Bezpieczne programowanie w PHP - Plan Szkolenia

To prowadzone przez instruktora szkolenie w trybie Polsce (online lub na miejscu) jest skierowane do naukowców danych i inżynierów oprogramowania, którzy chcą wykorzystać AdaBoost do budowy algorytmów boostingowych dla uczenia maszynowego z użyciem Pythona.

Po ukończeniu tego szkolenia uczestnicy będą w stanie:

• Zainstalować niezbędne środowisko rozwojowe do budowy modeli uczenia maszynowego z AdaBoost.
• Zrozumieć podejście uczenia zespołowego oraz jak wdrożyć adaptacyjny boosting.
• Nauczyć się budowy modeli AdaBoost w celu wzmacniania algorytmów uczenia maszynowego w Pythonie.
• Używać optymalizacji hiperparametrów do zwiększania dokładności i wydajności modeli AdaBoost.

Android to otwarta platforma dla urządzeń mobilnych, takich jak telefony komórkowe i tablety. Oferuje szeroki zakres funkcji bezpieczeństwa, które ułatwiają tworzenie bezpiecznego oprogramowania; jednak brakuje jej pewnych aspektów bezpieczeństwa obecnych na innych platformach mobilnych. Kurs zapewnia kompleksowy przegląd tych funkcji, wskazując najważniejsze niedociągnięcia, na które należy zwrócić uwagę, związane z bazowym systemem Linux, systemem plików i środowiskiem ogólnie, a także z używaniem uprawnień i innych komponentów programistycznych Android.

Typowe pułapki i luki w zabezpieczeniach są opisane zarówno dla kodu natywnego, jak i aplikacji Java, wraz z zaleceniami i najlepszymi praktykami, aby ich uniknąć i złagodzić ich skutki. W wielu przypadkach omawiane problemy są wspierane rzeczywistymi przykładami i studiami przypadków. Na koniec przedstawiamy krótki przegląd, jak używać narzędzi do testowania bezpieczeństwa, aby ujawnić błędy programistyczne związane z bezpieczeństwem.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym programowaniem
• Poznają rozwiązania bezpieczeństwa na Androidzie
• Nauczą się korzystać z różnych funkcji bezpieczeństwa platformy Android
• Otrzymają informacje o niektórych ostatnich lukach w zabezpieczeniach w Javie na Androidzie
• Dowiedzą się o typowych błędach programistycznych i jak ich unikać
• Zrozumieją luki w zabezpieczeniach kodu natywnego na Androidzie
• Uświadomią sobie poważne konsekwencje niebezpiecznego zarządzania buforami w kodzie natywnym
• Zrozumieją techniki ochrony architektonicznej i ich słabości
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego programowania

Grupa docelowa

Profesjonaliści

Wdrożenie bezpiecznej aplikacji sieciowej może być trudne, nawet dla programistów, którzy wcześniej mogli korzystać z różnych elementów kryptograficznych (takich jak szyfrowanie i podpisy cyfrowe). Aby uczestnicy zrozumieli rolę i zastosowanie tych podstawowych elementów kryptograficznych, najpierw przedstawione zostaną solidne podstawy głównych wymagań dotyczących bezpiecznej komunikacji – bezpieczne potwierdzenie, integralność, poufność, zdalna identyfikacja i anonimowość – wraz z typowymi problemami, które mogą naruszyć te wymagania, oraz praktycznymi rozwiązaniami.

Ponieważ kluczowym aspektem bezpieczeństwa sieciowego jest kryptografia, omówione zostaną również najważniejsze algorytmy kryptograficzne w kryptografii symetrycznej, funkcje skrótu, kryptografia asymetryczna oraz uzgadnianie kluczy. Zamiast szczegółowego tła matematycznego, elementy te omawiane są z perspektywy programisty, przedstawiając typowe przykłady zastosowań i praktyczne aspekty związane z użyciem kryptografii, takie jak infrastruktura kluczy publicznych. Wprowadzone zostaną protokoły bezpieczeństwa w wielu obszarach bezpiecznej komunikacji, z dogłębną dyskusją na temat najczęściej używanych rodzin protokołów, takich jak IPSEC i SSL/TLS.

