Jak pisać bezpieczny kod - Plan Szkolenia

Wdrożenie bezpiecznej aplikacji sieciowej może być trudne, nawet dla programistów, którzy wcześniej mogli korzystać z różnych elementów kryptograficznych (takich jak szyfrowanie i podpisy cyfrowe). Aby uczestnicy zrozumieli rolę i zastosowanie tych podstawowych elementów kryptograficznych, najpierw przedstawione zostaną solidne podstawy głównych wymagań dotyczących bezpiecznej komunikacji – bezpieczne potwierdzenie, integralność, poufność, zdalna identyfikacja i anonimowość – wraz z typowymi problemami, które mogą naruszyć te wymagania, oraz praktycznymi rozwiązaniami.

Ponieważ kluczowym aspektem bezpieczeństwa sieciowego jest kryptografia, omówione zostaną również najważniejsze algorytmy kryptograficzne w kryptografii symetrycznej, funkcje skrótu, kryptografia asymetryczna oraz uzgadnianie kluczy. Zamiast szczegółowego tła matematycznego, elementy te omawiane są z perspektywy programisty, przedstawiając typowe przykłady zastosowań i praktyczne aspekty związane z użyciem kryptografii, takie jak infrastruktura kluczy publicznych. Wprowadzone zostaną protokoły bezpieczeństwa w wielu obszarach bezpiecznej komunikacji, z dogłębną dyskusją na temat najczęściej używanych rodzin protokołów, takich jak IPSEC i SSL/TLS.

Typowe luki kryptograficzne omawiane są zarówno w odniesieniu do określonych algorytmów kryptograficznych, jak i protokołów, takich jak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE i podobne, a także atak czasowy RSA. W każdym przypadku opisane są praktyczne aspekty i potencjalne konsekwencje każdego problemu, ponownie bez wchodzenia w szczegóły matematyczne.

Wreszcie, ponieważ technologia XML jest kluczowa dla wymiany danych w aplikacjach sieciowych, opisane zostaną aspekty bezpieczeństwa XML. Obejmuje to użycie XML w usługach sieciowych i komunikatach SOAP wraz z środkami ochrony, takimi jak podpis XML i szyfrowanie XML, a także słabości tych środków ochrony oraz specyficzne problemy bezpieczeństwa XML, takie jak iniekcja XML, ataki na zewnętrzne jednostki XML (XXE), bomby XML i iniekcja XPath.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Zrozumieją wymagania dotyczące bezpiecznej komunikacji
• Poznają ataki sieciowe i mechanizmy obronne na różnych warstwach OSI
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją kluczowe protokoły bezpieczeństwa
• Zrozumieją niektóre ostatnie ataki na systemy kryptograficzne
• Otrzymają informacje na temat ostatnich powiązanych luk
• Zrozumieją koncepcje bezpieczeństwa usług sieciowych
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, profesjonaliści

Pisanie bezpiecznego kodu w językach C i C++ wymaga rygorystycznej ochrony przed złośliwym wykorzystaniem, uszkodzeniem pamięci i omijaniem walidacji danych wejściowych. Ten program analizuje wzorce podatności, w tym przepełnienia bufora, użycie po zwolnieniu pamięci, przepełnienia liczb całkowitych i pomylenie typów. Uczestnicy stosują wytyczne dotyczące bezpiecznego kodowania, narzędzia do analizy statycznej oraz techniki programowania defensywnego, aby eliminować słabe punkty, egzekwować sanicję danych wejściowych i dostarczać wzmocnione oprogramowanie odporne na cyberataki.

Nawet doświadczeni programiści Java nie zawsze w pełni opanowują różne usługi bezpieczeństwa oferowane przez Javę i nie są świadomi różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych pisanych w Javie.

Kurs – oprócz wprowadzenia do komponentów bezpieczeństwa Standardowej Edycji Java – zajmuje się problemami bezpieczeństwa Java Enterprise Edition (JEE) i usług internetowych. Omówienie konkretnych usług poprzedzone jest podstawami kryptografii i bezpiecznej komunikacji. Różnorodne ćwiczenia dotyczą technik bezpieczeństwa deklaratywnego i programistycznego w JEE, a także bezpieczeństwa warstwy transportowej i end-to-end usług internetowych. Wykorzystanie wszystkich komponentów jest prezentowane poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane API i narzędzia.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka Java i platformy oraz luki związane z aplikacjami internetowymi. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno problemy specyficzne dla języka, jak i problemy wynikające ze środowiska uruchomieniowego. Wszystkie luki i odpowiednie ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją rozwiązania bezpieczeństwa Java EE
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje o najnowszych lukach w zabezpieczeniach frameworka Java
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Obecnie dostępnych jest wiele języków programowania, które pozwalają na kompilację kodu do frameworków .NET i ASP.NET. Środowisko to oferuje potężne narzędzia do rozwoju bezpieczeństwa, ale programiści muszą wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodu, aby zaimplementować pożądaną funkcjonalność bezpieczeństwa oraz uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, zarządzać sesjami, wprowadzać różne implementacje dla określonych funkcjonalności i wiele więcej.

