Szkolenia Application Security w Zakopane

To szkolenie prowadzone przez instruktora, na żywo w Zakopane (online lub na miejscu), jest skierowane do programistów na poziomie średnio zaawansowanym i zaawansowanym, którzy chcą zrozumieć i stosować praktyki bezpiecznego kodowania, identyfikować ryzyka bezpieczeństwa w oprogramowaniu oraz implementować mechanizmy obronne przed cyberzagrożeniami.

Pod koniec szkolenia uczestnicy będą mogli:

• Zrozumieć powszechne luki w zabezpieczeniach aplikacji internetowych i oprogramowania.
• Analizować zagrożenia bezpieczeństwa i techniki wykorzystywane przez atakujących.
• Implementować praktyki bezpiecznego kodowania w celu minimalizacji ryzyka bezpieczeństwa.
• Używać narzędzi do testowania bezpieczeństwa w celu identyfikacji i naprawy luk.

EC-Council Certified DevSecOps Engineer (ECDE) to praktyczny kurs zaprojektowany, aby wyposażyć profesjonalistów w umiejętności wdrażania zabezpieczeń na każdym etapie cyklu życia DevOps, umożliwiając bezpieczne tworzenie oprogramowania od planowania do wdrożenia.

Ten szkolenie prowadzone przez instruktora, dostępne online lub na miejscu, jest skierowane do średniozaawansowanych specjalistów ds. oprogramowania i DevOps, którzy chcą zintegrować praktyki bezpieczeństwa z potokami CI/CD, zapewniając dostarczanie bezpiecznego i zgodnego z przepisami kodu.

Po ukończeniu szkolenia uczestnicy będą mogli:

• Zrozumieć zasady i praktyki DevSecOps.
• Zabezpieczyć każdy etap potoku CI/CD przy użyciu zautomatyzowanych narzędzi.
• Wdrożyć bezpieczne praktyki kodowania i skanowanie pod kątem luk w zabezpieczeniach.
• Przygotować się do certyfikacji ECDE dzięki praktycznym laboratoriom i przeglądom.

Format kursu

• Interaktywne wykłady i dyskusje.
• Praktyczne korzystanie z narzędzi DevSecOps w symulowanych potokach.
• Prowadzone ćwiczenia skupione na bezpiecznym rozwoju i wdrażaniu.

Opcje dostosowania kursu

• Aby zamówić dostosowane szkolenie do potrzeb Twojego zespołu lub łańcucha narzędzi, skontaktuj się z nami, aby uzgodnić szczegóły.

Bezpieczeństwo aplikacji internetowych to kluczowy obszar, który wymaga szczególnej uwagi w kontekście zagrożeń związanych z cyberprzestępczością. Szyfrowanie danych, bezpieczne przechowywanie danych, unikalne identyfikatory sesji, silne autentykacje, walidacja danych. Bezpieczeństwo aplikacji internetowych jest procesem ciągłego doskonalenia, który wymaga uwagi na wielu płaszczyznach. Implementacja i ciągłe doskonalenie praktyk bezpieczeństwa pomaga w minimalizacji ryzyka ataków oraz ochronie danych użytkowników i systemów przed zagrożeniami.

Android to otwarta platforma dla urządzeń mobilnych, takich jak telefony komórkowe i tablety. Oferuje szeroki zakres funkcji bezpieczeństwa, które ułatwiają tworzenie bezpiecznego oprogramowania; jednakże brakuje jej pewnych aspektów bezpieczeństwa obecnych w innych platformach mobilnych. Kurs zapewnia kompleksowy przegląd tych funkcji oraz wskazuje najważniejsze luki, na które należy zwrócić uwagę, związane z podstawowym systemem Linux, systemem plików i środowiskiem ogólnie, a także z wykorzystaniem uprawnień i innych komponentów rozwoju oprogramowania Androida.

Typowe pułapki i luki w bezpieczeństwie są opisane zarówno dla kodu natywnego, jak i aplikacji Java, wraz z zaleceniami i najlepszymi praktykami, aby ich uniknąć i złagodzić ich skutki. W wielu przypadkach omawiane problemy są poparte rzeczywistymi przykładami i studiami przypadków. Na koniec przedstawiamy krótki przegląd, jak korzystać z narzędzi do testowania bezpieczeństwa, aby wykryć błędy programistyczne związane z bezpieczeństwem.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają rozwiązania bezpieczeństwa na Androida
• Nauczą się korzystać z różnych funkcji bezpieczeństwa platformy Android
• Otrzymają informacje o niektórych niedawnych lukach w zabezpieczeniach w Javie na Androida
• Poznają typowe błędy kodowania i jak ich unikać
• Zrozumieją luki w zabezpieczeniach kodu natywnego na Androida
• Uświadomią sobie poważne konsekwencje niebezpiecznego zarządzania buforami w kodzie natywnym
• Zrozumieją techniki ochrony architektonicznej i ich słabości
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Profesjonaliści

Dziś dostępnych jest wiele języków programowania, które kompilują kod do frameworków .NET i ASP.NET. Środowisko to zapewnia potężne narzędzia do rozwoju bezpieczeństwa, ale programiści powinni wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodu, aby zaimplementować pożądaną funkcjonalność bezpieczeństwa oraz uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, zarządzać sesjami, wprowadzać różne implementacje dla określonych funkcji i wiele więcej. Specjalna sekcja poświęcona jest konfiguracji i zabezpieczeniu środowiska .NET i ASP.NET pod kątem bezpieczeństwa.

