Schița de curs

Ziua 1

  • Securitate IT și codare sigură
    • Natura securității
    • termeni legati de securitatea IT
    • Definiţia risk
    • Diferite aspecte ale securității IT
    • Cerințe ale diferitelor domenii de aplicare
    • Securitate IT vs. codare sigură
    • De la vulnerabilități la rețele bot și criminalitatea cibernetică
      • Natura defectelor de securitate
      • Motive de dificultate
      • De la un computer infectat la atacuri vizate
    • Clasificarea defectelor de securitate
      • taxonomia lui Landwehr
      • Cele șapte regate pernicioase
      • OWASP Top Ten 2013
      • OWASP Comparația Top Ten 2003 – 2013
  • Introducere în Microsoft® Ciclul de viață al dezvoltării securității (SDL)
    • Agendă
    • Aplicații atacate...
      • Evoluția criminalității cibernetice
      • Atacurile se concentrează pe aplicații
      • Cele mai multe vulnerabilități sunt în aplicațiile ISV mai mici
    • Originile Microsoft SDL...
      • Cronologie de securitate la Microsoft...
      • Ce aplicații sunt necesare pentru a urma SDL?
    • Microsoft Ciclul de viață al dezvoltării securității (SDL)
      • Microsoft Ciclul de viață al dezvoltării securității (SDL)
      • Cerințe pre-SDL: Instruire de securitate
      • Prima etapă: cerințe
      • Faza a doua: Proiectare
      • Faza a treia: implementare
      • Etapa a patra: Verificare
      • Etapa cinci: Lansare – Plan de răspuns
      • Etapa a cincea: lansare – revizuire finală de securitate
      • Etapa cinci: Lansare – Arhivă
      • Cerință post-SDL: Răspuns
      • Ghid de proces SDL pentru aplicațiile LOB
      • Ghid SDL pentru Agile Metodologii
      • Dezvoltarea software sigură necesită îmbunătățirea procesului
  • Principii de design sigur
    • Suprafata de atac
      • Reducerea suprafeței de atac
      • Suprafața de atac – un exemplu
      • Analiza suprafeței de atac
      • Reducerea suprafeței de atac – exemple
    • Confidențialitate
      • Confidențialitate
      • Înțelegerea comportamentelor și preocupărilor legate de aplicare
    • Apărare în profunzime
      • Principiul de bază SDL: Apărare în profunzime
      • Apărare în profunzime – exemplu
    • Principiul privilegiului minim
      • Cel mai mic privilegiu – exemplu
    • Setări implicite sigure
      • Setări implicite sigure – exemple
  • Principii de implementare sigură
    • Agendă
    • Microsoft Ciclul de viață al dezvoltării securității (SDL)
    • Elemente de bază pentru depășirea tamponului
      • Procesoare Intel 80x86 – registre principale
      • Aspectul adresei de memorie
      • Mecanismul de apelare a funcției în C/C++ pe x86
      • Variabilele locale și cadrul stivei
      • Debordarea stivei
        • Buffer overflow pe stivă
        • Exerciții – introducere
        • Exercițiul BOFIntro
        • Exercițiul BOFIntro – determinați aspectul stivei
        • Exercițiul BOFIntro – o exploatare simplă
    • Validarea intrărilor
      • Concepte de validare a intrărilor
      • Probleme cu numere întregi
        • Reprezentarea numerelor întregi negative
        • Depășire întreg
        • Overflow aritmetic – ghiciți rezultatul!
        • Exercițiul IntOverflow
        • Care este valoarea Math.Abs(int.MinValue)?
      • Atenuarea problemelor cu numere întregi
        • Atenuarea problemelor cu numere întregi
        • Evitarea depășirii aritmetice – adunare
        • Evitarea depășirii aritmetice – înmulțire
        • Detectarea depășirii cu cuvântul cheie bifat în C#
        • Exercițiu – Utilizarea cuvântului cheie bifat în C#
        • Excepții declanșate de depășiri în C#
      • Studiu de caz – Integer overflow în .NET
        • O vulnerabilitate de depășire a numărului întreg din lumea reală
        • Exploatarea vulnerabilității de depășire a numărului întreg
      • Vulnerabilitatea traversării căii
        • Atenuarea traversării traseului

