Cursuri de pregatire Securitate Combinată C/C++, JAVA și Aplicații Web

Android este o platfornă deschisă pentru dispozitive mobile precum telefoanele și tabletele. Are o varietate vastă de caracteristici de securitate care facilită dezvoltarea unui software sigur; totuși, lipsește anumite aspecte de securitate care sunt prezente în alte platforme portabile. Cursul oferă o perspectivă completă a acestor caracteristici și evidențiază cele mai critice deficiențe cu care trebuie să fim conștienți, legate de Linux subiacent, sistemul de fișiere și mediul în general, precum și privind utilizarea permisiunilor și alte componente ale dezvoltării software-ului Android.

Sunt descrise atât pit-fallele de securitate tipice, cât și vulnerabilitățile pentru codul nativ și aplicațiile Java, împreună cu recomandări și practici bune pentru a evita și mitiga acestea. În numeroase cazuri, problemele discutate sunt susținute de exemple din viața reală și studii de caz. În cele din urmă, oferim o perspectivă scurtă asupra modului în care să folosim instrumentele de testare a securității pentru a descoperi orice greseli programatorice relevante cu securitate.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, a securității IT și a codării sigure
• Afla soluțiile de securitate pe Android
• Învața să utilizeze diferite caracteristici de securitate ale platformei Android
• Obține informații despre anumite vulnerabilități recente în Java pe Android
• Învața despre greșelile tipice de codare și cum să le evităm
• Obține înțelegerea vulnerabilităților codului nativ pe Android
• Realizeze consecințele severe ale gestionării nepotrivite a buffer-elor în codul nativ
• Înțelege tehniciile de protecție arhitecturale și slăbiciunile acestora
• Obține surse și citiri suplimentare despre practicile bune ale codării sigure

Public țintă

Profesioniști

Implementarea unei aplicații securizate în rețea poate fi dificilă, chiar și pentru dezvoltatorii care au utilizat în prealabil diverse elemente criptografice de bază (cum ar fi criptarea și semnăturile digitale). Pentru a-i face pe participanți să înțeleagă rolul și utilizarea acestor primitive criptografice, se oferă mai întâi o bază solidă privind principalele cerințe ale comunicării securizate - confirmare securizată, integritate, confidențialitate, identificare la distanță și anonimat - prezentând, în același timp, problemele tipice care pot afecta aceste cerințe, împreună cu soluții din lumea reală.

Deoarece un aspect critic al securității rețelelor este criptografia, sunt discutați și cei mai importanți algoritmi criptografici în criptografia simetrică, hashing, criptografia asimetrică și acordul de chei. În loc să prezinte un fundal matematic aprofundat, aceste elemente sunt discutate din perspectiva unui dezvoltator, prezentând exemple tipice de cazuri de utilizare și considerații practice legate de utilizarea criptografiei, cum ar fi infrastructurile cu cheie publică. Sunt prezentate protocoalele de securitate în multe domenii ale comunicării securizate, cu o discuție aprofundată asupra celor mai utilizate familii de protocoale, cum ar fi IPSEC și SSL/TLS.

Vulnerabilitățile criptografice tipice sunt discutate atât în legătură cu anumiți algoritmi criptografici, cât și cu protocoale criptografice, cum ar fi BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE și altele similare, precum și atacul de sincronizare RSA. În fiecare caz, considerațiile practice și consecințele potențiale sunt descrise pentru fiecare problemă, din nou, fără a intra în detalii matematice profunde.

În cele din urmă, având în vedere că tehnologia XML este esențială pentru schimbul de date prin aplicații în rețea, sunt descrise aspectele de securitate ale XML. Acestea includ utilizarea XML în cadrul serviciilor web și al mesajelor SOAP, alături de măsuri de protecție precum semnătura XML și criptarea XML - precum și punctele slabe ale acestor măsuri de protecție și problemele de securitate specifice XML, precum injectarea XML, atacurile XML cu entități externe (XXE), bombele XML și injectarea XPath.

