.NET, C# and ASP.NET Security Development - Plan Szkolenia

Szkolenie podstawowe Combined SDL daje wgląd w projektowanie, rozwój i testowanie bezpiecznego oprogramowania poprzez Microsoft Secure Development Lifecycle (SDL). Zapewnia przegląd podstawowych elementów składowych SDL na poziomie 100, a następnie techniki projektowania, które można zastosować do wykrywania i naprawiania błędów na wczesnych etapach procesu rozwoju.

Zajmując się fazą rozwoju, kurs zawiera przegląd typowych błędów programistycznych związanych z bezpieczeństwem zarówno kodu zarządzanego, jak i natywnego. Przedstawiono metody ataków na omawiane luki w zabezpieczeniach wraz z powiązanymi technikami łagodzenia ich skutków, a wszystko to wyjaśniono za pomocą szeregu praktycznych ćwiczeń zapewniających uczestnikom zabawę w hakowanie na żywo. Po wprowadzeniu różnych metod testowania bezpieczeństwa następuje demonstracja skuteczności różnych narzędzi testowych. Uczestnicy mogą zrozumieć działanie tych narzędzi poprzez szereg praktycznych ćwiczeń, stosując narzędzia do już omówionego podatnego kodu.

Uczestnicy biorący udział w tym kursie będą mogli

• Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania.
• Poznanie podstawowych etapów Microsoft cyklu życia bezpiecznego rozwoju
• Poznaj praktyki bezpiecznego projektowania i programowania
• Poznanie zasad bezpiecznego wdrażania
• Zrozumienie metodologii testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Programiści, menedżerowie

Ten trzydniowy kurs obejmuje podstawy zabezpieczania kodu C / C++ przed złośliwymi użytkownikami, którzy mogą wykorzystać wiele luk w kodzie z zarządzaniem pamięcią i obsługą danych wejściowych, kurs obejmuje zasady pisania bezpiecznego kodu.

Opis

Język Java i środowisko uruchomieniowe (JRE) zostały zaprojektowane tak, aby były wolne od najbardziej problematycznych luk bezpieczeństwa występujących w innych językach, takich jak C/C++. Jednak programiści i architekci oprogramowania powinni nie tylko wiedzieć, jak korzystać z różnych funkcji bezpieczeństwa środowiska Java (bezpieczeństwo pozytywne), ale także powinni być świadomi licznych luk w zabezpieczeniach, które są nadal istotne dla rozwoju Java (bezpieczeństwo negatywne).

Wprowadzenie usług bezpieczeństwa jest poprzedzone krótkim przeglądem podstaw kryptografii, zapewniając wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Korzystanie z tych komponentów jest prezentowane za pomocą kilku praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka i platformy Java, obejmując zarówno typowe błędy popełniane przez programistów Java, jak i kwestie specyficzne dla języka i środowiska. Wszystkie luki w zabezpieczeniach i odpowiednie ataki są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia skutków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i umiejętność ich unikania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskać informacje na temat niektórych ostatnich luk w zabezpieczeniach frameworka Java
• Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Publiczność

Deweloperzy

Opis

Oprócz solidnej wiedzy na temat korzystania z komponentów Java, nawet dla doświadczonych programistów Java niezbędne jest posiadanie dogłębnej wiedzy na temat luk w zabezpieczeniach związanych z siecią, zarówno po stronie serwera, jak i klienta, różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych napisanych w Java, oraz konsekwencji różnych zagrożeń.

Ogólne luki w zabezpieczeniach sieciowych zostały zademonstrowane poprzez przedstawienie odpowiednich ataków, podczas gdy zalecane techniki kodowania i metody łagodzenia skutków zostały wyjaśnione w kontekście języka Java z najważniejszym celem uniknięcia związanych z nimi problemów. Ponadto szczególny nacisk położono na bezpieczeństwo po stronie klienta, zajmując się kwestiami bezpieczeństwa JavaScript, Ajax i HTML5.

Kurs wprowadza komponenty bezpieczeństwa Standard Java Edition, które są poprzedzone podstawami kryptografii, zapewniając wspólną bazę do zrozumienia celu i działania odpowiednich komponentów. Wykorzystanie wszystkich komponentów jest prezentowane poprzez praktyczne ćwiczenia, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API i narzędzia.