Ziua 2

  • Principii de implementare sigură
    • Injectare
      • Metode tipice SQL de atac prin injecție
      • Injectare oarbă și bazată pe timp SQL.
      • SQL Metode de protecție prin injecție
      • Injecție de comandă
    • Autentificare ruptă - gestionarea parolelor
      • Exercițiu – Slăbiciunea parolelor hashing
      • Gestionarea parolelor și stocarea
      • Algoritmi hash cu scop special pentru stocarea parolelor
    • Cross-Site Scripting (XSS)
      • Cross-Site Scripting (XSS)
      • CSS injecție
      • Exploatarea: injectare prin alte HTML tag-uri
      • Prevenirea XSS
    • Lipsește controlul accesului la nivel de funcție
      • Filtrarea fișierelor încărcate
    • Criptografie practică
      • Asigurarea confidențialității cu criptografia simetrică
      • Algoritmi simetrici de criptare
      • Cifre bloc – moduri de operare
      • Hash sau rezumat de mesaje
      • Algoritmi hash
      • Cod de autentificare a mesajelor (MAC)
      • Oferind integritate și autenticitate cu o cheie simetrică
      • Asigurarea confidențialității prin criptarea cu chei publice
      • Regula generală – deținerea cheii private
      • Greșeli tipice în gestionarea parolelor
      • Exercițiu – Parole codificate greu
      • Concluzie
  • Principii de verificare sigură
    • Testare funcțională vs. testare de securitate
    • Vulnerabilități de securitate
    • Prioritizare
    • Testare de securitate în SDLC
    • Etapele planificării testelor (analiza riscurilor)
    • Scoping și colectare de informații
      • Părțile interesate
      • Active
      • Suprafața de atac
      • Obiective de securitate pentru testare
    • Modelarea amenințărilor
      • Modelarea amenințărilor
      • Profiluri de atacator
      • Modelarea amenințărilor bazată pe arbori de atac
      • Modelarea amenințărilor bazată pe cazuri de utilizare greșită/abuz
      • Cazuri de utilizare greșită/abuz – un exemplu simplu de magazin web
      • Abordarea STRIDE per element a modelării amenințărilor – MS SDL
      • Identificarea obiectivelor de securitate
      • Diagramare – exemple de elemente DFD
      • Diagrama fluxului de date – exemplu
      • Enumerarea amenințărilor – elementele STRIDE și DFD ale MS SDL
      • Analiza riscului – clasificarea amenințărilor
      • Modelul de clasare a amenințărilor/riscurilor DREAD
    • Tehnici și instrumente de testare a securității
      • Abordări generale de testare
      • Tehnici pentru diferite etape ale SDLC
    • Revizuire a Codului
      • Revizuirea codului pentru securitatea software-ului
      • Analiza impurităților
      • Euristică
    • Analiza codului static
      • Analiza codului static
      • Analiza codului static
      • Exercițiu – Utilizarea instrumentelor de analiză statică a codului
    • Testarea implementării
      • Verificare manuală a timpului de rulare
      • Testare de securitate manuală vs. automată
      • Testarea de penetrare
      • Teste de stres
    • Fuzzing
      • Testare automată de securitate - fuzzing
      • Provocări ale fuzzingului
    • Scanere de vulnerabilitate web
      • Exercițiu – Utilizarea unui scanner de vulnerabilități
    • Verificarea și întărirea mediului
      • Common Vulnerability Scoring System – CVSS
      • Scanere de vulnerabilitate
      • Baze de date publice
    • Studiu de caz – Bypass pentru autentificarea formularelor
      • Vulnerabilitatea de terminare a octetilor NULL
      • Vulnerabilitatea Forms Authentication Bypass din cod
      • Exploatarea Bypass-ului de autentificare prin formulare
  • Surse de cunoștințe
    • Surse de codare sigure – un kit de pornire
    • Baze de date de vulnerabilități
    • Ghid de codare securizată .NET la MSDN
    • .NET codare securizată cheat sheets
    • Cărți recomandate – .NET și ASP.NET

 14 ore

Numărul de participanți


Pret per participant

Cursurile publice necesita 5+ participanti

Mărturii (5)

Informații generale despre curs

Paulo Gouveia - EID
Curs - C/C++ Secure Coding

Tradus de catre o masina

Nothing it was perfect.

Zola Madolo - Vodacom
Curs - Android Security

Trainer willing to answer questions and give bunch of examples for us to learn.

Eldrick Ricamara - Human Edge Software Philippines, Inc. (part of Tribal Group)
Curs - Security Testing

It opens up a lot and gives lots of insight what security

Nolbabalo Tshotsho - Vodacom SA
Curs - Advanced Java Security

The explanations of how the most common attacks happen against web applications.

Jacob Fisher - Mikron SA Boudry
Curs - Advanced C#, ASP.NET and Web Application Security

Upcoming Courses

Microsoft SDL Core

2024-08-08 09:30
14 ore
ActiveOne Bucuresti
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Microsoft SDL Core

2024-08-22 09:30
14 ore
Iași
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Microsoft SDL Core

2024-09-05 09:30
14 ore
Constanța
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Microsoft SDL Core

2024-09-19 09:30
14 ore
Brasov, Calea Bucuresti Street
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Microsoft SDL Core

2024-10-03 09:30
14 ore
Sibiu
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Microsoft SDL Core

2024-10-17 09:30
14 ore
Cluj-Napoca
648 EUR (Online (Remote))
1048 EUR (Sală de clasă)

Cursuri înrudite

C/C++ Secure Coding

 21 ore

Acest curs de trei zile acoperă elementele de bază ale securizării codului C / C++ împotriva utilizatorilor rău-intenționați, care pot exploata multe vulnerabilități în codul cu gestionarea memoriei și manipularea datelor, cursul acoperă principiile de scriere a codului securizat.