Typowe luki kryptograficzne omawiane są zarówno w odniesieniu do określonych algorytmów kryptograficznych, jak i protokołów, takich jak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE i podobne, a także atak czasowy RSA. W każdym przypadku opisane są praktyczne aspekty i potencjalne konsekwencje każdego problemu, ponownie bez wchodzenia w szczegóły matematyczne.

Wreszcie, ponieważ technologia XML jest kluczowa dla wymiany danych w aplikacjach sieciowych, opisane zostaną aspekty bezpieczeństwa XML. Obejmuje to użycie XML w usługach sieciowych i komunikatach SOAP wraz z środkami ochrony, takimi jak podpis XML i szyfrowanie XML, a także słabości tych środków ochrony oraz specyficzne problemy bezpieczeństwa XML, takie jak iniekcja XML, ataki na zewnętrzne jednostki XML (XXE), bomby XML i iniekcja XPath.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Zrozumieją wymagania dotyczące bezpiecznej komunikacji
• Poznają ataki sieciowe i mechanizmy obronne na różnych warstwach OSI
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją kluczowe protokoły bezpieczeństwa
• Zrozumieją niektóre ostatnie ataki na systemy kryptograficzne
• Otrzymają informacje na temat ostatnich powiązanych luk
• Zrozumieją koncepcje bezpieczeństwa usług sieciowych
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, profesjonaliści

Ten trzydniowy kurs obejmuje podstawy zabezpieczania kodu C / C++ przed złośliwymi użytkownikami, którzy mogą wykorzystać wiele luk w kodzie z zarządzaniem pamięcią i obsługą danych wejściowych, kurs obejmuje zasady pisania bezpiecznego kodu.

Nawet doświadczeni programiści Java nie zawsze w pełni opanowują różne usługi bezpieczeństwa oferowane przez Javę i często nie są świadomi różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych napisanych w Javie.

Kurs – oprócz wprowadzenia do komponentów bezpieczeństwa Standard Edition Javy – zajmuje się problemami bezpieczeństwa w Java Enterprise Edition (JEE) i usługach internetowych. Omówienie konkretnych usług poprzedzone jest podstawami kryptografii i bezpiecznej komunikacji. Różne ćwiczenia dotyczą deklaratywnych i programowych technik bezpieczeństwa w JEE, a także omawiane są zarówno zabezpieczenia na poziomie transportu, jak i end-to-end w usługach internetowych. Użycie wszystkich komponentów przedstawione jest poprzez kilka praktycznych ćwiczeń, podczas których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API i narzędzia.

Kurs również omawia i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne w języku Java i platformie oraz luki w zabezpieczeniach związane z internetem. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno problemy specyficzne dla języka, jak i problemy wynikające ze środowiska wykonawczego. Wszystkie luki i związane z nimi ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia problemów.

Uczestnicy tego kursu:

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją rozwiązania bezpieczeństwa w Java EE
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje na temat niektórych ostatnich luk w zabezpieczeniach w frameworku Java
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Opis

Język Java oraz środowisko wykonawcze (JRE) zostały zaprojektowane tak, aby uniknąć najbardziej problematycznych typowych luk w zabezpieczeniach, występujących w innych językach, takich jak C/C++. Jednak programiści i architekci oprogramowania powinni nie tylko wiedzieć, jak korzystać z różnych funkcji zabezpieczeń środowiska Java (zabezpieczenia pozytywne), ale także być świadomi licznych luk w zabezpieczeniach, które nadal są istotne w rozwoju aplikacji Java (zabezpieczenia negatywne).