Wprowadzenie do różnych luk w zabezpieczeniach rozpoczyna się od przedstawienia typowych problemów programistycznych popełnianych podczas korzystania z .NET, podczas gdy omówienie luk w zabezpieczeniach ASP.NET dotyczy również różnych ustawień środowiska i ich efektów. Wreszcie, temat specyficznych luk w zabezpieczeniach ASP.NET dotyczy nie tylko ogólnych wyzwań związanych z bezpieczeństwem aplikacji webowych, ale także specjalnych problemów i metod ataków, takich jak ataki na ViewState czy ataki na zakończenie ciągów.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach webowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
• Zdobędą praktyczną wiedzę w zakresie korzystania z narzędzi testowania bezpieczeństwa
• Poznają typowe błędy programistyczne i dowiedzą się, jak ich unikać
• Otrzymają informacje o niektórych najnowszych lukach w zabezpieczeniach .NET i ASP.NET
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Kurs zapewnia niezbędne umiejętności dla programistów PHP, konieczne do zabezpieczenia ich aplikacji przed współczesnymi atakami przez Internet. Luki w zabezpieczeniach stron internetowych są omawiane na przykładach opartych na PHP, wykraczających poza listę OWASP Top Ten, obejmując różne ataki iniekcji, iniekcje skryptów, ataki na mechanizmy sesji w PHP, niebezpieczne bezpośrednie odwołania do obiektów, problemy z przesyłaniem plików oraz wiele innych. Luki związane z PHP są wprowadzone w grupach według standardowych typów luk, takich jak brak lub niewłaściwa walidacja danych wejściowych, nieprawidłowa obsługa błędów i wyjątków, niewłaściwe użycie funkcji zabezpieczeń oraz problemy związane z czasem i stanem. W przypadku tych ostatnich omawiamy ataki takie jak obejście open_basedir, ataki typu denial-of-service poprzez magic float czy ataki kolizji tablicy haszującej. We wszystkich przypadkach uczestnicy zapoznają się z najważniejszymi technikami i funkcjami, które należy zastosować, aby zminimalizować wymienione ryzyka.

Szczególny nacisk położony jest na bezpieczeństwo po stronie klienta, obejmujące problemy związane z JavaScript, Ajax i HTML5. Wprowadzone zostaną liczne rozszerzenia związane z bezpieczeństwem dla PHP, takie jak hash, mcrypt i OpenSSL do kryptografii, czy Ctype, ext/filter i HTML Purifier do walidacji danych wejściowych. Najlepsze praktyki związane z zabezpieczaniem są przedstawione w kontekście konfiguracji PHP (ustawienia php.ini), Apache oraz serwera ogólnie. Na koniec przedstawiony zostanie przegląd różnych narzędzi i technik testowania bezpieczeństwa, które mogą być wykorzystane przez programistów i testerów, w tym skanery bezpieczeństwa, testy penetracyjne i pakiety exploitów, sniffery, serwery proxy, narzędzia do fuzzingu oraz statyczne analizatory kodu źródłowego.

Zarówno wprowadzenie do luk w zabezpieczeniach, jak i praktyki konfiguracyjne są wspierane licznymi ćwiczeniami praktycznymi, demonstrującymi konsekwencje udanych ataków, pokazującymi, jak zastosować techniki minimalizujące ryzyko, oraz wprowadzającymi użycie różnych rozszerzeń i narzędzi.

Uczestnicy tego kursu:

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT oraz bezpiecznego programowania
• Poznają luki w zabezpieczeniach stron internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta oraz praktyki bezpiecznego programowania
• Zdobędą praktyczną wiedzę na temat kryptografii
• Nauczą się korzystać z różnych funkcji zabezpieczeń PHP
• Poznają typowe błędy w kodowaniu i dowiedzą się, jak ich unikać
• Zostaną poinformowani o najnowszych lukach w frameworku PHP
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze materiały do czytania na temat praktyk bezpiecznego programowania

Grupa docelowa

Programiści

Połączone szkolenie SDL Core zapewnia wgląd w bezpieczne projektowanie, rozwój i testowanie oprogramowania poprzez Microsoft Secure Development Lifecycle (SDL). Zawiera przegląd poziomu 100 dotyczący fundamentalnych elementów SDL, a następnie techniki projektowania, które można zastosować w celu wykrycia i naprawy błędów na wczesnych etapach procesu rozwoju.

Omawiając fazę rozwoju, kurs przedstawia przegląd typowych błędów programistycznych związanych z bezpieczeństwem zarówno w kodzie zarządzanym, jak i natywnym. Prezentowane są metody ataków na omawiane podatności wraz z technikami ich łagodzenia, wszystko wyjaśnione poprzez szereg praktycznych ćwiczeń, które zapewniają uczestnikom zabawę związaną z żywym hakowaniem. Po wprowadzeniu różnych metod testowania bezpieczeństwa demonstrowana jest skuteczność różnych narzędzi testowych. Uczestnicy mogą zrozumieć działanie tych narzędzi poprzez szereg praktycznych ćwiczeń, stosując je do wcześniej omówionego podatnego kodu.