Citește mai mult...

Standard Java Security

 14 ore

Descriere

Limba Java și Runtime Environment (JRE) a fost concepută pentru a nu fi protejată de cele mai problematice vulnerabilități comune de securitate cu alte limbi, cum ar fi C / C++ . Cu toate acestea, dezvoltatorii de software și arhitecții nu trebuie să știe să folosească diferitele caracteristici de securitate ale mediului Java (securitate pozitivă), ci ar trebui să fie conștienți de numeroasele vulnerabilități care sunt încă relevante pentru dezvoltarea Java (securitate negativă).

Introducerea serviciilor de securitate este precedată de o scurtă privire de ansamblu asupra fundamentelor criptografiei, oferind o bază de referință comună pentru înțelegerea scopului și a funcționării componentelor aplicabile. Utilizarea acestor componente este prezentată prin mai multe exerciții practice, unde participanții pot încerca singuri API-urile discutate.

De asemenea, cursul parcurge și explică cele mai frecvente și mai grave defecte de programare ale limbajului și platformei Java , acoperind atât bug-urile tipice comise de programatorii Java , cât și problemele specifice limbajului și mediului. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de ghidurile de codificare recomandate și de posibilele tehnici de atenuare.

Participanții care participă la acest curs vor

  • Înțelegeți conceptele de bază de securitate, securitate IT și codificare sigură
  • Aflați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
  • Învață să folosești diferite caracteristici de securitate ale mediului de dezvoltare Java
  • Înțelegeți practic criptografia
  • Aflați despre greșelile tipice de codare și cum să le evitați
  • Obțineți informații despre unele vulnerabilități recente în cadrul Java
  • Obțineți surse și lecturi suplimentare cu privire la practicile sigure de codare

Public

Dezvoltatori

Citește mai mult...

Java and Web Application Security

 21 ore

Descriere

Dincolo de cunoștințele solide în utilizarea componentelor Java , chiar și pentru programatorii Java experiență, este esențial să aveți o cunoaștere profundă în ceea ce privește vulnerabilitățile legate de web, atât pe server, cât și pe client, diferitele vulnerabilități relevante pentru aplicațiile web scrise în Java și consecințele diferitele riscuri.

Vulnerabilitățile generale bazate pe web sunt demonstrate prin prezentarea atacurilor relevante, în timp ce tehnicile de codificare recomandate și metodele de atenuare sunt explicate în contextul Java cu scopul cel mai important de a evita problemele asociate. În plus, un accent special este acordat securității din partea clientului care abordează probleme de securitate Java Script, Ajax și HTML 5.

Cursul introduce componente de securitate ale ediției Java Standard, care este precedată de fundamentele criptografiei, oferind o linie de bază comună pentru înțelegerea scopului și a funcționării componentelor aplicabile. Utilizarea tuturor componentelor este prezentată prin exerciții practice, unde participanții pot încerca API-urile și instrumentele discutate pentru ei înșiși.

În sfârșit, cursul explică cele mai frecvente și mai grave defecte de programare ale limbajului și platformei Java . Pe lângă erorile tipice comise de programatorii Java , vulnerabilitățile de securitate introduse acoperă atât probleme specifice limbii, cât și probleme care decurg din mediul de rulare. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de ghidurile de codificare recomandate și de posibilele tehnici de atenuare.

Participanții care participă la acest curs vor

  • Înțelegeți conceptele de bază de securitate, securitate IT și codificare sigură
  • Aflați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
  • Aflați vulnerabilitățile din partea clientului și practicile sigure de codare
  • Învață să folosești diferite caracteristici de securitate ale mediului de dezvoltare Java
  • Înțelegeți practic criptografia
  • Aflați despre greșelile tipice de codare și cum să le evitați
  • Obțineți informații despre unele vulnerabilități recente în cadrul Java
  • Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
  • Obțineți surse și lecturi suplimentare cu privire la practicile sigure de codare

Public

Dezvoltatori

Citește mai mult...

Advanced Java Security

 21 ore
Chiar și programatorii Java cu experiență nu stăpânesc prin toate mijloacele diferitele servicii de securitate oferite de Java și, de asemenea, nu sunt conștienți de diferitele vulnerabilități care sunt relevante pentru aplicațiile web scrise în Java Cursul - pe lângă introducerea componentelor de securitate ale standardului Java Edition - se ocupă de problemele de securitate ale Java Enterprise Edition (JEE) și ale serviciilor web Discuțiile despre serviciile specifice sunt precedate de fundamentele criptografiei și comunicării securizate Exercițiile diverse se ocupă de tehnicile de securitate declarative și programatice în JEE, în timp ce se discută atât securitatea transportului, cât și securitatea end-end a serviciilor web Utilizarea tuturor componentelor este prezentată prin mai multe exerciții practice, în care participanții pot încerca API-urile și instrumentele discutate pentru ele însele Cursul trece de asemenea și explică cele mai frecvente și mai grave deficiențe de programare ale limbajului și platformei Java și vulnerabilitățile legate de web Pe lângă bug-urile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât problemele limbajului specific, cât și problemele care decurg din mediul de execuție Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții de simulare, urmate de recomandările de codare recomandate și de posibilele tehnici de atenuare Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Înțelegerea conceptelor de securitate ale serviciilor Web Învățați să utilizați diferite funcții de securitate ale mediului de dezvoltare Java Au o înțelegere practică a criptografiei Înțelegeți soluțiile de securitate ale Java EE Aflați despre greșelile tipice de codificare și cum să le evitați Obțineți informații despre unele vulnerabilități recente în cadrul Java Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