Wprowadzenie do usług zabezpieczeń poprzedzone jest krótkim przeglądem podstaw kryptografii, co zapewnia wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Użycie tych komponentów przedstawione jest poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne w języku i platformie Java, obejmując zarówno typowe błędy popełniane przez programistów Java, jak i problemy specyficzne dla języka i środowiska. Wszystkie luki w zabezpieczeniach oraz związane z nimi ataki demonstrowane są poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania oraz możliwe techniki łagodzenia problemów.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym programowaniem
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten oraz dowiedzą się, jak ich unikać
• Nauczą się korzystać z różnych funkcji zabezpieczeń środowiska programistycznego Java
• Zdobyją praktyczną wiedzę na temat kryptografii
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje na temat niektórych ostatnich luk w zabezpieczeniach w frameworku Java
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego programowania

Grupa docelowa

Programiści

Obecnie dostępnych jest wiele języków programowania umożliwiających kompilację kodu do frameworków .NET i ASP.NET. Środowisko to zapewnia potężne środki do rozwoju zabezpieczeń, ale programiści powinni wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodowania, aby wdrożyć pożądaną funkcjonalność zabezpieczeń i uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, obsługiwać sesje, wprowadzać różne implementacje dla określonych funkcji i wiele więcej.

Wprowadzenie różnych podatności rozpoczyna się od przedstawienia niektórych typowych problemów programistycznych popełnianych podczas korzystania z .NET, podczas gdy dyskusja na temat podatności ASP.NET dotyczy również różnych ustawień środowiska i ich skutków. Wreszcie, temat podatności specyficznych dla ASP.NET dotyczy nie tylko niektórych ogólnych wyzwań związanych z bezpieczeństwem aplikacji internetowych, ale także specjalnych kwestii i metod ataku, takich jak atakowanie ViewState lub ataki na zakończenie ciągu znaków.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i umiejętność ich unikania
• Naucz się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
• Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Poznaj typowe błędy w kodowaniu i dowiedz się, jak ich unikać
• Uzyskaj informacje o niektórych najnowszych lukach w zabezpieczeniach .NET i ASP.NET
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Deweloperzy

Kurs wprowadza w niektóre powszechne koncepcje bezpieczeństwa, przedstawia przegląd natury luk w zabezpieczeniach niezależnie od używanych języków programowania i platform, oraz wyjaśnia, jak zarządzać ryzykami związanymi z bezpieczeństwem oprogramowania na różnych etapach cyklu życia rozwoju oprogramowania. Bez wchodzenia w szczegóły techniczne, kurs podkreśla niektóre z najbardziej interesujących i najdotkliwszych luk w zabezpieczeniach w różnych technologiach programistycznych oraz przedstawia wyzwania związane z testowaniem bezpieczeństwa, wraz z technikami i narzędziami, które można zastosować do wykrycia istniejących problemów w kodzie.

Uczestnicy tego kursu będą

• Rozumieć podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Rozumieć luki w zabezpieczeniach stron internetowych zarówno po stronie serwera, jak i klienta
• Zdawać sobie sprawę z poważnych konsekwencji niebezpiecznego zarządzania buforami
• Być poinformowanymi o niektórych najnowszych lukach w środowiskach programistycznych i frameworkach
• Poznać typowe błędy kodowania i sposoby ich unikania
• Zrozumieć podejścia i metodologie testowania bezpieczeństwa

Grupa docelowa

Menedżerowie

Kurs łączący SDL core oferuje wgląd w bezpieczny projekt, rozwój i testowanie oprogramowania poprzez Microsoft Secure Development Lifecycle (SDL). Udostępnia on omówienie na poziomie 100 podstawowych elementów budujących SDL, a następnie technik projektowania, które można zastosować do wykrywania i naprawy wad na wcześniejszych etapach procesu rozwojowego.