Krótkie wprowadzenie do podstaw kryptografii zapewnia wspólną praktyczną podstawę do zrozumienia celu i działania różnych algorytmów, na bazie których kurs prezentuje funkcje kryptograficzne, które można wykorzystać w .NET. Następnie wprowadzane są niektóre niedawne luki kryptograficzne, zarówno związane z określonymi algorytmami kryptograficznymi, jak i protokołami kryptograficznymi, a także ataki kanałowe.

Wprowadzenie różnych luk w zabezpieczeniach rozpoczyna się od przedstawienia typowych problemów programistycznych popełnianych podczas korzystania z .NET, w tym kategorii błędów związanych z walidacją danych wejściowych, obsługą błędów czy warunkami wyścigu. Szczególny nacisk położony jest na bezpieczeństwo XML, podczas gdy temat luk specyficznych dla ASP.NET porusza niektóre szczególne kwestie i metody ataków: takie jak ataki na ViewState czy ataki na zakończenie ciągów.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją niektóre niedawne ataki na systemy kryptograficzne
• Otrzymają informacje o niektórych niedawnych lukach w .NET i ASP.NET
• Dowiedzą się o typowych błędach kodowania i jak ich unikać
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Wdrożenie bezpiecznej aplikacji sieciowej może być trudne, nawet dla programistów, którzy wcześniej mogli korzystać z różnych elementów kryptograficznych (takich jak szyfrowanie i podpisy cyfrowe). Aby uczestnicy zrozumieli rolę i zastosowanie tych podstawowych elementów kryptograficznych, najpierw przedstawione zostaną solidne podstawy głównych wymagań dotyczących bezpiecznej komunikacji – bezpieczne potwierdzenie, integralność, poufność, zdalna identyfikacja i anonimowość – wraz z typowymi problemami, które mogą naruszyć te wymagania, oraz praktycznymi rozwiązaniami.

Ponieważ kluczowym aspektem bezpieczeństwa sieciowego jest kryptografia, omówione zostaną również najważniejsze algorytmy kryptograficzne w kryptografii symetrycznej, funkcje skrótu, kryptografia asymetryczna oraz uzgadnianie kluczy. Zamiast szczegółowego tła matematycznego, elementy te omawiane są z perspektywy programisty, przedstawiając typowe przykłady zastosowań i praktyczne aspekty związane z użyciem kryptografii, takie jak infrastruktura kluczy publicznych. Wprowadzone zostaną protokoły bezpieczeństwa w wielu obszarach bezpiecznej komunikacji, z dogłębną dyskusją na temat najczęściej używanych rodzin protokołów, takich jak IPSEC i SSL/TLS.

Typowe luki kryptograficzne omawiane są zarówno w odniesieniu do określonych algorytmów kryptograficznych, jak i protokołów, takich jak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE i podobne, a także atak czasowy RSA. W każdym przypadku opisane są praktyczne aspekty i potencjalne konsekwencje każdego problemu, ponownie bez wchodzenia w szczegóły matematyczne.

Wreszcie, ponieważ technologia XML jest kluczowa dla wymiany danych w aplikacjach sieciowych, opisane zostaną aspekty bezpieczeństwa XML. Obejmuje to użycie XML w usługach sieciowych i komunikatach SOAP wraz z środkami ochrony, takimi jak podpis XML i szyfrowanie XML, a także słabości tych środków ochrony oraz specyficzne problemy bezpieczeństwa XML, takie jak iniekcja XML, ataki na zewnętrzne jednostki XML (XXE), bomby XML i iniekcja XPath.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Zrozumieją wymagania dotyczące bezpiecznej komunikacji
• Poznają ataki sieciowe i mechanizmy obronne na różnych warstwach OSI
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją kluczowe protokoły bezpieczeństwa
• Zrozumieją niektóre ostatnie ataki na systemy kryptograficzne
• Otrzymają informacje na temat ostatnich powiązanych luk
• Zrozumieją koncepcje bezpieczeństwa usług sieciowych
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, profesjonaliści

Wdrożenie chmury zmienia sposób budowania, wdrażania i zarządzania aplikacjami — przenosząc odpowiedzialność między dostawcą a klientem, jednocześnie wprowadzając platformy natywne dla chmury (kontenery, serverless, usługi zarządzane), które wymagają dostosowanych mechanizmów bezpieczeństwa. Bezpieczeństwo musi zatem obejmować utwardzanie infrastruktury, zarządzanie tożsamością i dostępem, ochronę danych, bezpieczne praktyki programistyczne oraz specyficzne dla chmury wektory ataków.