Wreszcie, kurs wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka i platformy Java. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno kwestie specyficzne dla języka, jak i problemy wynikające ze środowiska wykonawczego. Wszystkie luki i odpowiednie ataki są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia skutków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskanie informacji na temat niektórych ostatnich luk w zabezpieczeniach frameworka Java
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania zabezpieczeń
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Nawet doświadczeni programiści Java nie opanowali w pełni różnych usług bezpieczeństwa oferowanych przez Java, a także nie są świadomi różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych napisanych w Java.

Kurs – oprócz wprowadzenia komponentów bezpieczeństwa Standard Java Edition – zajmuje się kwestiami bezpieczeństwa Java Enterprise Edition (JEE) i usług internetowych. Omówienie konkretnych usług poprzedzone jest podstawami kryptografii i bezpiecznej komunikacji. Różne ćwiczenia dotyczą deklaratywnych i programistycznych technik bezpieczeństwa w JEE, podczas gdy omawiane jest zarówno bezpieczeństwo warstwy transportowej, jak i end-to-end usług internetowych. Wykorzystanie wszystkich komponentów jest prezentowane poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API i narzędzia.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka Java oraz luki związane z platformą i siecią. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno kwestie specyficzne dla języka, jak i problemy wynikające ze środowiska wykonawczego. Wszystkie luki i odpowiednie ataki są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia skutków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Zrozumienie koncepcji bezpieczeństwa usług sieciowych
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Zrozumieć rozwiązania bezpieczeństwa Java EE
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskać informacje na temat niektórych ostatnich luk w zabezpieczeniach frameworka Java
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Oprócz solidnej wiedzy na temat korzystania z komponentów Java, nawet dla doświadczonych programistów Java niezbędne jest posiadanie dogłębnej wiedzy na temat luk w zabezpieczeniach związanych z siecią, zarówno po stronie serwera, jak i klienta, różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych napisanych w Java, oraz konsekwencji różnych zagrożeń.

Ogólne luki w zabezpieczeniach sieciowych są demonstrowane poprzez prezentację odpowiednich ataków, podczas gdy zalecane techniki kodowania i metody łagodzenia skutków są wyjaśniane w kontekście Javy z najważniejszym celem uniknięcia związanych z nimi problemów. Ponadto szczególny nacisk położono na bezpieczeństwo po stronie klienta, zajmując się kwestiami bezpieczeństwa JavaScript, Ajax i HTML5.

Kurs wprowadza komponenty bezpieczeństwa standardowej Java edycji, która jest poprzedzona podstawami kryptografii, zapewniając wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Kwestie bezpieczeństwa Java Enterprise Edition są prezentowane poprzez różne ćwiczenia wyjaśniające zarówno deklaratywne, jak i programistyczne techniki bezpieczeństwa w JEE.

Wreszcie, kurs wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka i platformy Java. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno kwestie specyficzne dla języka, jak i problemy wynikające ze środowiska wykonawczego. Wszystkie luki i odpowiednie ataki są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia skutków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Zrozumieć koncepcje bezpieczeństwa usług sieciowych
• Zrozumieć rozwiązania bezpieczeństwa Java EE
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskać informacje na temat niektórych ostatnich luk w zabezpieczeniach frameworka Java
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Obecnie dostępnych jest wiele języków programowania umożliwiających kompilację kodu do frameworków .NET i ASP.NET. Środowisko to zapewnia potężne środki do rozwoju zabezpieczeń, ale programiści powinni wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodowania, aby wdrożyć pożądaną funkcjonalność zabezpieczeń i uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, obsługiwać sesje, wprowadzać różne implementacje dla określonych funkcji i wiele innych. Specjalna sekcja poświęcona jest konfiguracji i wzmocnieniu środowiska .NET i ASP.NET pod kątem bezpieczeństwa.

Krótkie wprowadzenie do podstaw kryptografii zapewnia wspólną praktyczną podstawę do zrozumienia celu i działania różnych algorytmów, na podstawie których kurs przedstawia funkcje kryptograficzne, które można wykorzystać w .NET. Po tym następuje wprowadzenie niektórych ostatnich luk w zabezpieczeniach kryptograficznych, zarówno związanych z niektórymi algorytmami kryptograficznymi i protokołami kryptograficznymi, jak i atakami bocznymi.