Participanții la acest curs vor

• înțeleg conceptele de bază ale securității, securității IT și codării sigure
• să înțeleagă cerințele unei comunicări sigure
• Să învețe despre atacurile de rețea și apărarea la diferite niveluri OSI
• Vor avea o înțelegere practică a criptografiei
• Înțelegerea protocoalelor de securitate esențiale
• Înțelegerea unor atacuri recente împotriva criptosistemelor
• Obțineți informații despre unele vulnerabilități recente aferente
• Înțelegerea conceptelor de securitate ale serviciilor web
• Obțineți surse și lecturi suplimentare privind practicile de codare sigură

Audiență

Dezvoltatori, profesioniști

Acest curs de trei zile acoperă elementele de bază ale securizării codului C/C++ împotriva utilizatorilor rău intenționați care ar putea exploata numeroase vulnerabilități din cod, legate de gestionarea memoriei și manipularea intrărilor. Cursul acoperă principiile scrierii unui cod sigur.

Chiar și programatorii Java experimentați nu stăpânesc în totalitate diversele servicii de securitate oferite de Java și, de asemenea, nu sunt conștienți de diferitele vulnerabilități relevante pentru aplicațiile web scrise în Java.

Cursul – pe lângă introducerea componentelor de securitate ale Standard Java Edition – abordează problemele de securitate ale Java Enterprise Edition (JEE) și ale serviciilor web. Discuția despre serviciile specifice este precedată de fundamentele criptografiei și ale comunicării sigure. Diverse exerciții abordează tehnicile de securitate declarativă și programatică în JEE, în timp ce se discută atât securitatea la nivelul transportului, cât și securitatea end-to-end a serviciilor web. Utilizarea tuturor componentelor este prezentată prin mai multe exerciții practice, unde participanții pot încerca API-urile și instrumentele discutate pe cont propriu.

Cursul trece de asemenea în revistă și explică cele mai frecvente și grave defecte de programare ale limbajului Java și platformei, precum și vulnerabilitățile legate de web. Pe lângă greșelile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât probleme specifice limbajului, cât și probleme care provin din mediul de execuție. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și de tehnicile posibile de atenuare.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale codării sigure
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Înțelege conceptele de securitate ale serviciilor web
• Învață să utilizeze diverse funcții de securitate ale mediului de dezvoltare Java
• Dobândește o înțelegere practică a criptografiei
• Înțelege soluțiile de securitate ale Java EE
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente din cadrul Java
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codare sigură

Public țintă

Dezvoltatori

Descriere

Limbajul Java și Mediul de Execuție (JRE) au fost proiectate pentru a fi libere de cele mai problematice vulnerabilități de securitate comune întâlnite în alte limbaje, cum ar fi C/C++. Cu toate acestea, dezvoltatorii de software și arhitecții nu ar trebui doar să știe cum să utilizeze diversele caracteristici de securitate ale mediului Java (securitate pozitivă), ci ar trebui să fie, de asemenea, conștienți de numeroasele vulnerabilități care sunt încă relevante pentru dezvoltarea Java (securitate negativă).

Introducerea serviciilor de securitate este precedată de o scurtă prezentare generală a fundamentelor criptografiei, oferind o bază comună pentru înțelegerea scopului și funcționării componentelor aplicabile. Utilizarea acestor componente este prezentată prin mai multe exerciții practice, unde participanții pot încerca singuri API-urile discutate.

Cursul trece, de asemenea, prin cele mai frecvente și severe greșeli de programare ale limbajului și platformei Java, acoperind atât bug-urile tipice comise de programatorii Java, cât și problemele specifice limbajului și mediului. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și tehnicile posibile de atenuare.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale codificării sigure
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și știe cum să le evite
• Învață să utilizeze diverse caracteristici de securitate ale mediului de dezvoltare Java
• Dobândească o înțelegere practică a criptografiei
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în cadrul Java
• Obține surse și lecturi suplimentare despre practicile de codare sigură

Public țintă

Dezvoltatori

Astăzi sunt disponibile numeroase limbaje de programare pentru a compila cod pentru cadrele .NET și ASP.NET. Mediul oferă instrumente puternice pentru dezvoltarea securizată, dar dezvoltatorii trebuie să știe cum să aplice tehnicile de programare la nivel de arhitectură și cod pentru a implementa funcționalitățile de securitate dorite și pentru a evita vulnerabilitățile sau a le limita exploatarea.