To szkolenie prowadzone przez instruktora, na żywo (online lub na miejscu) jest skierowane do programistów na poziomie średniozaawansowanym, inżynierów bezpieczeństwa i menedżerów IT, którzy chcą zdobyć praktyczne umiejętności w zakresie zabezpieczania aplikacji w chmurze i ich infrastruktury wspierającej, jednocześnie ucząc się powtarzalnych mechanizmów kontroli i technik oceny, które są zgodne z aktualnymi ramami branżowymi i wytycznymi dostawców chmury.

Po zakończeniu szkolenia uczestnicy będą mogli:

• Wyjaśnić model współdzielonej odpowiedzialności w chmurze i zastosować go w decyzjach dotyczących bezpieczeństwa aplikacji.
• Utwardzać infrastrukturę chmurową (IaaS), zabezpieczać usługi platformowe (PaaS) i oceniać konfiguracje SaaS.
• Stosować bezpieczne praktyki kodowania i wzorce łagodzenia oparte na OWASP w aplikacjach hostowanych w chmurze.
• Integrować narzędzia bezpieczeństwa z potokami CI/CD (SAST/DAST/DAST/IAST/RASP) i wdrażać praktyki "shift-left".

Format kursu

• Interaktywny wykład i dyskusja połączone z demonstracjami na żywo.
• Praktyczne laboratoria z wykorzystaniem konsoli chmurowych, kontenerów, funkcji serverless i potoków CI/CD.
• Ćwiczenia praktyczne: bezpieczna konfiguracja, skanowanie pod kątem luk w zabezpieczeniach, symulacja ataków i planowanie napraw.

Opcje dostosowania kursu

• Aby zamówić dostosowane szkolenie, skontaktuj się z nami w celu uzgodnienia szczegółów.

Ten trzydniowy kurs obejmuje podstawy zabezpieczania kodu C/C++ przed złośliwymi użytkownikami, którzy mogą wykorzystać wiele luk w kodzie związanych z zarządzaniem pamięcią i obsługą danych wejściowych. Kurs przedstawia zasady pisania bezpiecznego kodu.

Nawet doświadczeni programiści Java nie zawsze w pełni opanowują różne usługi bezpieczeństwa oferowane przez Javę i nie są świadomi różnych luk w zabezpieczeniach, które są istotne dla aplikacji internetowych pisanych w Javie.

Kurs – oprócz wprowadzenia do komponentów bezpieczeństwa Standardowej Edycji Java – zajmuje się problemami bezpieczeństwa Java Enterprise Edition (JEE) i usług internetowych. Omówienie konkretnych usług poprzedzone jest podstawami kryptografii i bezpiecznej komunikacji. Różnorodne ćwiczenia dotyczą technik bezpieczeństwa deklaratywnego i programistycznego w JEE, a także bezpieczeństwa warstwy transportowej i end-to-end usług internetowych. Wykorzystanie wszystkich komponentów jest prezentowane poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane API i narzędzia.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka Java i platformy oraz luki związane z aplikacjami internetowymi. Oprócz typowych błędów popełnianych przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno problemy specyficzne dla języka, jak i problemy wynikające ze środowiska uruchomieniowego. Wszystkie luki i odpowiednie ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją rozwiązania bezpieczeństwa Java EE
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje o najnowszych lukach w zabezpieczeniach frameworka Java
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Nawet doświadczeni programiści nie zawsze opanowują wszystkie usługi bezpieczeństwa oferowane przez ich platformy deweloperskie i często nie są świadomi różnych podatności, które są istotne dla ich projektów. Ten kurs skierowany jest do programistów korzystających zarówno z Javy, jak i PHP, dostarczając im niezbędnych umiejętności, aby ich aplikacje były odporne na współczesne ataki internetowe.

Poziomy architektury bezpieczeństwa Javy są omawiane poprzez zagadnienia kontroli dostępu, uwierzytelniania i autoryzacji, bezpiecznej komunikacji oraz różnych funkcji kryptograficznych. Wprowadzane są również różne API, które można wykorzystać do zabezpieczenia kodu w PHP, takie jak OpenSSL do kryptografii czy HTML Purifier do walidacji danych wejściowych. Po stronie serwera przedstawione są najlepsze praktyki dotyczące utwardzania i konfiguracji systemu operacyjnego, kontenera WWW, systemu plików, serwera SQL oraz samego PHP, ze szczególnym naciskiem na bezpieczeństwo po stronie klienta poprzez problemy związane z JavaScript, Ajaxem i HTML5.

Ogólne podatności internetowe są omawiane na przykładach zgodnych z listą OWASP Top Ten, pokazując różne ataki iniekcji, ataki skryptowe, ataki na zarządzanie sesjami, niebezpieczne odwołania do obiektów, problemy z przesyłaniem plików i wiele innych. Różne problemy specyficzne dla Javy i PHP oraz kwestie wynikające ze środowiska uruchomieniowego są przedstawione w grupach według standardowych typów podatności, takich jak brak lub niewłaściwa walidacja danych wejściowych, niewłaściwe użycie funkcji bezpieczeństwa, nieprawidłowa obsługa błędów i wyjątków, problemy związane z czasem i stanem, kwestie jakości kodu oraz podatności związane z kodem mobilnym.

