monitorização em tempo real para detetar violações precocemente
Falsificação de pedidos do lado do servidor (SSRF)
- Explicação de como os atacantes exploram as vulnerabilidades SSRF para aceder a sistemas internos
- Tácticas de atenuação, incluindo validação de entrada adequada e configurações de firewall
Melhores práticas e codificação segura
- Discussão exaustiva sobre as melhores práticas de codificação segura
- Ferramentas para deteção de vulnerabilidades
Resumo e próximos passos
Requisitos
- Compreensão geral do ciclo de vida do desenvolvimento Web
- Experiência em desenvolvimento e segurança de aplicações Web
Público
- Desenvolvedores Web
- Líderes
14 Horas
Declaração de Clientes (7)
Abordagem prática e conhecimentos do formador
RICARDO
Curso - OWASP Top 10
Máquina Traduzida
O conhecimento do formador foi fenomenal
Patrick - Luminus
Curso - OWASP Top 10
Máquina Traduzida
exercícios, mesmo que fora da minha zona de conforto.
Nathalie - Luminus
Curso - OWASP Top 10
Máquina Traduzida
O formador é muito informativo e conhece realmente o tema
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10
Máquina Traduzida
O Trainor é realmente um especialista no assunto.
Reynold - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10
Máquina Traduzida
Laboratório prático sobre como obter uma shell de uma máquina atacada
Catalin
Curso - OWASP Top 10
Máquina Traduzida
O estilo fácil para explicações técnicas.
Adriana Moga
Curso - OWASP Top 10
Máquina Traduzida