Wprowadzenie różnych podatności rozpoczyna się od przedstawienia niektórych typowych problemów programistycznych popełnianych podczas korzystania z .NET, w tym kategorii błędów związanych z walidacją danych wejściowych, obsługą błędów lub warunkami wyścigu. Szczególny nacisk położono na bezpieczeństwo XML, podczas gdy temat podatności specyficznych dla ASP.NET porusza pewne szczególne kwestie i metody ataku: takie jak atakowanie ViewState lub ataki na zakończenie ciągu znaków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji zabezpieczeń środowiska programistycznego .NET
• Praktyczne zrozumienie kryptografii
• Zrozumienie niektórych ostatnich ataków na kryptosystemy
• Uzyskanie informacji na temat niektórych ostatnich luk w zabezpieczeniach .NET i ASP.NET
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Oprócz solidnej wiedzy na temat korzystania z różnych funkcji bezpieczeństwa .NET i ASP.NET, nawet dla doświadczonych programistów niezbędna jest dogłębna wiedza na temat luk w zabezpieczeniach sieciowych zarówno po stronie serwera, jak i klienta, wraz z konsekwencjami różnych zagrożeń.

W tym kursie ogólne luki w zabezpieczeniach sieciowych są demonstrowane poprzez prezentację odpowiednich ataków, podczas gdy zalecane techniki kodowania i metody łagodzenia skutków są wyjaśniane w kontekście ASP.NET. Szczególny nacisk położono na bezpieczeństwo po stronie klienta, zajmując się kwestiami bezpieczeństwa JavaScript, Ajax i HTML5.

Kurs dotyczy również architektury bezpieczeństwa i komponentów frameworka .NET, w tym kontroli dostępu opartej na kodzie i rolach, deklaracji uprawnień i mechanizmów sprawdzania oraz modelu przezroczystości. Krótkie wprowadzenie do podstaw kryptografii zapewnia wspólną praktyczną podstawę do zrozumienia celu i działania różnych algorytmów, na podstawie których kurs przedstawia funkcje kryptograficzne, które można wykorzystać w .NET.

Wprowadzenie różnych błędów bezpieczeństwa jest zgodne z dobrze ugruntowanymi kategoriami luk, zajmując się walidacją danych wejściowych, funkcjami bezpieczeństwa, obsługą błędów, problemami związanymi z czasem i stanem, grupą ogólnych problemów związanych z jakością kodu oraz specjalną sekcją dotyczącą luk specyficznych dla ASP.NET. Tematy te kończą się przeglądem narzędzi testowych, które mogą być wykorzystane do automatycznego ujawniania niektórych z poznanych błędów.

Tematy są prezentowane za pomocą praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować konsekwencje niektórych luk w zabezpieczeniach, środki zaradcze, a także omówione interfejsy API i narzędzia.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
• Praktyczne zrozumienie kryptografii
• Uzyskać informacje na temat niektórych najnowszych luk w zabezpieczeniach .NET i ASP.NET
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania zabezpieczeń
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Ochrona aplikacji dostępnych za pośrednictwem sieci wymaga dobrze przygotowanych specjalistów ds. bezpieczeństwa, którzy przez cały czas są świadomi aktualnych metod i trendów ataków. Istnieje wiele technologii i środowisk, które umożliwiają wygodne tworzenie aplikacji internetowych (takich jak Java, ASP.NET lub PHP, a także Javascript lub Ajax po stronie klienta). Należy być świadomym nie tylko kwestii bezpieczeństwa związanych z tymi platformami, ale także wszystkich ogólnych luk w zabezpieczeniach, które mają zastosowanie niezależnie od używanych narzędzi programistycznych.

Kurs zawiera przegląd stosowanych rozwiązań bezpieczeństwa w aplikacjach internetowych, koncentrując się na najważniejszych technologiach, takich jak bezpieczna komunikacja i usługi internetowe, zajmując się zarówno bezpieczeństwem warstwy transportowej, jak i kompleksowymi rozwiązaniami bezpieczeństwa oraz standardami, takimi jak Web Services Security i XML. Zawiera również krótki przegląd typowych błędów programistycznych, przede wszystkim związanych z brakiem lub niewłaściwą walidacją danych wejściowych.