Uczestnicy mogą samodzielnie wypróbować omawiane API, narzędzia i efekty konfiguracji, podczas gdy wprowadzenie podatności jest wsparte szeregiem praktycznych ćwiczeń demonstrujących konsekwencje udanych ataków, pokazujących, jak poprawić błędy i zastosować techniki łagodzenia, oraz wprowadzających użycie różnych rozszerzeń i narzędzi.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają podatności internetowe wykraczające poza listę OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają podatności po stronie klienta i praktyki bezpiecznego kodowania
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska deweloperskiego Javy
• Zdobędą praktyczną wiedzę na temat kryptografii
• Nauczą się korzystać z różnych funkcji bezpieczeństwa PHP
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Będą poinformowani o najnowszych podatnościach w frameworkach i bibliotekach Javy i PHP
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Opis

Język Java i środowisko uruchomieniowe (JRE) zostały zaprojektowane tak, aby uniknąć najbardziej problematycznych typowych luk w zabezpieczeniach, które występują w innych językach, takich jak C/C++. Jednak programiści i architekci oprogramowania powinni nie tylko wiedzieć, jak korzystać z różnych funkcji bezpieczeństwa środowiska Java (bezpieczeństwo pozytywne), ale także być świadomi licznych luk w zabezpieczeniach, które nadal są istotne w przypadku programowania w Javie (bezpieczeństwo negatywne).

Wprowadzenie do usług bezpieczeństwa poprzedzone jest krótkim przeglądem podstaw kryptografii, co zapewnia wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Użycie tych komponentów jest prezentowane poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omówione interfejsy API.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne w języku Java i platformie, obejmując zarówno typowe błędy popełniane przez programistów Java, jak i problemy specyficzne dla języka i środowiska. Wszystkie luki w zabezpieczeniach i związane z nimi ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania oraz możliwe techniki łagodzenia skutków.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobyją praktyczną wiedzę na temat kryptografii
• Poznają typowe błędy w kodowaniu i dowiedzą się, jak ich unikać
• Otrzymają informacje o niektórych najnowszych lukach w zabezpieczeniach w frameworku Java
• Otrzymają źródła i dalsze materiały do czytania na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Opis

Poza solidną wiedzą na temat korzystania z komponentów Java, nawet dla doświadczonych programistów Java niezbędna jest dogłębna znajomość luk w zabezpieczeniach związanych z siecią, zarówno po stronie serwera, jak i klienta, różnych luk, które są istotne dla aplikacji webowych napisanych w Javie, oraz konsekwencji różnych zagrożeń.

Ogólne luki w zabezpieczeniach związane z siecią są demonstrowane poprzez prezentację odpowiednich ataków, podczas gdy zalecane techniki kodowania i metody łagodzenia są wyjaśnione w kontekście Javy, z najważniejszym celem uniknięcia związanych z tym problemów. Ponadto szczególny nacisk położony jest na bezpieczeństwo po stronie klienta, obejmujące problemy związane z JavaScript, Ajax i HTML5.

Kurs wprowadza komponenty bezpieczeństwa Standard Java Edition, poprzedzone podstawami kryptografii, zapewniając wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Użycie wszystkich komponentów jest prezentowane poprzez praktyczne ćwiczenia, w których uczestnicy mogą sami wypróbować omawiane interfejsy API i narzędzia.

Wreszcie, kurs wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka Java i platformy. Poza typowymi błędami popełnianymi przez programistów Java, wprowadzone luki w zabezpieczeniach obejmują zarówno problemy specyficzne dla języka, jak i problemy wynikające ze środowiska uruchomieniowego. Wszystkie luki i odpowiednie ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia.

Uczestnicy tego kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają luki w zabezpieczeniach sieciowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta i praktyki bezpiecznego kodowania
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobędą praktyczną wiedzę na temat kryptografii
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje o niektórych ostatnich lukach w zabezpieczeniach frameworka Java
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Uczestnicy tego kursu w Zakopane będą:

• Rozumieć podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta i praktyki bezpiecznego kodowania
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Zrozumieją rozwiązania bezpieczeństwa Java EE
• Poznają typowe błędy kodowania i dowiedzą się, jak ich unikać
• Otrzymają informacje o niektórych ostatnich lukach w zabezpieczeniach w frameworku Java
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Jako programista Twoim obowiązkiem jest pisanie kodu odpornego na ataki.

A co, jeśli powiemy Ci, że pomimo wszystkich Twoich starań, kod, który pisałeś przez całą karierę, jest pełen słabości, o których nigdy nie wiedziałeś? Co, jeśli w tej chwili, gdy to czytasz, hakerzy próbują włamać się do Twojego kodu? Jakie są szanse, że im się to uda? A co, jeśli mogliby ukraść Twoją bazę danych i sprzedać ją na czarnym rynku?

Ten kurs dotyczący bezpieczeństwa aplikacji internetowych zmieni sposób, w jaki patrzysz na kod. To praktyczne szkolenie, podczas którego nauczymy Cię wszystkich sztuczek atakujących oraz jak im zapobiegać, pozostawiając Cię z jedynym pragnieniem – chęcią zdobycia jeszcze większej wiedzy.

To Twój wybór, aby być o krok przed innymi i być postrzeganym jako osoba, która zmienia reguły gry w walce z cyberprzestępczością.