W zakresie fazy rozwijania, kurs prezentuje omówienie typowych błędów programistycznych związanych z bezpieczeństwem, zarówno dla zarządzanego, jak i natywnego kodu. Prezentowane są metody ataków na omawiane wady oraz związane z nimi techniki łagodzenia, wszystkie wyjaśnione poprzez szereg praktycznych ćwiczeń, które zapewniają uczestnikom przyjemność z żywej hakowania. Wprowadzenie do różnych metod testowania bezpieczeństwa jest kontynuowane demonstracją skuteczności różnych narzędzi testowych. Uczestnicy mogą zrozumieć działanie tych narzędzi poprzez szereg praktycznych ćwiczeń, stosując narzędzia do już omawianego narażonego na ataki kodu.

Uczestnicy tego kursu

Zrozumieją podstawowe koncepcje bezpieczeństwa, IT i bezpiecznego programowania

Poznają kluczowe etapy Microsoft Secure Development Lifecycle (SDL)

Nauczą się praktyk projektowania i rozwoju zabezpieczenia

Dowiedzą się o zasadach bezpiecznej implementacji

Zrozumieją metodologię testowania bezpieczeństwa

• Otrzymają źródła i dalsze czytelne materiały na temat bezpiecznego programowania

Grupa docelowa

Programiści, Menadżerowie

Po zapoznaniu się z lukami w zabezpieczeniach i metodami ataków, uczestnicy poznają ogólne podejście i metodologię testowania bezpieczeństwa oraz techniki, które można zastosować w celu ujawnienia konkretnych luk. Testowanie bezpieczeństwa powinno rozpocząć się od zbierania informacji o systemie (ToC, czyli Cel Oceny), następnie dokładne modelowanie zagrożeń powinno ujawnić i ocenić wszystkie zagrożenia, prowadząc do najbardziej odpowiedniego planu testów opartego na analizie ryzyka.

Oceny bezpieczeństwa mogą odbywać się na różnych etapach cyklu życia rozwoju oprogramowania (SDLC), dlatego omawiamy przegląd projektowania, przegląd kodu, rozpoznanie i zbieranie informacji o systemie, testowanie implementacji oraz testowanie i wzmacnianie środowiska w celu bezpiecznego wdrożenia. Wiele technik testowania bezpieczeństwa jest szczegółowo przedstawionych, takich jak analiza skażenia i przegląd kodu oparty na heurystyce, statyczna analiza kodu, dynamiczne testowanie luk w zabezpieczeniach aplikacji webowych czy fuzzing. Przedstawione są różne typy narzędzi, które można zastosować w celu automatyzacji oceny bezpieczeństwa produktów programowych, co jest również wspierane przez szereg ćwiczeń, w których uruchamiamy te narzędzia do analizy wcześniej omówionego podatnego kodu. Wiele studiów przypadków z życia wziętych wspiera lepsze zrozumienie różnych luk w zabezpieczeniach.

Ten kurs przygotowuje testerów i personel QA do odpowiedniego planowania i precyzyjnego wykonywania testów bezpieczeństwa, wyboru i stosowania najbardziej odpowiednich narzędzi i technik w celu znalezienia nawet ukrytych luk w zabezpieczeniach, co daje niezbędne praktyczne umiejętności, które można zastosować już następnego dnia pracy.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach webowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta i praktyki bezpiecznego kodowania
• Zrozumieją podejścia i metodologie testowania bezpieczeństwa
• Zdobywają praktyczną wiedzę w zakresie stosowania technik i narzędzi testowania bezpieczeństwa
• Otrzymują źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, Testerzy

Ochrona aplikacji dostępnych za pośrednictwem sieci wymaga dobrze przygotowanych specjalistów ds. bezpieczeństwa, którzy przez cały czas są świadomi aktualnych metod i trendów ataków. Istnieje wiele technologii i środowisk, które umożliwiają wygodne tworzenie aplikacji internetowych. Należy być świadomym nie tylko kwestii bezpieczeństwa związanych z tymi platformami, ale także wszystkich ogólnych luk w zabezpieczeniach, które mają zastosowanie niezależnie od używanych narzędzi programistycznych.