Luki w zabezpieczeniach sieciowych są demonstrowane poprzez prezentację odpowiednich ataków, podczas gdy zalecane techniki kodowania i metody łagodzenia skutków są wyjaśniane w celu uniknięcia związanych z nimi problemów. Ćwiczenia mogą być z łatwością wykonywane przez programistów używających różnych języków programowania, dzięki czemu tematy związane z aplikacjami internetowymi mogą być łatwo łączone z innymi tematami dotyczącymi bezpiecznego kodowania, a tym samym mogą skutecznie zaspokoić potrzeby korporacyjnych grup programistycznych, które zazwyczaj zajmują się różnymi językami i platformami programistycznymi do tworzenia aplikacji internetowych.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Praktyczne zrozumienie kryptografii
• Zrozumienie koncepcji bezpieczeństwa usług sieciowych
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Po zapoznaniu się z podatnościami i metodami ataków, uczestnicy poznają ogólne podejście i metodologię testowania bezpieczeństwa oraz techniki, które można zastosować w celu ujawnienia określonych podatności. Testowanie bezpieczeństwa powinno rozpocząć się od zebrania informacji o systemie (ToC, czyli Target of Evaluation), następnie dokładne modelowanie zagrożeń powinno ujawnić i ocenić wszystkie zagrożenia, dochodząc do najbardziej odpowiedniego planu testów opartego na analizie ryzyka.

Oceny bezpieczeństwa mogą odbywać się na różnych etapach SDLC, dlatego omawiamy przegląd projektu, przegląd kodu, rekonesans i zbieranie informacji o systemie, testowanie implementacji oraz testowanie i wzmacnianie środowiska pod kątem bezpiecznego wdrażania. Szczegółowo przedstawiono wiele technik testowania bezpieczeństwa, takich jak analiza skazy i przegląd kodu oparty na heurystyce, statyczna analiza kodu, dynamiczne testowanie luk w sieci lub fuzzing. Przedstawiono różne rodzaje narzędzi, które można zastosować w celu zautomatyzowania oceny bezpieczeństwa produktów programowych, co jest również wspierane przez szereg ćwiczeń, w których wykorzystujemy te narzędzia do analizy już omówionego podatnego kodu. Wiele rzeczywistych studiów przypadku pomaga lepiej zrozumieć różne podatności.

Kurs ten przygotowuje testerów i personel QA do odpowiedniego planowania i precyzyjnego wykonywania testów bezpieczeństwa, wyboru i korzystania z najbardziej odpowiednich narzędzi i technik w celu znalezienia nawet ukrytych luk w zabezpieczeniach, a tym samym daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia roboczego.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Zrozumienie podejść i metodologii testowania bezpieczeństwa
• Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Programiści, Testerzy

Ochrona aplikacji dostępnych za pośrednictwem sieci wymaga dobrze przygotowanych specjalistów ds. bezpieczeństwa, którzy przez cały czas są świadomi aktualnych metod i trendów ataków. Istnieje wiele technologii i środowisk, które umożliwiają wygodne tworzenie aplikacji internetowych. Należy być świadomym nie tylko kwestii bezpieczeństwa związanych z tymi platformami, ale także wszystkich ogólnych luk w zabezpieczeniach, które mają zastosowanie niezależnie od używanych narzędzi programistycznych.

Kurs zawiera przegląd stosowanych rozwiązań bezpieczeństwa w aplikacjach internetowych, ze szczególnym naciskiem na zrozumienie najważniejszych rozwiązań kryptograficznych, które należy zastosować. Różne luki w zabezpieczeniach aplikacji internetowych są prezentowane zarówno po stronie serwera (zgodnie z OWASP Top Ten), jak i po stronie klienta, demonstrowane poprzez odpowiednie ataki, a następnie zalecane techniki kodowania i metody łagodzenia skutków w celu uniknięcia związanych z nimi problemów. Temat bezpiecznego kodowania został zakończony omówieniem typowych błędów programistycznych związanych z bezpieczeństwem w zakresie walidacji danych wejściowych, niewłaściwego wykorzystania funkcji bezpieczeństwa i jakości kodu.