Advanced Java, JEE and Web Application Security

 28 ore
Dincolo de o cunoaștere solidă în utilizarea componentelor Java, chiar și pentru programatorii Java cu experiență, este esențial să existe o cunoaștere profundă în vulnerabilitățile web legate de server și client, diferitele vulnerabilități relevante pentru aplicațiile web scrise în Java și consecințele diverse riscuri Vulnerabilitățile generale bazate pe web se demonstrează prin prezentarea atacurilor relevante, în timp ce tehnicile de codare recomandate și metodele de atenuare sunt explicate în contextul Java cu scopul cel mai important de a evita problemele asociate În plus, se acordă o atenție specială securității clienților care abordează problemele de securitate ale JavaScript, Ajax și HTML5 Cursul introduce componentele de securitate ale Standard Java Edition, care este precedată de fundamentele criptografiei, oferind o bază de referință comună pentru înțelegerea scopului și funcționării componentelor aplicabile Problemele de securitate ale Java Enterprise Edition sunt prezentate prin diferite exerciții care explică tehnicile de securitate declarative și programatice în JEE În cele din urmă, cursul explică cele mai frecvente și mai grave deficiențe de programare ale limbajului și platformei Java Pe lângă bug-urile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât problemele limbajului specific, cât și problemele care decurg din mediul de execuție Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții de simulare, urmate de recomandările de codare recomandate și de posibilele tehnici de atenuare Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Aflați vulnerabilitățile clienților și practicile de codificare securizate Învățați să utilizați diferite funcții de securitate ale mediului de dezvoltare Java Au o înțelegere practică a criptografiei Înțelegerea conceptelor de securitate ale serviciilor Web Înțelegeți soluțiile de securitate ale Java EE Aflați despre greșelile tipice de codificare și cum să le evitați Obțineți informații despre unele vulnerabilități recente în cadrul Java Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

.NET, C# and ASP.NET Security Development

 14 ore

Un număr de limbi de programare sunt disponibile astăzi pentru a compila coduri în cadrul .NET și ASP.NET. Mediul oferă mijloace puternice de dezvoltare a securității, însă dezvoltatorii ar trebui să știe cum să aplice tehnicile de programare la nivel de arhitectură și de codificare pentru a implementa funcționalitatea de securitate dorită și pentru a evita vulnerabilitățile sau a limita exploatarea acestora.

Scopul acestui curs este de a învăța dezvoltatorii prin numeroase exerciții practice de prevenire a acțiunilor privilegiate, protejarea resurselor prin autentificare și autorizare puternică, furnizarea de apeluri de procedură la distanță, gestionarea sesiunilor, introducerea unor implementări diferite pentru anumite funcționalități și multe Mai Mult.

Introducerea diferitelor vulnerabilități începe cu prezentarea unor probleme tipice de programare comise atunci când se utilizează .NET, în timp ce discuția despre vulnerabilitățile ASP.NET se ocupă de diverse setări de mediu și de efectele acestora. În cele din urmă, tema vulnerabilităților specifice ASP.NET nu se referă doar la unele provocări generale de securitate a aplicațiilor web, ci și la probleme speciale și metode de atac, cum ar fi atacul asupra ViewState sau atacurile de terminare a șirului.

Participanții care participă la acest curs vor

  • Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate
  • Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
  • Învață să utilizezi diferite caracteristici de securitate ale mediului de dezvoltare .NET
  • Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
  • Aflați despre greșelile tipice de codificare și cum să le evitați
  • Obțineți informații despre unele vulnerabilități recente din .NET și ASP.NET
  • Obțineți surse și citiri suplimentare despre practicile de codare sigure

Public

Dezvoltatori

Citește mai mult...

Comprehensive C# and .NET Application Security

 21 ore
Un număr de limbi de programare sunt disponibile astăzi pentru a compila coduri în cadrulNET și ASPNET Mediul oferă mijloace puternice de dezvoltare a securității, însă dezvoltatorii ar trebui să știe cum să aplice tehnicile de programare a arhitecturii și a codului de nivel pentru a implementa funcționalitatea de securitate dorită și pentru a evita vulnerabilitățile sau a limita exploatarea acestora Scopul acestui curs este de a învăța dezvoltatorii prin numeroase exerciții de manevră cum să împiediceți efectuarea unor acțiuni privilegiate, protejarea resurselor prin autentificarea și autorizarea puternică, furnizarea de apeluri la proceduri la distanță, gestionarea sesiunilor, introducerea unor implementări diferite pentru anumite funcționalități și multe altele O secțiune specială este dedicată configurației și întăririi mediuluiNET și ASPNET pentru securitate O scurtă prezentare a fundamentelor criptografiei oferă o bază practică comună pentru înțelegerea scopului și a funcționării diferitelor algoritmi, pe baza cărora cursul prezintă caracteristicile criptografice care pot fi utilizate înNET Aceasta este urmată de introducerea unor vulnerabilități cripte recente, legate atât de algoritmi cripto și de protocoale criptografice, cât și de atacurile de canal lateral Introducerea diferitelor vulnerabilități începe cu prezentarea unor probleme tipice de programare comise atunci când se utilizeazăNET, incluzând categorii de erori de validare a intrărilor, manipulare a erorilor sau condiții de rasă O atenție specială este acordată securității XML, în timp ce subiectul vulnerabilităților specifice ASPNET abordează unele probleme speciale și metode de atac cum ar fi atacarea ViewState sau atacurile de terminare a șirului Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învață să utilizezi diferite caracteristici de securitate ale mediului de dezvoltareNET Au o înțelegere practică a criptografiei Înțelegeți unele atacuri recente împotriva criptosisteme Obțineți informații despre unele vulnerabilități recente dinNET și ASPNET Aflați despre greșelile tipice de codificare și cum să le evitați Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

Advanced C#, ASP.NET and Web Application Security

 21 ore
Dincolo de o cunoaștere solidă în utilizarea diferitelor caracteristici de securitate aleNET și ASPNET, chiar și pentru programatorii cu experiență este esențial să existe o cunoaștere profundă în vulnerabilitățile legate de web, atât pe server cât și pe client, împreună cu consecințele diferitelor riscuri În acest curs, vulnerabilitățile generalizate pe web se demonstrează prin prezentarea atacurilor relevante, în timp ce tehnicile de codare recomandate și metodele de atenuare sunt explicate în contextul ASPNET O atenție specială este acordată clienților în ceea ce privește securitatea în abordarea problemelor de securitate ale JavaScript, Ajax și HTML5 Cursul se ocupă, de asemenea, de arhitectura de securitate și componentele cadruluiNET, inclusiv controlul accesului la coduri și bazate pe roluri, declarația de autorizare și mecanismele de verificare și modelul de transparență O scurtă prezentare a fundamentelor criptografiei oferă o bază practică comună pentru înțelegerea scopului și a funcționării diferitelor algoritmi, pe baza cărora cursul prezintă caracteristicile criptografice care pot fi utilizate înNET Introducerea diferitelor erori de securitate urmează categoriile de vulnerabilitate binecunoscute, abordând validarea datelor de intrare, caracteristicile de securitate, gestionarea erorilor, problemele legate de timp și de stat, grupul de probleme generale legate de calitatea codului și o secțiune specială privind vulnerabilitățile ASPNET specifice Aceste subiecte sunt încheiate cu o privire de ansamblu asupra instrumentelor de testare care pot fi folosite pentru a dezvălui automat unele dintre bug-urile învățate Subiectele sunt prezentate prin exerciții practice în care participanții pot încerca consecințele anumitor vulnerabilități, atenuări, precum și API-urile discutate și instrumentele pentru ei înșiși Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Aflați vulnerabilitățile clienților și practicile de codificare securizate Învață să utilizezi diferite caracteristici de securitate ale mediului de dezvoltareNET Au o înțelegere practică a criptografiei Obțineți informații despre unele vulnerabilități recente dinNET și ASPNET Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității Aflați despre greșelile tipice de codificare și cum să le evitați Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

Web Application Security

 14 ore

Protejarea aplicațiilor accesibile prin intermediul internetului necesită un profesionist în securitate bine pregătit, care este în permanență la curent cu metodele și tendințele actuale de atac. Există o multitudine de tehnologii și medii care permit dezvoltarea confortabilă a aplicațiilor web (cum ar fi Java , ASP.NET sau PHP , precum și scriptul Java sau Ajax din partea clientului). Nu trebuie să fim conștienți doar de problemele de securitate relevante pentru aceste platforme, ci și de toate vulnerabilitățile generale care se aplică indiferent de instrumentele de dezvoltare utilizate.

Cursul oferă o imagine de ansamblu asupra soluțiilor de securitate aplicabile în aplicațiile web, concentrându-se pe cele mai importante tehnologii precum comunicații sigure și servicii web, abordând atât securitatea în straturi de transport, cât și soluții de securitate end-to-end precum și standarde precum Web Services Security și XML . De asemenea, oferă o scurtă privire de ansamblu asupra greșelilor tipice de programare, mai ales legate de validarea intrării lipsă sau necorespunzătoare.

Vulnerabilitățile bazate pe web sunt demonstrate prin prezentarea atacurilor relevante, în timp ce tehnicile de codare recomandate și metodele de atenuare sunt explicate pentru a evita problemele asociate. Exercițiile pot fi urmate cu ușurință de programatori folosind diferite limbaje de programare, astfel subiectele legate de aplicația web pot fi ușor combinate cu alte subiecte sigure de codare și pot astfel să satisfacă eficient nevoile grupurilor de dezvoltare corporativă, care se ocupă de obicei cu diverse limbaje și platforme de dezvoltare pentru a dezvolta aplicații web.