Uczestnicy kursu:

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają podatności internetowe wykraczające poza listę OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają podatności po stronie klienta oraz praktyki bezpiecznego kodowania
• Poznają zagadnienia związane z bezpieczeństwem Node.js
• Poznają zagadnienia związane z bezpieczeństwem MongoDB
• Zdobędą praktyczną wiedzę na temat kryptografii
• Zrozumieją podstawowe protokoły bezpieczeństwa
• Zrozumieją koncepcje bezpieczeństwa usług internetowych
• Poznają zagadnienia związane z bezpieczeństwem JSON
• Zdobędą praktyczną wiedzę na temat technik i narzędzi testowania bezpieczeństwa
• Nauczą się, jak radzić sobie z podatnościami w używanych platformach, frameworkach i bibliotekach
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Obecnie dostępnych jest wiele języków programowania, które pozwalają na kompilację kodu do frameworków .NET i ASP.NET. Środowisko to oferuje potężne narzędzia do rozwoju bezpieczeństwa, ale programiści muszą wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodu, aby zaimplementować pożądaną funkcjonalność bezpieczeństwa oraz uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, zarządzać sesjami, wprowadzać różne implementacje dla określonych funkcjonalności i wiele więcej.

Wprowadzenie do różnych luk w zabezpieczeniach rozpoczyna się od przedstawienia typowych problemów programistycznych popełnianych podczas korzystania z .NET, podczas gdy omówienie luk w zabezpieczeniach ASP.NET dotyczy również różnych ustawień środowiska i ich efektów. Wreszcie, temat specyficznych luk w zabezpieczeniach ASP.NET dotyczy nie tylko ogólnych wyzwań związanych z bezpieczeństwem aplikacji webowych, ale także specjalnych problemów i metod ataków, takich jak ataki na ViewState czy ataki na zakończenie ciągów.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach webowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Nauczą się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
• Zdobędą praktyczną wiedzę w zakresie korzystania z narzędzi testowania bezpieczeństwa
• Poznają typowe błędy programistyczne i dowiedzą się, jak ich unikać
• Otrzymają informacje o niektórych najnowszych lukach w zabezpieczeniach .NET i ASP.NET
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści

Kurs wprowadza w niektóre powszechne koncepcje bezpieczeństwa, przedstawia przegląd natury luk w zabezpieczeniach niezależnie od używanych języków programowania i platform, oraz wyjaśnia, jak zarządzać ryzykami związanymi z bezpieczeństwem oprogramowania na różnych etapach cyklu życia rozwoju oprogramowania. Bez wchodzenia w szczegóły techniczne, kurs podkreśla niektóre z najbardziej interesujących i najdotkliwszych luk w zabezpieczeniach w różnych technologiach programistycznych oraz przedstawia wyzwania związane z testowaniem bezpieczeństwa, wraz z technikami i narzędziami, które można zastosować do wykrycia istniejących problemów w kodzie.

Uczestnicy tego kursu będą

• Rozumieć podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Rozumieć luki w zabezpieczeniach stron internetowych zarówno po stronie serwera, jak i klienta
• Zdawać sobie sprawę z poważnych konsekwencji niebezpiecznego zarządzania buforami
• Być poinformowanymi o niektórych najnowszych lukach w środowiskach programistycznych i frameworkach
• Poznać typowe błędy kodowania i sposoby ich unikania
• Zrozumieć podejścia i metodologie testowania bezpieczeństwa

Grupa docelowa

Menedżerowie

Kurs zapewnia niezbędne umiejętności dla programistów PHP, konieczne do zabezpieczenia ich aplikacji przed współczesnymi atakami przez Internet. Luki w zabezpieczeniach stron internetowych są omawiane na przykładach opartych na PHP, wykraczających poza listę OWASP Top Ten, obejmując różne ataki iniekcji, iniekcje skryptów, ataki na mechanizmy sesji w PHP, niebezpieczne bezpośrednie odwołania do obiektów, problemy z przesyłaniem plików oraz wiele innych. Luki związane z PHP są wprowadzone w grupach według standardowych typów luk, takich jak brak lub niewłaściwa walidacja danych wejściowych, nieprawidłowa obsługa błędów i wyjątków, niewłaściwe użycie funkcji zabezpieczeń oraz problemy związane z czasem i stanem. W przypadku tych ostatnich omawiamy ataki takie jak obejście open_basedir, ataki typu denial-of-service poprzez magic float czy ataki kolizji tablicy haszującej. We wszystkich przypadkach uczestnicy zapoznają się z najważniejszymi technikami i funkcjami, które należy zastosować, aby zminimalizować wymienione ryzyka.

Szczególny nacisk położony jest na bezpieczeństwo po stronie klienta, obejmujące problemy związane z JavaScript, Ajax i HTML5. Wprowadzone zostaną liczne rozszerzenia związane z bezpieczeństwem dla PHP, takie jak hash, mcrypt i OpenSSL do kryptografii, czy Ctype, ext/filter i HTML Purifier do walidacji danych wejściowych. Najlepsze praktyki związane z zabezpieczaniem są przedstawione w kontekście konfiguracji PHP (ustawienia php.ini), Apache oraz serwera ogólnie. Na koniec przedstawiony zostanie przegląd różnych narzędzi i technik testowania bezpieczeństwa, które mogą być wykorzystane przez programistów i testerów, w tym skanery bezpieczeństwa, testy penetracyjne i pakiety exploitów, sniffery, serwery proxy, narzędzia do fuzzingu oraz statyczne analizatory kodu źródłowego.