Testowanie odgrywa bardzo ważną rolę w zapewnianiu bezpieczeństwa i niezawodności aplikacji internetowych. Różne podejścia - od audytu wysokiego poziomu, poprzez testy penetracyjne, aż po etyczne hakowanie - mogą być stosowane w celu znalezienia luk różnego rodzaju. Jeśli jednak chcesz wyjść poza łatwe do znalezienia nisko wiszące owoce, testy bezpieczeństwa powinny być dobrze zaplanowane i prawidłowo wykonane. Pamiętaj: testerzy bezpieczeństwa powinni znaleźć wszystkie błędy, aby chronić system, podczas gdy dla przeciwników wystarczy znaleźć jedną podatność, którą można wykorzystać, aby do niego przeniknąć.

Praktyczne ćwiczenia pomogą zrozumieć luki w zabezpieczeniach aplikacji internetowych, błędy programistyczne i, co najważniejsze, techniki łagodzenia skutków, wraz z praktycznymi próbami różnych narzędzi testowych, od skanerów bezpieczeństwa, przez sniffery, serwery proxy, narzędzia fuzzingowe po statyczne analizatory kodu źródłowego, kurs ten daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia w miejscu pracy.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Praktyczne zrozumienie kryptografii
• Zrozumienie podejść i metodologii testowania bezpieczeństwa
• Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
• Uzyskanie informacji na temat najnowszych luk w zabezpieczeniach różnych platform, frameworków i bibliotek
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Programiści, Testerzy

Kurs zapewnia niezbędne umiejętności dla PHP programistów niezbędne do uczynienia ich aplikacji odpornymi na współczesne ataki przez Internet. Podatności sieciowe są omawiane na przykładach PHP wykraczających poza pierwszą dziesiątkę OWASP, zajmując się różnymi atakami wstrzykiwania, wstrzykiwaniem skryptów, atakami na obsługę sesji PHP, niezabezpieczonymi bezpośrednimi odniesieniami do obiektów, problemami z przesyłaniem plików i wieloma innymi. Podatności związane z PHP zostały pogrupowane w standardowe typy podatności, takie jak brak lub niewłaściwa walidacja danych wejściowych, nieprawidłowa obsługa błędów i wyjątków, niewłaściwe wykorzystanie funkcji bezpieczeństwa oraz problemy związane z czasem i stanem. W tym ostatnim przypadku omawiamy ataki takie jak obejście open_basedir, odmowa usługi poprzez magic float lub atak polegający na kolizji tablic hash. We wszystkich przypadkach uczestnicy zapoznają się z najważniejszymi technikami i funkcjami, które należy stosować w celu złagodzenia wymienionych zagrożeń.

Szczególny nacisk położono na bezpieczeństwo po stronie klienta, zajmując się kwestiami bezpieczeństwa JavaScript, Ajax i HTML5. Wprowadzono szereg rozszerzeń związanych z bezpieczeństwem do PHP, takich jak hash, mcrypt i OpenSSL dla kryptografii lub Ctype, ext/filter i HTML Purifier dla walidacji danych wejściowych. Podano najlepsze praktyki wzmacniania zabezpieczeń w związku z konfiguracją PHP (ustawienie php.ini), Apache i ogólnie serwera. Na koniec przedstawiono przegląd różnych narzędzi i technik testowania bezpieczeństwa, z których mogą korzystać programiści i testerzy, w tym skanery bezpieczeństwa, testy penetracyjne i pakiety exploitów, sniffery, serwery proxy, narzędzia do fuzzingu i statyczne analizatory kodu źródłowego.

Zarówno wprowadzenie luk w zabezpieczeniach, jak i praktyki konfiguracyjne są wspierane przez szereg praktycznych ćwiczeń demonstrujących konsekwencje udanych ataków, pokazujących, jak stosować techniki łagodzenia skutków oraz wprowadzających korzystanie z różnych rozszerzeń i narzędzi.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Praktyczne zrozumienie kryptografii
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa PHP.
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskanie informacji na temat najnowszych luk w zabezpieczeniach frameworka PHP
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Publiczność

Deweloperzy

Aby jak najlepiej służyć heterogenicznym grupom programistów, którzy używają różnych platform jednocześnie podczas codziennej pracy, połączyliśmy różne tematy w połączony kurs, który przedstawia różne tematy bezpiecznego kodowania w sposób dydaktyczny podczas jednego szkolenia. Kurs ten łączy C/C++ i Java bezpieczeństwo platformy, aby zapewnić obszerną, wieloplatformową wiedzę na temat bezpiecznego kodowania.