Uczestnicy tego kursu będą

Rozumieć podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania

Zapoznają się z podstawowymi krokami Microsoft Secure Development Lifecycle

Nauczą się bezpiecznych praktyk projektowania i rozwoju

Dowiedzą się o zasadach bezpiecznej implementacji

Zrozumieją metodologię testowania bezpieczeństwa

• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, Menadżerowie

Na tym prowadzonym przez instruktora kursie na żywo w Polsce, uczestnicy dowiedzą się, jak opracować właściwą strategię bezpieczeństwa, aby sprostać wyzwaniom związanym z bezpieczeństwem DevOps.

Ten światowej klasy, nowoczesny, praktyczny warsztat zanurza uczestników w krytycznych realiach bezpieczeństwa współczesnych potoków CI/CD. Zaprojektowany dla specjalistów ds. bezpieczeństwa, inżynierów DevOps i programistów pragnących opanować zaawansowane techniki obrony przed naruszeniami potoków, szkolenie łączy symulacje ataków na żywo z wiodącymi narzędziami branżowymi i praktycznymi technikami obronnymi.

EC-Council Certified DevSecOps Engineer (ECDE) to praktyczny kurs zaprojektowany, aby wyposażyć profesjonalistów w umiejętności wdrażania zabezpieczeń na każdym etapie cyklu życia DevOps, umożliwiając bezpieczne tworzenie oprogramowania od planowania do wdrożenia.

Ten szkolenie prowadzone przez instruktora, dostępne online lub na miejscu, jest skierowane do średniozaawansowanych specjalistów ds. oprogramowania i DevOps, którzy chcą zintegrować praktyki bezpieczeństwa z potokami CI/CD, zapewniając dostarczanie bezpiecznego i zgodnego z przepisami kodu.

Po ukończeniu szkolenia uczestnicy będą mogli:

• Zrozumieć zasady i praktyki DevSecOps.
• Zabezpieczyć każdy etap potoku CI/CD przy użyciu zautomatyzowanych narzędzi.
• Wdrożyć bezpieczne praktyki kodowania i skanowanie pod kątem luk w zabezpieczeniach.
• Przygotować się do certyfikacji ECDE dzięki praktycznym laboratoriom i przeglądom.

Format kursu

• Interaktywne wykłady i dyskusje.
• Praktyczne korzystanie z narzędzi DevSecOps w symulowanych potokach.
• Prowadzone ćwiczenia skupione na bezpiecznym rozwoju i wdrażaniu.

Opcje dostosowania kursu

• Aby zamówić dostosowane szkolenie do potrzeb Twojego zespołu lub łańcucha narzędzi, skontaktuj się z nami, aby uzgodnić szczegóły.

Opierając się na najnowszych wytycznych projektu OWASP GenAI Security, uczestnicy nauczą się identyfikować, oceniać i łagodzić zagrożenia specyficzne dla AI poprzez praktyczne ćwiczenia i scenariusze z rzeczywistego świata.

To szkolenie prowadzone przez instruktora, w formie live w Polsce (online lub na miejscu), skierowane jest do programistów internetowych oraz liderów, którzy chcą poznać i wdrożyć standard referencyjny OWASP Top 10 w celu zabezpieczenia swoich aplikacji internetowych.

Po zakończeniu szkolenia uczestnicy będą w stanie opracować strategię, wdrożyć, zabezpieczyć i monitorować swoje aplikacje i usługi internetowe, korzystając z dokumentu OWASP Top 10.

To szkolenie prowadzone przez instruktora, na żywo w Polsce (online lub na miejscu) jest skierowane do programistów, inżynierów i architektów, którzy chcą zastosować ramy, zasady i techniki testowania WSTG w celu zabezpieczenia swoich aplikacji i usług internetowych.

Po zakończeniu szkolenia uczestnicy będą mogli:

• Wykorzystać WSTG do wdrożenia procesów i technik testowania w cyklu życia rozwoju aplikacji internetowych.
• Poznać różne techniki testowania, aby dostosować ramy WSTG do potrzeb biznesowych.
• Przeprowadzić różne metody testowania bezpieczeństwa, aby chronić aplikacje internetowe przed zagrożeniami i atakami.
• Przygotować raport z oceny, aby udokumentować wyniki i ustalenia z testów bezpieczeństwa.

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w języku Java poprzez metodologię testowania Open Web Application Security Project (OWASP). Open Web Application Security Project to społeczność internetowa, która tworzy dostępne za darmo artykuły, metodologie, dokumentacje, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w ASP.NET poprzez metodologię testowania Open Web Application Security Project (OWASP). OWASP to społeczność online, która tworzy bezpłatne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Kurs ten bada funkcje bezpieczeństwa frameworka .NET oraz sposoby zabezpieczania aplikacji internetowych.