Zarówno wprowadzenie do luk w zabezpieczeniach, jak i praktyki konfiguracyjne są wspierane licznymi ćwiczeniami praktycznymi, demonstrującymi konsekwencje udanych ataków, pokazującymi, jak zastosować techniki minimalizujące ryzyko, oraz wprowadzającymi użycie różnych rozszerzeń i narzędzi.

Uczestnicy tego kursu:

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT oraz bezpiecznego programowania
• Poznają luki w zabezpieczeniach stron internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta oraz praktyki bezpiecznego programowania
• Zdobędą praktyczną wiedzę na temat kryptografii
• Nauczą się korzystać z różnych funkcji zabezpieczeń PHP
• Poznają typowe błędy w kodowaniu i dowiedzą się, jak ich unikać
• Zostaną poinformowani o najnowszych lukach w frameworku PHP
• Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
• Otrzymają źródła i dalsze materiały do czytania na temat praktyk bezpiecznego programowania

Grupa docelowa

Programiści

Połączone szkolenie SDL Core zapewnia wgląd w bezpieczne projektowanie, rozwój i testowanie oprogramowania poprzez Microsoft Secure Development Lifecycle (SDL). Zawiera przegląd poziomu 100 dotyczący fundamentalnych elementów SDL, a następnie techniki projektowania, które można zastosować w celu wykrycia i naprawy błędów na wczesnych etapach procesu rozwoju.

Omawiając fazę rozwoju, kurs przedstawia przegląd typowych błędów programistycznych związanych z bezpieczeństwem zarówno w kodzie zarządzanym, jak i natywnym. Prezentowane są metody ataków na omawiane podatności wraz z technikami ich łagodzenia, wszystko wyjaśnione poprzez szereg praktycznych ćwiczeń, które zapewniają uczestnikom zabawę związaną z żywym hakowaniem. Po wprowadzeniu różnych metod testowania bezpieczeństwa demonstrowana jest skuteczność różnych narzędzi testowych. Uczestnicy mogą zrozumieć działanie tych narzędzi poprzez szereg praktycznych ćwiczeń, stosując je do wcześniej omówionego podatnego kodu.

Uczestnicy tego kursu będą

Rozumieć podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania

Zapoznają się z podstawowymi krokami Microsoft Secure Development Lifecycle

Nauczą się bezpiecznych praktyk projektowania i rozwoju

Dowiedzą się o zasadach bezpiecznej implementacji

Zrozumieją metodologię testowania bezpieczeństwa

• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, Menadżerowie

Po zapoznaniu się z lukami w zabezpieczeniach i metodami ataków, uczestnicy poznają ogólne podejście i metodologię testowania bezpieczeństwa oraz techniki, które można zastosować w celu ujawnienia konkretnych luk. Testowanie bezpieczeństwa powinno rozpocząć się od zbierania informacji o systemie (ToC, czyli Cel Oceny), następnie dokładne modelowanie zagrożeń powinno ujawnić i ocenić wszystkie zagrożenia, prowadząc do najbardziej odpowiedniego planu testów opartego na analizie ryzyka.

Oceny bezpieczeństwa mogą odbywać się na różnych etapach cyklu życia rozwoju oprogramowania (SDLC), dlatego omawiamy przegląd projektowania, przegląd kodu, rozpoznanie i zbieranie informacji o systemie, testowanie implementacji oraz testowanie i wzmacnianie środowiska w celu bezpiecznego wdrożenia. Wiele technik testowania bezpieczeństwa jest szczegółowo przedstawionych, takich jak analiza skażenia i przegląd kodu oparty na heurystyce, statyczna analiza kodu, dynamiczne testowanie luk w zabezpieczeniach aplikacji webowych czy fuzzing. Przedstawione są różne typy narzędzi, które można zastosować w celu automatyzacji oceny bezpieczeństwa produktów programowych, co jest również wspierane przez szereg ćwiczeń, w których uruchamiamy te narzędzia do analizy wcześniej omówionego podatnego kodu. Wiele studiów przypadków z życia wziętych wspiera lepsze zrozumienie różnych luk w zabezpieczeniach.

Ten kurs przygotowuje testerów i personel QA do odpowiedniego planowania i precyzyjnego wykonywania testów bezpieczeństwa, wyboru i stosowania najbardziej odpowiednich narzędzi i technik w celu znalezienia nawet ukrytych luk w zabezpieczeniach, co daje niezbędne praktyczne umiejętności, które można zastosować już następnego dnia pracy.

