Security



OWASP Top 10 (2021):

A01:2021 – Broken Access Control
    Najczęstszy i najbardziej krytyczny problem.
    Obejmuje błędy w kontroli dostępu: np. brak walidacji ról, możliwość odwoływania się do zasobów innych użytkowników (IDOR),
        brak ograniczeń w operacjach API.

A02:2021 – Cryptographic Failures (wcześniej: Sensitive Data Exposure)
    Dotyczy błędów w szyfrowaniu i przechowywaniu danych.
    Przykłady: użycie przestarzałych algorytmów, brak HTTPS, brak szyfrowania haseł.

A03:2021 – Injection
    Klasyczna podatność (np. SQL Injection, NoSQL Injection, OS Command Injection).
    Atakujący „wstrzykuje” dane interpretowane jako kod przez backend.

A04:2021 – Insecure Design (nowa kategoria w 2021)
    Problemy wynikające z błędów architektonicznych i projektowych, a nie tylko implementacyjnych.
    Np. brak modelowania zagrożeń, złe reguły logiki biznesowej.

A05:2021 – Security Misconfiguration
    Błędne ustawienia serwerów, frameworków, bibliotek czy kontenerów.
    Typowe przykłady: włączone domyślne konta, niepotrzebne usługi, brak nagłówków bezpieczeństwa HTTP.

A06:2021 – Vulnerable and Outdated Components
    Korzystanie ze starych, dziurawych bibliotek, frameworków lub modułów.
    Kluczowy problem w erze intensywnego użycia open source.

A07:2021 – Identification and Authentication Failures (wcześniej: Broken Authentication)
    Błędy w logowaniu i sesjach.
    Przykłady: słabe hasła, brak MFA, tokeny sesji łatwe do przewidzenia.

A08:2021 – Software and Data Integrity Failures (nowa kategoria w 2021)
    Brak weryfikacji integralności kodu i danych.
    Przykłady: ataki typu supply chain, brak weryfikacji podpisów cyfrowych przy aktualizacjach.

A09:2021 – Security Logging and Monitoring Failures (wcześniej: Insufficient Logging & Monitoring)
    Problemy z rejestrowaniem zdarzeń i monitorowaniem.
    Brak logów bezpieczeństwa, brak alertów, brak korelacji incydentów.

A10:2021 – Server-Side Request Forgery (SSRF) (nowa kategoria w 2021)
    Atak, w którym aplikacja daje się nakłonić do wysłania żądania HTTP do wewnętrznego zasobu.
    Może umożliwić atakującemu dostęp do usług chmurowych, baz danych czy sieci wewnętrznej.
The Cybrary Training Framework:

Domains (Cybersecurity Functions) and skills (Topics):

  - Foundations:
    Network Fundamentals
    Operating System Fundamentals
    Cybersecurity Fundamentals
    Scripting and Programming Fundamentals
    AI Fundamentals

  - Defensive Security:
    Defensive Security Fundamentals
    Log Analysis
    Host-Based Analysis
    Network-Based Analysis
    Digital Forensics
    Incident Response
    Threat Intelligence
    Threat Hunting

  - Offensive Security
    Offensive Security Fundamentals
    Reconnaissance and Enumeration
    Network Attacks
    Application Attacks
    Credential Attacks
    Evasion
    Red Teaming

  - Engineering and Operations:
    Security Engineering Fundamentals
    Infrastructure and Operations Security
    Application Security
    Data Security
    Cloud Infrastructure
    System Administration

  - Governance, Risk, and Compliance
    Security Governance
    Risk Management
    Security Compliance

  - Leadership and Management

  - Threats and Vulnerabilities
Job roles::
  - Security Analysts or SOC Analysts: