Kurs zapewnia niezbędne umiejętności dla programistów PHP, konieczne do zabezpieczenia ich aplikacji przed współczesnymi atakami przez Internet. Luki w zabezpieczeniach stron internetowych są omawiane na przykładach opartych na PHP, wykraczających poza listę OWASP Top Ten, obejmując różne ataki iniekcji, iniekcje skryptów, ataki na mechanizmy sesji w PHP, niebezpieczne bezpośrednie odwołania do obiektów, problemy z przesyłaniem plików oraz wiele innych. Luki związane z PHP są wprowadzone w grupach według standardowych typów luk, takich jak brak lub niewłaściwa walidacja danych wejściowych, nieprawidłowa obsługa błędów i wyjątków, niewłaściwe użycie funkcji zabezpieczeń oraz problemy związane z czasem i stanem. W przypadku tych ostatnich omawiamy ataki takie jak obejście open_basedir, ataki typu denial-of-service poprzez magic float czy ataki kolizji tablicy haszującej. We wszystkich przypadkach uczestnicy zapoznają się z najważniejszymi technikami i funkcjami, które należy zastosować, aby zminimalizować wymienione ryzyka.
Szczególny nacisk położony jest na bezpieczeństwo po stronie klienta, obejmujące problemy związane z JavaScript, Ajax i HTML5. Wprowadzone zostaną liczne rozszerzenia związane z bezpieczeństwem dla PHP, takie jak hash, mcrypt i OpenSSL do kryptografii, czy Ctype, ext/filter i HTML Purifier do walidacji danych wejściowych. Najlepsze praktyki związane z zabezpieczaniem są przedstawione w kontekście konfiguracji PHP (ustawienia php.ini), Apache oraz serwera ogólnie. Na koniec przedstawiony zostanie przegląd różnych narzędzi i technik testowania bezpieczeństwa, które mogą być wykorzystane przez programistów i testerów, w tym skanery bezpieczeństwa, testy penetracyjne i pakiety exploitów, sniffery, serwery proxy, narzędzia do fuzzingu oraz statyczne analizatory kodu źródłowego.
Zarówno wprowadzenie do luk w zabezpieczeniach, jak i praktyki konfiguracyjne są wspierane licznymi ćwiczeniami praktycznymi, demonstrującymi konsekwencje udanych ataków, pokazującymi, jak zastosować techniki minimalizujące ryzyko, oraz wprowadzającymi użycie różnych rozszerzeń i narzędzi.
Uczestnicy tego kursu:
- Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT oraz bezpiecznego programowania
- Poznają luki w zabezpieczeniach stron internetowych wykraczające poza OWASP Top Ten i dowiedzą się, jak ich unikać
- Poznają luki po stronie klienta oraz praktyki bezpiecznego programowania
- Zdobędą praktyczną wiedzę na temat kryptografii
- Nauczą się korzystać z różnych funkcji zabezpieczeń PHP
- Poznają typowe błędy w kodowaniu i dowiedzą się, jak ich unikać
- Zostaną poinformowani o najnowszych lukach w frameworku PHP
- Zdobędą praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
- Otrzymają źródła i dalsze materiały do czytania na temat praktyk bezpiecznego programowania
Grupa docelowa
Programiści
Więcej...