Plan Szkolenia
- Przegląd zasad bezpieczeństwa informacji
- Trójca CIA: poufność, integralność, dostępność
- Powszechne zagrożenia i modelowanie zagrożeń
- Najlepsze praktyki w bezpiecznym cyklu rozwoju oprogramowania (SSDLC)
- Zrozumienie Top Ten OWASP i więcej
- Błędy uwierzytelniania i zarządzania sesjami
- Wrażliwości na iniekcję (SQL, polecenie, LDAP, itp.)
- Cross-Site Scripting (XSS) i Cross-Site Request Forgery (CSRF)
- Ataki oparte na DOM i ryzyka specyficzne dla JavaScript
- Niezabezpieczone użycie AJAX i magazynowania w przeglądarkach
- Clickjacking i fałszowanie interfejsów użytkownika
- Wdrożenie polityki bezpieczeństwa treści (CSP)
- Podstawowe pojęcia: hashowanie, szyfrowanie, podpisy cyfrowe
- Kryptografia klucza publicznego vs. kryptografia klucza symetrycznego
- Podstawy bezpieczeństwa warstwy transportowej (TLS)
- Zarządzanie kluczami i powszechne błędy kryptograficzne
- Rozważania dotyczące bezpieczeństwa SOAP i REST
- Mechanizmy uwierzytelniania: OAuth, JWT, klucze API
- Powszechne ataki i obrony usług sieciowych
- Walidacja wejścia w obciążeniach usług
- Ataki iniekcji i parsowania XML
- Rozszerzanie encji i wrażliwości XXE
- Bezpieczne techniki parsowania i biblioteki
- Używanie standardów bezpieczeństwa XML (XML-DSig, XML-Enc)
- Zalecane narzędzia do testowania bezpieczeństwa (np., OWASP ZAP, Burp Suite)
- Narzędzia skanowania i analizy kodu
- Zasoby online i wytyczne dotyczące bezpieczeństwa
- Jak pozostawać na bieżąco z nowymi zagrożeniami
Wymagania
- Zrozumienie podstawowej architektury aplikacji internetowych
- Doświadczenie z językiem programowania takim jak Java, C#, PHP lub JavaScript
- Znałość komunikacji klient-serwer i HTTP
Wskaźnik odbiorców
- Programiści
- Architekci aplikacji internetowych
- Zespoły techniczne dbające o bezpieczeństwo
Opinie uczestników (5)
Przegląd najważniejszych tematów związanych z architekturą oprogramowania. To szkolenie zainspirowało mnie do pogłębienia znajomości niektórych z nich ;)
Konrad Fuchsig - EY GDS
Szkolenie - Web Application Security
Przetłumaczone przez sztuczną inteligencję
Wyjaśnienie pojęć, o których wcześniej nie wiedziałem. Wychowawcy spokojne i miłe podejście oraz ich bardzo szeroka wiedza.
Michal Kowalczyk - EY GDS
Szkolenie - Web Application Security
Przetłumaczone przez sztuczną inteligencję
Praktyczne przykłady oraz możliwość sprawdzenia, jak działają wstrzykiwania webowe z perspektywy nie użytkownika, ale atakującego.
Jessica Wierzbicka - EY GDS
Szkolenie - Web Application Security
Przetłumaczone przez sztuczną inteligencję
Labory praktyczne były znakomite.
Dr. Farhan Hassan Khan - TDM GROUP
Szkolenie - Web Application Security
Przetłumaczone przez sztuczną inteligencję
Kierownicy w swojej dziedzinie
Adnan ul Husnain Hashmi - TDM GROUP
Szkolenie - Web Application Security
Przetłumaczone przez sztuczną inteligencję