Scopul acestui curs este să îi învețe pe dezvoltatori, prin numeroase exerciții practice, cum să prevină executarea de acțiuni privilegiate de către cod neîncredințat, să protejeze resursele prin autentificare și autorizare puternică, să ofere apeluri de procedură la distanță, să gestioneze sesiunile, să introducă diferite implementări pentru anumite funcționalități și multe altele.

Introducerea diferitelor vulnerabilități începe cu prezentarea unor probleme tipice de programare comise atunci când se utilizează .NET, în timp ce discuția despre vulnerabilitățile ASP.NET abordează, de asemenea, diverse setări de mediu și efectele acestora. În cele din urmă, subiectul vulnerabilităților specifice ASP.NET nu abordează doar unele provocări generale de securitate a aplicațiilor web, ci și probleme speciale și metode de atac, cum ar fi atacarea ViewState-ului sau atacurile de terminare a șirurilor.

Participanții la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale programării securizate
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Învață să folosească diverse caracteristici de securitate ale mediului de dezvoltare .NET
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în .NET și ASP.NET
• Obține surse și lecturi suplimentare despre practicile de programare securizată

Publicul țintă

Dezvoltatori

Cursul introduce câteva concepte comune de securitate, oferă o prezentare generală despre natura vulnerabilităților, indiferent de limbajele de programare și platformele utilizate, și explică cum să gestionăm riscurile aferente securității software în diferitele faze ale ciclului de viață al dezvoltării software. Fără a intra în detalii tehnice, evidențiază unele dintre cele mai interesante și mai dureroase vulnerabilități din diverse tehnologii de dezvoltare software și prezintă provocările testării de securitate, împreună cu unele tehnici și instrumente pe care le poți aplica pentru a identifica eventualele probleme din cod.

Participanții la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codării securizate
• Înțelege vulnerabilitățile web atât pe partea de server, cât și pe cea de client
• Realizează consecințele grave ale gestionării nesecurizate a bufferelor
• Fie informați despre unele vulnerabilități recente în mediile și cadrele de dezvoltare
• Învață despre greșelile tipice de codare și cum să le eviți
• Înțelege abordările și metodologiile de testare a securității

Publicul țintă

Manageri

Cursul oferă abilități esențiale pentru dezvoltatorii PHP, necesare pentru a-și face aplicațiile rezistente la atacurile contemporane prin intermediul internetului. Vulnerabilitățile web sunt discutate prin exemple bazate pe PHP, depășind primele zece din OWASP, abordând diverse atacuri de injecție, injecții de scripturi, atacuri împotriva gestionării sesiunilor în PHP, referințe directe nesigure la obiecte, probleme legate de încărcarea fișierelor și multe altele. Vulnerabilitățile legate de PHP sunt introduse grupate în tipurile standard de vulnerabilități, cum ar fi validarea lipsă sau improprie a intrărilor, gestionarea incorectă a erorilor și excepțiilor, utilizarea necorespunzătoare a caracteristicilor de securitate și probleme legate de timp și stare. Pentru aceasta din urmă, discutăm atacuri precum ocolirea open_basedir, atacul de tip denial-of-service prin magic float sau atacul de coliziune a tabelelor hash. În toate cazurile, participanții se vor familiariza cu cele mai importante tehnici și funcții de utilizat pentru a atenua riscurile enumerate.

O atenție specială este acordată securității pe partea de client, abordând problemele de securitate ale JavaScript, Ajax și HTML5. Sunt introduse o serie de extensii legate de securitate pentru PHP, cum ar fi hash, mcrypt și OpenSSL pentru criptografie, sau Ctype, ext/filter și HTML Purifier pentru validarea intrărilor. Cele mai bune practici de întărire sunt prezentate în legătură cu configurația PHP (setarea php.ini), Apache și serverul în general. În cele din urmă, este oferită o prezentare generală a diverselor instrumente și tehnici de testare a securității pe care dezvoltatorii și testerii le pot folosi, inclusiv scanere de securitate, teste de penetrare și pachete de exploatare, snifferi, servere proxy, instrumente de fuzzing și analizoare statice de cod sursă.