Kurs zawiera przegląd stosowanych rozwiązań bezpieczeństwa w aplikacjach internetowych, ze szczególnym naciskiem na zrozumienie najważniejszych rozwiązań kryptograficznych, które należy zastosować. Różne luki w zabezpieczeniach aplikacji internetowych są prezentowane zarówno po stronie serwera (zgodnie z OWASP Top Ten), jak i po stronie klienta, demonstrowane poprzez odpowiednie ataki, a następnie zalecane techniki kodowania i metody łagodzenia skutków w celu uniknięcia związanych z nimi problemów. Temat bezpiecznego kodowania został zakończony omówieniem typowych błędów programistycznych związanych z bezpieczeństwem w zakresie walidacji danych wejściowych, niewłaściwego wykorzystania funkcji bezpieczeństwa i jakości kodu.

Testowanie odgrywa bardzo ważną rolę w zapewnianiu bezpieczeństwa i niezawodności aplikacji internetowych. Różne podejścia - od audytu wysokiego poziomu, poprzez testy penetracyjne, aż po etyczne hakowanie - mogą być stosowane w celu znalezienia luk różnego rodzaju. Jeśli jednak chcesz wyjść poza łatwe do znalezienia nisko wiszące owoce, testy bezpieczeństwa powinny być dobrze zaplanowane i prawidłowo wykonane. Pamiętaj: testerzy bezpieczeństwa powinni znaleźć wszystkie błędy, aby chronić system, podczas gdy dla przeciwników wystarczy znaleźć jedną podatność, którą można wykorzystać, aby do niego przeniknąć.

Praktyczne ćwiczenia pomogą zrozumieć luki w zabezpieczeniach aplikacji internetowych, błędy programistyczne i, co najważniejsze, techniki łagodzenia skutków, wraz z praktycznymi próbami różnych narzędzi testowych, od skanerów bezpieczeństwa, przez sniffery, serwery proxy, narzędzia fuzzingowe po statyczne analizatory kodu źródłowego, kurs ten daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia w miejscu pracy.

Uczestnicy biorący udział w tym kursie

• Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
• Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
• Praktyczne zrozumienie kryptografii
• Zrozumienie podejść i metodologii testowania bezpieczeństwa
• Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
• Uzyskanie informacji na temat najnowszych luk w zabezpieczeniach różnych platform, frameworków i bibliotek
• Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Publiczność

Programiści, Testerzy

To szkolenie prowadzone przez instruktora w Polsce wprowadza podstawy Laravela i przeprowadza uczestników przez proces tworzenia aplikacji internetowej opartej na Laravelu.

Szkolenie na żywo prowadzone przez instruktora (na miejscu lub zdalnie) jest przeznaczone dla programistów, którzy chcą uczyć się i korzystać z Livewire do tworzenia nowoczesnych i dynamicznych interfejsów aplikacji.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

• Budowanie i testowanie komponentów Livewire.
• Budowanie aplikacji przy użyciu biblioteki Livewire.
• Tworzenie dynamicznych komponentów w ramach PHP.

Szkolenie na żywo prowadzone przez instruktora (na miejscu lub zdalnie) jest przeznaczone dla twórców stron internetowych, którzy chcą korzystać z Laravel i Vue JS do tworzenia stron internetowych typu fullstack.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

• Rozwijaj aplikacje internetowe za pomocą Laravel i Vue JS.
• Integracja Laravel backend API z Vue JS.
• Wdrażanie aplikacji Laravel.

To szkolenie prowadzone przez instruktora na żywo (online lub na miejscu) jest skierowane do programistów stron internetowych, którzy chcą tworzyć middleware i usługi internetowe w Laravel.

Po zakończeniu szkolenia uczestnicy będą mogli:

• Używać Laravel PHP Artisan do generowania kodu i komponentów.
• Tworzyć RESTful API w Laravel, które umożliwiają przeglądanie, czytanie, edytowanie, dodawanie i usuwanie.
• Filtrować i sortować wyniki na podstawie parametrów URL przy użyciu RESTful API.