Participanții care participă la acest curs vor

  • Înțelegeți conceptele de bază de securitate, securitate IT și codificare sigură
  • Aflați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
  • Aflați vulnerabilitățile din partea clientului și practicile sigure de codare
  • Înțelegeți practic criptografia
  • Înțelegeți conceptele de securitate ale serviciilor web
  • Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
  • Obțineți surse și lecturi suplimentare cu privire la practicile sigure de codare

Public

Dezvoltatori

Citește mai mult...

Security Testing

 14 ore
După familiarizarea cu vulnerabilitățile și metodele de atac, participanții învață despre abordarea generală și metodologia de testare a securității și despre tehnicile care pot fi aplicate pentru a descoperi vulnerabilități specifice Testarea securității ar trebui să înceapă prin colectarea de informații despre sistem (ToC, adică obiectivul evaluării), atunci o amenințare minuțioasă ar trebui să dezvăluie și să evalueze toate amenințările, ajungând la cel mai adecvat plan de analiză a riscurilor Evaluările de securitate se pot întâmpla în diferite etape ale SDLC și, prin urmare, discutăm despre revizuirea designului, analiza codului, recunoașterea și colectarea de informații despre sistem, testarea implementării și testarea și întărirea mediului pentru o implementare sigură Multe tehnici diferite de testare a securității sunt introduse în detaliu, cum ar fi analiza taint și reexaminarea codului euristic, analiza codului static, testarea dinamică a web vulnerabilității sau fuzzarea Sunt introduse diferite tipuri de instrumente care pot fi aplicate pentru a automatiza evaluarea securității produselor software, care este, de asemenea, susținută de un număr de exerciții, în care executăm aceste instrumente pentru a analiza codul vulnerabil deja discutat Multe studii de caz din viața reală susțin o mai bună înțelegere a diferitelor vulnerabilități Acest curs pregătește testere și personalul QA pentru a planifica și executa în mod adecvat testele de securitate, a selecta și a folosi cele mai potrivite instrumente și tehnici pentru a găsi chiar deficiențe de securitate ascunse și, astfel, oferă abilități practice esențiale care pot fi aplicate în ziua următoare a zilei de lucru Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Aflați vulnerabilitățile clienților și practicile de codificare securizate Înțelegeți abordările și metodologiile de testare a securității Obțineți cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori, Testeri .
Citește mai mult...

Secure Web Application Development and Testing

 21 ore

Protejarea aplicațiilor care sunt accesibile prin intermediul web-ului necesită profesioniști de securitate bine pregătiți care sunt în permanență conștienți de metodele și tendințele actuale de atac. Există o mulțime de tehnologii și medii care permit dezvoltarea confortabilă a aplicațiilor web. Nu trebuie să fim conștienți numai de problemele de securitate relevante pentru aceste platforme, ci și de toate vulnerabilitățile generale care se aplică indiferent de instrumentele de dezvoltare folosite.

Cursul oferă o privire de ansamblu asupra soluțiilor de securitate aplicabile în aplicațiile web, cu un accent deosebit pe înțelegerea celor mai importante soluții criptografice care trebuie aplicate. Diferitele vulnerabilități ale aplicațiilor web sunt prezentate atât pe partea de server (după OWASP Top Ten) cât și pe partea clientului, demonstrată prin atacurile relevante, urmate de tehnicile de codare recomandate și de metodele de atenuare pentru a evita problemele asociate. Subiectul codificării securizate este încheiat prin discutarea unor erori tipice de securitate relevante în domeniul securității în domeniul validării intrărilor, utilizării necorespunzătoare a caracteristicilor de securitate și calității codului.

Testarea joacă un rol foarte important în asigurarea securității și a robusteții aplicațiilor web. Diferitele abordări - de la auditul la nivel înalt prin testarea penetrării la hacking-ul etic - pot fi aplicate pentru a găsi vulnerabilități de diferite tipuri. Cu toate acestea, dacă doriți să depășiți fructele ușor de găsit, testul de securitate ar trebui să fie bine planificat și executat corect. Amintiți-vă: testatorii de securitate ar trebui să găsească în mod ideal toate bug-urile pentru protejarea unui sistem, în timp ce pentru adversari este suficient să se găsească o vulnerabilitate exploatabilă pentru a pătrunde în el.

Exercițiile practice vor ajuta la înțelegerea vulnerabilităților aplicațiilor web, a greșelilor de programare și, mai ales, a tehnicilor de diminuare a impactului, împreună cu procesele hands-on ale diferitelor instrumente de testare de la scanerele de securitate, prin sniffers, servere proxy, instrumente fuzzing la analizoare statice de cod sursă. abilități practice esențiale care pot fi aplicate în ziua următoare la locul de muncă.