W odniesieniu do C/C++ omówiono typowe luki w zabezpieczeniach, poparte praktycznymi ćwiczeniami dotyczącymi metod ataku wykorzystujących te luki, z naciskiem na techniki łagodzenia skutków, które można zastosować, aby zapobiec wystąpieniu tych niebezpiecznych błędów, wykryć je przed wprowadzeniem na rynek lub zapobiec ich wykorzystaniu.

Komponenty bezpieczeństwa i usługi Java są omawiane poprzez prezentację różnych interfejsów API i narzędzi poprzez szereg praktycznych ćwiczeń, w których uczestnicy mogą zdobyć praktyczne doświadczenie w ich używaniu. Kurs obejmuje również kwestie bezpieczeństwa usług internetowych i powiązanych usług Java, które można zastosować w celu zapobiegania najbardziej dotkliwym zagrożeniom związanym z usługami internetowymi. Wreszcie, luki w zabezpieczeniach związane z usługami internetowymi i Java są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, które nie tylko pokazują podstawową przyczynę problemów, ale także demonstrują metody ataku wraz z zalecanymi technikami łagodzenia i kodowania w celu uniknięcia związanych z nimi problemów bezpieczeństwa.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Uświadomienie sobie poważnych konsekwencji niezabezpieczonej obsługi bufora
• Zrozumieć architektoniczne techniki ochrony i ich słabości
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Uzyskać informacje na temat najnowszych luk w zabezpieczeniach różnych platform, frameworków i bibliotek
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Nawet doświadczeni programiści nie opanowują w pełni różnych usług bezpieczeństwa oferowanych przez ich platformy programistyczne, a także nie są świadomi różnych luk w zabezpieczeniach, które są istotne dla ich rozwoju. Kurs ten skierowany jest do programistów korzystających zarówno z Java, jak i PHP, zapewniając im niezbędne umiejętności niezbędne do uczynienia ich aplikacji odpornymi na współczesne ataki przez Internet.

Poziomy architektury bezpieczeństwa Java są omawiane poprzez kontrolę dostępu, uwierzytelnianie i autoryzację, bezpieczną komunikację i różne funkcje kryptograficzne. Przedstawiono również różne interfejsy API, które można wykorzystać do zabezpieczenia kodu w PHP, takie jak OpenSSL do kryptografii lub HTML Purifier do sprawdzania poprawności danych wejściowych. Po stronie serwera podano najlepsze praktyki dotyczące wzmacniania i konfigurowania systemu operacyjnego, kontenera sieciowego, systemu plików, serwera SQL i samego PHP, podczas gdy szczególny nacisk położono na bezpieczeństwo po stronie klienta poprzez kwestie bezpieczeństwa JavaScript, Ajax i HTML5.

Ogólne luki w zabezpieczeniach sieci są omawiane na przykładach zgodnych z OWASP Top Ten, pokazujących różne ataki wstrzykiwania, wstrzykiwania skryptów, ataki na obsługę sesji, niezabezpieczone bezpośrednie odniesienia do obiektów, problemy z przesyłaniem plików i wiele innych. Różne problemy specyficzne dla języka Java i PHP oraz problemy wynikające ze środowiska uruchomieniowego są pogrupowane w standardowe typy podatności, takie jak brak lub niewłaściwa walidacja danych wejściowych, niewłaściwe użycie funkcji bezpieczeństwa, nieprawidłowa obsługa błędów i wyjątków, problemy związane z czasem i stanem, problemy związane z jakością kodu oraz podatności związane z kodem mobilnym.

Uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API, narzędzia i efekty konfiguracji, podczas gdy wprowadzenie luk w zabezpieczeniach jest wspierane przez szereg praktycznych ćwiczeń demonstrujących konsekwencje udanych ataków, pokazujących, jak naprawić błędy i zastosować techniki łagodzenia skutków, a także wprowadzających korzystanie z różnych rozszerzeń i narzędzi.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Praktyczne zrozumienie kryptografii
• Nauczyć się korzystać z różnych funkcji bezpieczeństwa PHP
• Zrozumienie koncepcji bezpieczeństwa usług sieciowych
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Poznanie typowych błędów w kodowaniu i sposobów ich unikania
• Zapoznanie się z najnowszymi lukami w zabezpieczeniach frameworków i bibliotek Java oraz PHP
• Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Publiczność

Deweloperzy