Web bezbednost lako

OWASP Top 10

🎯 Šta je OWASP?

OWASP (Open Web Application Security Project) je neprofitna organizacija koja se bavi bezbednošću veb aplikacija. Pruža besplatne materijale, alate i smernice za unapređenje bezbednosti softvera.

📊 Šta je OWASP Top 10?

To je lista 10 najkritičnijih bezbednosnih rizika za veb aplikacije, koja se redovno ažurira (obično svake 3-4 godine). Ovo nije lista najčešćih napada, već najopasnijih rizika sa najvećim potencijalnim uticajem.

🔍 Zašto je OWASP Top 10 BITAN?

  1. Industrijski standard

    Prihvaćen širom sveta kao referenca za bezbednost veb aplikacija

    Korišćen od strane: developera, pentestera, kompanija, certifikacionih tela

  2. Fokus na najveće pretnje

    Pomaže timovima da prioritetizuju svoje bezbednosne napore

    "80/20 pravilo" - rešavanjem ovih 10 rizika rešava se veliki deo problema

  3. Edukativna uloga

    Pomaže developerima da razumeju česte greške u kodu

    Daje praktične smernice za prevenciju

  4. Poslovna zaštita

    Smanjuje rizik od finansijskih gubitaka i gubitka reputacije

    Pomaže u usaglašavanju sa regulativama (GDPR, PCI-DSS itd.)

A01:2025 — Broken Access Control

Greške u kontroli pristupa koje omogućavaju korisnicima ili napadačima da pristupe podacima, funkcijama ili privilegijama koje im ne pripadaju.

A02:2025 — Security Misconfiguration

Loše ili podrazumevane konfiguracije servera, servisa, aplikacija ili sigurnosnih politika koje otvaraju vrata napadima.

A03:2025 — Software Supply Chain Failures

Problemi u lancu nabavke softvera — ranjive zavisnosti, kompromitovani paketi, pogrešne verzije biblioteka ili nebezbedni deployment procesi.

A04:2025 — Cryptographic Failures

Nepravilna ili nedovoljna upotreba kriptografije: loša enkripcija, nešifrovan saobraćaj, zastareli algoritmi, slabi ključevi ili loše upravljanje tajnama.

A05:2025 — Injection

Napadi gde se zlonamerni ulaz tretira kao kod ili komanda — kao što su SQL, NoSQL, XSS, command injection — što omogućava izvršavanje neželjenih operacija.

A06:2025 — Insecure Design

Loš sigurnosni dizajn aplikacije od početka — nepostojeći threat modeling, pogrešne pretpostavke o pretnjama i nedostatak sigurnosnih kontrola u arhitekturi.

A07:2025 — Authentication Failures

Problemi sa identifikacijom korisnika: slabe lozinke, loše sesije, neadekvatna autentikacija, nedostatak MFA ili loše čuvanje poverljivih podataka.

A08:2025 — Software or Data Integrity Failures

Nedostatak kontrole integriteta softvera i podataka — neproverene nadogradnje, nevalidirane promene, nebezbedni CI/CD procesi, što omogućava kompromitovanje aplikacije.

A09:2025 — Logging & Alerting Failures

Nedovoljno logovanje, loše nadgledanje i nepostojanje upozorenja — što dozvoljava da napadi i greške prođu neprimećeno.

A10:2025 — Mishandling of Exceptional Conditions

Loše rukovanje greškama i izuzecima: “fail-open”, neproverena neočekivana stanja, curenje informacija kroz error poruke ili preveliko oslanjanje na nekontrolisane fallback mehanizme.

Naredne lekcije

U narednim lekcijama praktično ćemo proći kroz svaku od ovih ranjivosti — kako izgledaju u realnim scenarijima, na koji način se mogu iskoristiti u napadu i koje tehnike zaštite se primenjuju da bi web aplikacija ostala bezbedna. Fokus će biti na razumevanju kako napadač razmišlja, kako se ranjivosti pojavljuju u kodu i kako se pravilno otklanjaju u praksi.

✔️ Završetak Lekcije

Ova lekcija nema proveru znanja. Kliknite na dugme ispod da je označite kao završenu.


📚 Sve Lekcije