Uczestnicy tego kursu

• Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
• Poznają luki w zabezpieczeniach webowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta i praktyki bezpiecznego kodowania
• Zrozumieją podejścia i metodologie testowania bezpieczeństwa
• Zdobywają praktyczną wiedzę w zakresie stosowania technik i narzędzi testowania bezpieczeństwa
• Otrzymują źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, Testerzy

Ochrona aplikacji dostępnych przez internet wymaga dobrze przygotowanych specjalistów ds. bezpieczeństwa, którzy są na bieżąco z aktualnymi metodami i trendami ataków. Istnieje mnóstwo technologii i środowisk, które umożliwiają komfortowe tworzenie aplikacji internetowych. Należy być świadomym nie tylko problemów bezpieczeństwa związanych z tymi platformami, ale także wszystkich ogólnych luk w zabezpieczeniach, które mają zastosowanie niezależnie od używanych narzędzi programistycznych.

Kurs przedstawia przegląd stosowanych rozwiązań bezpieczeństwa w aplikacjach internetowych, ze szczególnym naciskiem na zrozumienie najważniejszych rozwiązań kryptograficznych. Różne luki w zabezpieczeniach aplikacji internetowych są przedstawiane zarówno po stronie serwera (zgodnie z OWASP Top Ten), jak i po stronie klienta, demonstrowane poprzez odpowiednie ataki, a następnie omawiane są zalecane techniki kodowania i metody ograniczania ryzyka, aby uniknąć związanych z nimi problemów. Temat bezpiecznego kodowania jest podsumowany poprzez omówienie typowych błędów programistycznych związanych z bezpieczeństwem w dziedzinie walidacji danych wejściowych, niewłaściwego użycia funkcji bezpieczeństwa i jakości kodu.

Testowanie odgrywa bardzo ważną rolę w zapewnieniu bezpieczeństwa i niezawodności aplikacji internetowych. Różne podejścia – od audytu wysokiego poziomu przez testy penetracyjne po etyczne hakowanie – mogą być stosowane w celu znalezienia różnych typów luk w zabezpieczeniach. Jednak jeśli chcesz wyjść poza łatwe do znalezienia „niskie owoce”, testowanie bezpieczeństwa powinno być dobrze zaplanowane i prawidłowo przeprowadzone. Pamiętaj: testerzy bezpieczeństwa powinni idealnie znaleźć wszystkie błędy, aby chronić system, podczas gdy dla przeciwników wystarczy znaleźć jedną lukę, którą można wykorzystać, aby się do niego dostać.

Praktyczne ćwiczenia pomogą zrozumieć luki w zabezpieczeniach aplikacji internetowych, błędy programistyczne, a przede wszystkim techniki ograniczania ryzyka, wraz z praktycznym zastosowaniem różnych narzędzi testowych, od skanerów bezpieczeństwa przez sniffery, serwery proxy, narzędzia do fuzzingu po statyczne analizatory kodu źródłowego. Kurs ten zapewnia niezbędne praktyczne umiejętności, które można zastosować już następnego dnia w miejscu pracy.

Uczestnicy kursu

• Zrozumieją podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem
• Poznają luki w zabezpieczeniach internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
• Poznają luki po stronie klienta i praktyki bezpiecznego kodowania
• Zdobyją praktyczną wiedzę na temat kryptografii
• Zrozumieją podejścia i metodyki testowania bezpieczeństwa
• Zdobyją praktyczną wiedzę w zakresie stosowania technik i narzędzi testowania bezpieczeństwa
• Będą na bieżąco z najnowszymi lukami w zabezpieczeniach różnych platform, frameworków i bibliotek
• Otrzymają źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Grupa docelowa

Programiści, Testerzy

Bezpieczeństwo aplikacji webowych to dziedzina zajmująca się ochroną aplikacji online przed współczesnymi zagrożeniami i lukami w zabezpieczeniach, w tym tymi, które są niezależne od platformy i wpływają na architekturę aplikacji oraz obsługę danych wejściowych.

To szkolenie prowadzone przez instruktora, na żywo (online lub na miejscu), jest skierowane do programistów na poziomie średniozaawansowanym, którzy chcą zrozumieć i zastosować techniki bezpiecznego kodowania w celu ograniczenia luk w zabezpieczeniach aplikacji webowych oraz wdrożenia solidnych mechanizmów bezpieczeństwa.

Po zakończeniu szkolenia uczestnicy będą mogli:

• Zrozumieć podstawowe pojęcia związane z bezpieczeństwem, bezpieczeństwem IT i bezpiecznym kodowaniem.
• Poznać luki w zabezpieczeniach webowych wykraczające poza OWASP Top Ten oraz dowiedzieć się, jak ich unikać.
• Poznać luki po stronie klienta oraz praktyki bezpiecznego kodowania.
• Zdobyć praktyczną wiedzę na temat kryptografii.
• Zrozumieć koncepcje bezpieczeństwa usług webowych.
• Zdobyć praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa.
• Uzyskać źródła i dalsze materiały do nauki na temat praktyk bezpiecznego kodowania.

Format szkolenia

• Interaktywne wykłady i dyskusje.
• Dużo ćwiczeń i praktyki.
• Praktyczna implementacja w środowisku live-lab.

Opcje dostosowania kursu

• Aby zamówić dostosowane szkolenie, skontaktuj się z nami w celu uzgodnienia szczegółów.