Participanții care participă la acest curs vor

  • Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate
  • Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
  • Aflați vulnerabilitățile clientului și practicile de codificare securizate
  • Au o înțelegere practică a criptografiei
  • Înțelegeți abordările și metodologiile de testare a securității
  • Obțineți cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității
  • Fiți informați despre vulnerabilitățile recente din diverse platforme, cadre și biblioteci
  • Obțineți surse și citiri suplimentare despre practicile de codare sigure

Public

Dezvoltatori, Testeri

Citește mai mult...

Secure coding in PHP

 21 ore
Cursul oferă abilități esențiale pentru dezvoltatorii PHP necesare pentru ca aplicațiile lor să fie rezistente la atacurile contemporane prin Internet Vulnerabilitățile web sunt discutate prin exemplele bazate pe PHP care depășesc cele mai bune zece din OWASP, abordând diferite atacuri de injecție, injecții de script, atacuri împotriva manipulării sesiunii de PHP, referințe nesigure la obiecte directe, probleme cu încărcarea fișierelor și multe altele Vulnerabilitățile legate de vulnerabilități sunt introduse grupate în tipurile de vulnerabilitate standard, de validare a intrărilor lipsă sau necorespunzătoare, de eroare incorectă și de tratare a excepțiilor, de utilizarea necorespunzătoare a caracteristicilor de securitate și de probleme legate de timp și de stat Pentru aceasta din urmă discutăm despre atacuri cum ar fi eludarea deschisă, respingerea serviciului prin float magic sau atacul de coliziune a tabelului hash În toate cazurile, participanții se vor familiariza cu cele mai importante tehnici și funcții care vor fi utilizate pentru a atenua riscurile enumerate O atenție specială este acordată clienților în ceea ce privește securitatea în abordarea problemelor de securitate ale JavaScript, Ajax și HTML5 Un număr de extensii de securitate legate de PHP sunt introduse ca hash, mcrypt și OpenSSL pentru criptografie, sau Ctype, ext / filter și Purifier HTML pentru validarea intrărilor Încadrarea celor mai bune practici sunt date în legătură cu configurarea PHP (setarea phpini), Apache și serverul în general În cele din urmă, este prezentată o privire de ansamblu asupra diferitelor instrumente și tehnici de testare a securității pe care dezvoltatorii și testerele pot folosi, inclusiv scanere de securitate, teste de penetrare și pachete de exploatare, sniffers, servere proxy, instrumente fuzzing și analizoare statice de cod sursă Atât introducerea vulnerabilităților, cât și practicile de configurare sunt susținute de o serie de exerciții de manevră care demonstrează consecințele atacurilor de succes, demonstrând modul de aplicare a tehnicilor de atenuare și introducerea utilizării diferitelor extensii și instrumente Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Aflați vulnerabilitățile clienților și practicile de codificare securizate Au o înțelegere practică a criptografiei Învață să utilizezi diferite funcții de securitate ale PHP Aflați despre greșelile tipice de codificare și cum să le evitați Fiți informat despre vulnerabilitățile recente ale cadrului PHP Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

Combined C/C++, JAVA and Web Application Security

 28 ore
Pentru a servi în cel mai bun mod grupurile de dezvoltare heterogene care utilizează simultan diferite platforme în timpul muncii lor de zi cu zi, am îmbinat diferite teme într-un curs combinat care prezintă diverse discipline de codificare securizată în mod didactic pe un singur eveniment de instruire Acest curs combină securitatea platformelor C / C ++ și a platformei Java pentru a oferi o expertiză extensivă de codificare securizată încrucișată În ceea ce privește C / C ++, sunt discutate vulnerabilități comune de securitate, susținute de exerciții practice cu privire la metodele de atac care exploatează aceste vulnerabilități, cu accent pe tehnicile de atenuare care pot fi aplicate pentru a preveni apariția acestor erori periculoase, preveni exploatarea acestora Componentele și serviciile de securitate ale Java sunt discutate prin prezentarea diferitelor API-uri și instrumente prin intermediul unui număr de exerciții practice în care participanții pot dobândi experiență în utilizarea lor Cursul acoperă, de asemenea, problemele de securitate ale serviciilor web și ale serviciilor Java legate de acestea, care pot fi aplicate pentru a preveni cele mai dure amenințări ale serviciilor bazate pe Internet În cele din urmă, vulnerabilitățile de securitate web și Javarelated sunt demonstrate prin exerciții ușor de rezolvat, care nu numai că prezintă cauza principală a problemelor, ci demonstrează și metodele de atac împreună cu tehnicile de atenuare și codare recomandate pentru a evita problemele de securitate asociate Participanții care participă la acest curs vor Înțelegerea conceptelor de bază ale securității, securității IT și codării securizate Învățați vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați Aflați vulnerabilitățile clienților și practicile de codificare securizate Învățați să utilizați diferite funcții de securitate ale mediului de dezvoltare Java Au o înțelegere practică a criptografiei Realizați consecințele grave ale manipulării nesigure a tamponului Înțelegeți tehnicile de protecție arhitecturală și punctele slabe ale acestora Aflați despre greșelile tipice de codificare și cum să le evitați Fiți informat despre vulnerabilitățile recente din diferite platforme, cadre și biblioteci Obțineți surse și citiri suplimentare despre practicile de codificare sigure Public Dezvoltatori .
Citește mai mult...