Atât introducerea vulnerabilităților, cât și practicile de configurație sunt susținute de o serie de exerciții practice care demonstrează consecințele atacurilor reușite, arătând cum să aplici tehnici de atenuare și introducând utilizarea diverselor extensii și instrumente.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și programării securizate
• Învață despre vulnerabilitățile web dincolo de primele zece din OWASP și știe cum să le evite
• Învață despre vulnerabilitățile pe partea de client și practicile de programare securizată
• Capătă o înțelegere practică a criptografiei
• Învață să folosească diverse caracteristici de securitate ale PHP
• Învață despre greșelile tipice de codare și cum să le evite
• Este informat despre vulnerabilitățile recente ale framework-ului PHP
• Capătă cunoștințe practice în utilizarea instrumentelor de testare a securității
• Primește surse și lecturi suplimentare despre practicile de programare securizată

Publicul țintă

Dezvoltatori

Cursul combinat de bază SDL oferă o perspectivă asupra proiectării, dezvoltării și testării sigure a software-ului prin intermediul Microsoft Secure Development Lifecycle (SDL). Acesta oferă o prezentare de nivel 100 a elementelor fundamentale ale SDL, urmată de tehnici de proiectare pentru a detecta și repara defecte în etapele timpurii ale procesului de dezvoltare.

Acoperind faza de dezvoltare, cursul oferă o prezentare generală a bug-urilor de programare relevante pentru securitate, atât pentru codul gestionat, cât și pentru cel nativ. Sunt prezentate metode de atac pentru vulnerabilitățile discutate, împreună cu tehnicile asociate de atenuare, toate explicate prin numeroase exerciții practice care oferă participanților distracție prin hacking live. Introducerea diferitelor metode de testare a securității este urmată de demonstrarea eficacității diverselor instrumente de testare. Participanții pot înțelege funcționarea acestor instrumente prin numeroase exerciții practice, aplicând instrumentele pe codul vulnerabil deja discutat.

Participanții care urmează acest curs vor

Înțelege conceptele de bază ale securității, securității IT și codificării sigure

Se familiarizează cu pașii esențiali ai Microsoft Secure Development Lifecycle

Învață practici de proiectare și dezvoltare sigură

Învață despre principiile de implementare sigură

Înțelege metodologia de testare a securității

• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Publicul țintă

Dezvoltatori, Manageri

După ce se familiarizează cu vulnerabilitățile și metodele de atac, participanții învață despre abordarea generală și metodologia de testare a securității, precum și despre tehnicile care pot fi aplicate pentru a evidenția vulnerabilitățile specifice. Testarea de securitate ar trebui să înceapă cu colectarea de informații despre sistem (ToC, adică Obiectul de Evaluare), apoi o modelare amănunțită a amenințărilor ar trebui să dezvăluie și să evalueze toate amenințările, ajungând la cel mai potrivit plan de testare bazat pe analiza riscurilor.

Evaluările de securitate pot avea loc în diverse etape ale SDLC, așa că discutăm despre revizuirea designului, revizuirea codului, recunoașterea și colectarea de informații despre sistem, testarea implementării și testarea și consolidarea mediului pentru o implementare sigură. Multe tehnici de testare a securității sunt prezentate în detaliu, cum ar fi analiza de contaminare și revizuirea codului bazată pe euristică, analiza statică a codului, testarea dinamică a vulnerabilităților web sau fuzzing. Sunt introduse diverse tipuri de instrumente care pot fi aplicate pentru a automatiza evaluarea securității produselor software, ceea ce este susținut și de o serie de exerciții, în care executăm aceste instrumente pentru a analiza codul vulnerabil deja discutat. Multe studii de caz din viața reală sprijină o înțelegere mai bună a diferitelor vulnerabilități.

Acest curs pregătește testerii și personalul QA să planifice adecvat și să execute cu precizie teste de securitate, să selecteze și să utilizeze cele mai potrivite instrumente și tehnici pentru a găsi chiar și defecte de securitate ascunse, oferind astfel abilități practice esențiale care pot fi aplicate imediat în ziua următoare de lucru.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codificării sigure
• Învață despre vulnerabilitățile web dincolo de Top Ten OWASP și știe cum să le evite
• Învață despre vulnerabilitățile de pe partea clientului și practicile de codificare sigură
• Înțelege abordările și metodologiile de testare a securității
• Dobândește cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Publicul țintă

Dezvoltatori, Testeri

Protejarea aplicațiilor accesibile prin web necesită profesioniști bine pregătiții în domeniul securității, care să fie mereu la curent cu metodele și tendințele de atac actuale. Există o varietate de tehnologii și medii care permit dezvoltarea confortabilă a aplicațiilor web. În afară de a fi conștienți de problemele de securitate specifice acestor platforme, ar trebui să fie de asemenea familiarizați cu toate vulnerabilitățile generale care se aplică indiferent de instrumentele de dezvoltare utilizate.