Na tym prowadzonym przez instruktora kursie na żywo w Zakopane, uczestnicy dowiedzą się, jak opracować właściwą strategię bezpieczeństwa, aby sprostać wyzwaniom związanym z bezpieczeństwem DevOps.

Szkolenie "Modern Application Security - CyberSecurity" skierowane jest do deweloperów, administratorów, testerów i DevOpsów pracujących w metodologii Scrum/Agile. Uczestnicy zdobędą wiedzę na temat aktualnych zagadnień związanych z bezpieczeństwem aplikacji, rekomendacji ekspertów oraz organizacji OWASP. Kurs koncentruje się na eliminowaniu popularnych ryzyk związanych z rozwojem oprogramowania, obejmuje nowoczesne podejścia do bezpieczeństwa, takie jak modelowanie zagrożeń, oraz omawia aktualne trendy w podatnościach aplikacji. Dodatkowo, uczestnicy dowiedzą się, jak hakerzy podejście do aplikacji i jak skutecznie się przed nimi bronić, aby wzbogacić zespoły Scrumowe w wiedzę i narzędzia poprawiające bezpieczeństwo wytwarzanych aplikacji.

Wraz z wzrostem popularności urządzeń mobilnych, coraz ważniejsze staje się zapewnienie odpowiedniego poziomu bezpieczeństwa przeznaczonych na nie aplikacji. Jakie wyzwania stawia przed twórcami aplikacji system Android? Jak skutecznie analizować aplikacje Androidowe w poszukiwaniu podatności?

To szkolenie prowadzone przez instruktora (online lub na miejscu) jest skierowane do programistów, inżynierów i architektów, którzy chcą zabezpieczyć swoje aplikacje i usługi internetowe.

Po zakończeniu szkolenia uczestnicy będą mogli integrować, testować, chronić i analizować swoje aplikacje i usługi internetowe, korzystając z frameworka i narzędzi OWASP.

Ten kurs w Zakopane ma na celu pomoc w następujących obszarach:

1. Pomoc programistom w opanowaniu technik pisania bezpiecznego kodu
2. Pomoc testerom oprogramowania w testowaniu bezpieczeństwa aplikacji przed wdrożeniem do środowiska produkcyjnego
3. Pomoc architektom oprogramowania w zrozumieniu ryzyk związanych z aplikacjami
4. Pomoc liderom zespołów w ustaleniu podstawowych zasad bezpieczeństwa dla programistów
5. Pomoc webmasterom w konfiguracji serwerów, aby uniknąć błędów konfiguracyjnych

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w języku Java poprzez metodologię testowania Open Web Application Security Project (OWASP). Open Web Application Security Project to społeczność internetowa, która tworzy dostępne za darmo artykuły, metodologie, dokumentacje, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w ASP.NET poprzez metodologię testowania Open Web Application Security Project (OWASP). OWASP to społeczność online, która tworzy bezpłatne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Kurs ten bada funkcje bezpieczeństwa frameworka .NET oraz sposoby zabezpieczania aplikacji internetowych.

Opis:

Ten kurs zapewni uczestnikom dogłębne zrozumienie koncepcji bezpieczeństwa, koncepcji aplikacji webowych oraz frameworków używanych przez programistów, aby móc eksploatować i chronić docelową aplikację. W dzisiejszym świecie, który zmienia się bardzo szybko, a co za tym idzie, wszystkie używane technologie również zmieniają się w szybkim tempie, aplikacje webowe są narażone na ataki hakerów 24/7. Aby chronić aplikacje przed zewnętrznymi atakami, należy znać wszystkie elementy składające się na aplikację webową, takie jak frameworki, języki i technologie używane w rozwoju aplikacji webowych, a nawet więcej niż to. Problem polega na tym, że atakujący musi znać tylko jeden sposób na włamanie się do aplikacji, a programista (lub administrator systemu) musi znać wszystkie możliwe exploity, aby temu zapobiec. Z tego powodu naprawdę trudno jest mieć w pełni zabezpieczoną aplikację webową, a w większości przypadków aplikacja webowa jest podatna na coś. Jest to regularnie wykorzystywane przez cyberprzestępców i przypadkowych hakerów, ale można to zminimalizować poprzez właściwe planowanie, rozwój, testowanie i konfigurację aplikacji webowych.

Cele:

Przekazanie umiejętności i wiedzy potrzebnej do zrozumienia i identyfikacji możliwych exploitów w działających aplikacjach webowych oraz do wykorzystania zidentyfikowanych podatności. Dzięki wiedzy zdobytej podczas fazy identyfikacji i eksploatacji, uczestnicy powinni być w stanie chronić aplikację webową przed podobnymi atakami. Po tym kursie uczestnik będzie w stanie zrozumieć i zidentyfikować 10 najważniejszych podatności OWASP oraz włączyć tę wiedzę do schematu ochrony aplikacji webowej.

Grupa docelowa:

Programiści, policja i inne osoby związane z egzekwowaniem prawa, personel obrony i wojska, profesjonaliści ds. bezpieczeństwa e-biznesu, administratorzy systemów, pracownicy banków, ubezpieczeń i innych branż, agencje rządowe, menedżerowie IT, CISO, CTO.