cc160695dev/owasp-top-10-2025-corso-italiano

# OWASP Top 10:2025 课程 — 深入指南 (IT/EN) 欢迎。这是一个为**初学者**设计的**双语**（意大利语 + 英语关键术语）自学课程，旨在帮助您深入学习 OWASP 2025 中最重要的 10 个应用安全风险类别。 ## 课程目录 | # | 文件 | 主题 | 预计时长 | |---|------|-----------|---------------| | 0 | [00_introduzione.md](00_introduzione.md) | 什么是 OWASP，2025 方法论，技术前置条件 (HTTP, sessions, authentication) | 30-45 分钟 | | 1 | [01_broken_access_control.md](01_broken_access_control.md) | **A01** — Broken Access Control | 60 分钟 | | 2 | [02_security_misconfiguration.md](02_security_misconfiguration.md) | **A02** — Security Misconfiguration | 50 分钟 | | 3 | [03_software_supply_chain_failures.md](03_software_supply_chain_failures.md) | **A03** — Software Supply Chain Failures | 60 分钟 | | 4 | [04_cryptographic_failures.md](04_cryptographic_failures.md) | **A04** — Cryptographic Failures | 60 分钟 | | 5 | [05_injection.md](05_injection.md) | **A05** — Injection (SQLi, XSS, Command, LLM Prompt) | 75 分钟 | | 6 | [06_insecure_design.md](06_insecure_design.md) | **A06** — Insecure Design (threat modeling) | 50 分钟 | | 7 | [07_authentication_failures.md](07_authentication_failures.md) | **A07** — Authentication Failures | 60 分钟 | | 8 | [08_software_or_data_integrity_failures.md](08_software_or_data_integrity_failures.md) | **A08** — Software or Data Integrity Failures | 50 分钟 | | 9 | [09_security_logging_and_alerting_failures.md](09_security_logging_and_alerting_failures.md) | **A09** — Security Logging & Alerting Failures | 45 分钟 | | 10 | [10_mishandling_of_exceptional_conditions.md](10_mishandling_of_exceptional_conditions.md) | **A10** — Mishandling of Exceptional Conditions ✨ 新增 | 50 分钟 | | 99 | [99_glossario.md](99_glossario.md) | IT↔EN 关键术语表 | 随时查阅 | | 99 | [99_cheatsheet_finale.md](99_cheatsheet_finale.md) | 全局总结 + 部署就绪清单 | 20 分钟 | **总计：** 约 10 小时的主动学习时间（不包括实践实验室，实践部分可能需要额外 10-15 小时）。 ## 如何使用本课程 1. **请务必从 [00_introduzione.md](00_introduzione.md) 开始。** 即使您已经有 Web 开发经验，该文件也包含了本课程通用的词汇表和 OWASP 2025 方法论。 2. **按 A01 → A10 的顺序进行。** 这些类别按 *普遍性 × 影响力* 排序，从最关键到最不关键。后面的模块（A09, A10）假定您已经掌握了前面模块中的概念。 3. **对于每个模块，请遵循其 12 个部分：** - 第 1-5 部分 → 阅读并理解。 - 第 6 部分（存在漏洞的代码 vs 安全的代码）→ 在查看解决方案之前，先自己动手重写修复代码。 - 第 9 部分（实践实验室）→ 务必亲自动手，不要跳过。这是将知识内化的关键环节。 - 第 10 部分（测验）→ 先自己回答，然后再核对答案。 4. **课程结束后，在每次部署前，将 [99_cheatsheet_finale.md](99_cheatsheet_finale.md) 作为参考**。 ## 每个模块的结构 (A01–A10) 每个类别文件都有 **12 个固定的部分**，让您始终知道去哪里查找信息： 1. **课程目标** — 您在结束时将掌握的内容 2. **前置条件** — 之前需要了解的知识 3. **OWASP 背景** — 官方统计数据和资料 4. **描述** — 用通俗易懂的语言解释什么是该漏洞 5. **攻击示例** — 逐步讲解的 3 个 OWASP 场景 6. **存在漏洞的代码 vs 安全的代码** — 代码片段对比 7. **如何预防** — 具体的缓解措施 8. **相关的 CWE** — 5-8 个最重要的 CWE 9. **实践实验室** — 附带平台链接的练习 10. **自我评估测验** — 6-8 道带答案的题目 11. **Cheat sheet** — 60 秒总结 12. **资源与延伸阅读** — OWASP 及其他相关链接 ## 约定 - **双语：** 标题采用 `意大利语 (English)` 格式。标准的技术术语（XSS, CSRF, JWT, TLS, hashing 等）保留英文：您在每份文档、工具和 CVE 中都会看到它们的英文形式。 - **代码：** 轮流使用 Node.js、Python (Flask) 和 Java (Spring)，以提供多样的示例。其原理是与语言无关的。 - **特殊框：** - ⚠️ **常见陷阱** — 大家常犯的错误 - 💡 **良好实践** — 值得模仿的模式 - 🔑 **关键概念** — 需要记住的内容 - 🧪 **快速练习** — 可以迅速完成的小测验 ## 最低技术前置条件 - 能够阅读至少一种语言（Python、JS 或 Java）的基础代码。 - 熟悉“Web 应用程序”的概念（浏览器 ↔ 服务器）。 - 其他所有内容（HTTP, sessions, authentication, hashing, TLS）都会在 [00_introduzione.md](00_introduzione.md) 和各个单独的模块中进行解释。 无需事先具备任何安全知识：本课程从零开始。 ## 内容许可 **源自 OWASP** 的内容（描述、攻击场景、缓解措施、统计数据）摘自 ，并在 **Creative Commons Attribution 3.0 Unported License** 下发布。本课程中的意大利语改编内容、代码示例、测验和实验室为原创教学材料。

标签：2025, AppSec, Cheat Sheet, CISA项目, IT培训, JS文件枚举, MITM代理, OpenCanary, OWASP Top 10, Web安全, XSS, Zenmap, 不安全设计, 代码安全, 分布式计算, 初学者教程, 加密失败, 双语课程, 命令注入, 大模型安全, 威胁建模, 安全合规, 安全培训, 安全基线, 安全实验室, 安全意识, 安全日志, 安全配置错误, 实战演练, 应用程序安全, 异常处理, 意大利语, 教学环境, 数据完整性, 文档安全, 注入攻击, 漏洞分析, 漏洞情报, 漏洞枚举, 编程教育, 网络代理, 网络安全, 自学课程, 英语, 蓝队分析, 访问控制失效, 跨站脚本攻击, 路径探测, 身份验证失败, 逆向工具, 速查表, 防御加固, 防御绕过, 隐私保护