În cadrul cursului se oferă o prezentare generală a soluțiilor de securitate aplicabile în aplicațiile web, cu accent pe înțelegerea celor mai importante soluții criptografice care trebuie implementate. Vulnerabilitățile diverse ale aplicațiilor web sunt prezentate atât la nivelul serverului (conform listei OWASP Top Ten) cât și la nivelul clientului, demonstrându-le prin intermediul atacurilor relevante, urmate de tehnici de codificare recomandate și metode de mitigație pentru evitarea problemelor asociate. Subiectul codificării securizate este încheiat prin discutarea unor greșeli tipice de programare cu importanță de securitate din domeniul validării datelor, utilizării incorecte a caracteristicilor de securitate și calității codului.

Testarea joacă un rol foarte important în asigurarea securității și robustei aplicațiilor web. Diverse abordări – de la auditările la nivel ridicat până la testarea de penetrare și hackingul etic – pot fi aplicate pentru a găsi vulnerabilități de tipuri diferite. Cu toate acestea, dacă doriți să mergeți mai departe decât fructele usor de strâns, testarea securității ar trebui bine planificată și executată corect. Amintiți-vă: testerii de securitate ar trebui să găsească ideal toate defectele pentru a proteja un sistem, în timp ce pentru adversari este suficient să găsească o vulnerabilitate utilizabilă pentru a pătrunde în el.

Exercițiile practice vor ajuta la înțelegerea vulnerabilităților aplicațiilor web, greșelilor de programare și, cel mai important, tehnicii de mitigație, împreună cu experimentele practice cu diverse instrumente de testare, de la scannere securizate, trecând prin sniffere, servere proxy, unelte de fuzzing până la analizatoare statice de cod sursă. Acest curs oferă abilitățile practice esențiale care pot fi aplicate în ziua următoare la locul de muncă.

Participanții ce urmează acest curs vor

• Înțelege conceptele de bază ale securității, IT securității și codificării securizate
• Învăța vulnerabilitățile Web dincolo de OWASP Top Ten și cum să le evite
• Învăța vulnerabilitățile la nivelul clientului și practicile de codificare securizată
• Avea o înțelegere practice a criptografiei
• Înțelege abordările și metodologiile testării securității
• Obține cunoștințe practice în utilizarea tehniciilor și uneltelelor de testare a securității
• Fii la curent cu vulnerabilitățile recente din diverse platforme, framework-uri și biblioteci
• Obține surse și lecturi suplimentare privind practicile de codificare securizată

Audiență

Dezvoltatori, Testeri

În acest curs condus de un instructor, în direct în România, participanții vor învăța cum să formuleze strategia de securitate corectă pentru a face față provocărilor de securitate DevOps.

Acest curs în România vizează să ajute la următoarele:

1. Să permită dezvoltatorilor să maitriseze tehniciile de scriere a codului securizat
2. Să ajute testерii software-ului să testeze securitatea aplicației înainte de publicarea în mediul de producție
3. Să permită arhitecților software să înțeleagă riscurile care împresupun aplicațiile
4. Să ajute liderii echipei să stabilească barierele de securitate pentru dezvoltatori
5. Să ajute web master-ii să configureze serverele pentru a evita configurările greșite

Acest curs acoperă conceptele și principiile codificării securizate cu Java prin intermediul metodologiei de testare Open Web Application Security Project (OWASP). Proiectul Open Web Application Security este o comunitate online care creează articole, metodologii, documentație, unelte și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs acoperă conceptele și principiile de codare sigură folosind ASP.net prin metodologia de testare a Open Web Application Security Project (OWASP). OWASP este o comunitate online care creează articole, metodologii, documentații, instrumente și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs explorează caracteristicile de securitate ale framework-ului .NET și modul de securizare a aplicațiilor web.