Combined JAVA, PHP and Web Application Security

 28 ore

Chiar și programatorii cu experiență nu stăpânesc prin toate mijloacele diferitele servicii de securitate oferite de platformele lor de dezvoltare și, de asemenea, nu sunt conștienți de diferitele vulnerabilități care sunt relevante pentru dezvoltarea lor. Acest curs vizează dezvoltatorii folosind atât Java și PHP, oferindu-le abilitățile esențiale necesare pentru a face aplicațiile lor rezistente la atacurile contemporane prin intermediul internetului.

Nivelurile Java ale arhitecturii de securitate sunt trecute prin abordarea controlului accesului, a autentificării și a autorizării, a comunicării sigure și a diferitelor funcții criptografice. De asemenea, sunt introduse diferite API care pot fi folosite pentru a vă asigura codul în PHP, cum ar fi OpenSSL pentru criptografie sau HTML Purifier pentru validarea intrării. Pe partea serverului, cele mai bune practici sunt date pentru rigidificarea și configurarea sistemului de operare, a containerului web, a sistemului de fișiere, a SQL serverului și a PHP în sine, în timp ce un accent special este acordat securității client-side prin problemele de securitate ale JavaScript, Ajax și HTML5.

Vulnerabilitățile web generale sunt discutate prin exemple aliniate cu cele mai bune zece, care arată diverse atacuri de injecție, injecții de script, atacuri împotriva gestionării sesiunii, referințe nesigure la obiecte directe, probleme cu upload-urile de fișiere și multe altele. Diferitele probleme și probleme de limbă Java- și PHP-specifică care decurg din mediul de lucru sunt introduse grupate în tipurile standard de vulnerabilitate ale lipsei sau validării incorecte a intrărilor, utilizării incorecte a caracteristicilor de securitate, gestionării incorecte a erorilor și a excepțiilor, problemelor legate de timp și de stat, problemelor de calitate a codului și vulnerabilităților legate de codul mobil.

Participanții pot încerca API-urile discutate, instrumentele și efectele configurărilor pentru ei înșiși, în timp ce introducerea vulnerabilităților sunt toate susținute de un număr de exerciții practice care demonstrează consecințele atacurilor de succes, arată cum să corecteze erorile și să aplice tehnicile de ameliorare, și introducerea utilizării diferitelor extinderi și instrumente.

Participanţii la acest curs vor

  • Înțelegeți conceptele de bază ale securității, securității IT și codării sigure
  • Aflați vulnerabilitățile web dincolo de OWASP Top 10 și știți cum să le evitați
  • Aflați vulnerabilitățile client-side și practicile de codare sigure
  • Învață să folosești diferite caracteristici de securitate ale mediului de dezvoltare Java
  • Înțelegerea practică a criptografiei
  • Învață să folosești diferite caracteristici de securitate PHP
  • Înțelegerea conceptelor de securitate ale serviciilor web
  • Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
  • Aflați despre greșelile tipice de codare și cum să le evitați
  • Fiți informați despre vulnerabilitățile recente în Java și PHP cadre și biblioteci
  • Obțineți surse și citiți mai multe despre practici de codare sigură

Audienţă

Dezvoltatori

Citește mai mult...

Android Security

 14 ore

Android este o platformă deschisă pentru dispozitive mobile, cum ar fi telefoanele și tabletele. Are o varietate mare de caracteristici de securitate pentru a facilita dezvoltarea de software sigur; cu toate acestea, lipsesc și anumite aspecte de securitate care sunt prezente în alte platforme portabile. Cursul oferă o imagine de ansamblu asupra acestor caracteristici și subliniază cele mai critice deficiențe de a cunoaște legătura cu Linux bază, sistemul de fișiere și mediul în general, precum și cu privire la utilizarea permisiunilor și a altor componente de dezvoltare software Android .

Obstacolele și vulnerabilitățile tipice de securitate sunt descrise atât pentru aplicațiile de cod nativ, cât și pentru aplicațiile Java , alături de recomandări și bune practici pentru evitarea și atenuarea acestora. În multe cazuri, problemele discutate sunt acceptate cu exemple din viața reală și studii de caz. În cele din urmă, oferim o scurtă privire de ansamblu asupra modului de utilizare a instrumentelor de testare a securității pentru a dezvălui eventualele erori de programare relevante pentru securitate.

Participanții care participă la acest curs vor

  • Înțelegeți conceptele de bază de securitate, securitate IT și codificare sigură
  • Aflați soluțiile de securitate pe Android
  • Învață să folosești diferite caracteristici de securitate ale platformei Android
  • Obțineți informații despre unele vulnerabilități recente în Java pe Android
  • Aflați despre greșelile tipice de codare și cum să le evitați
  • Înțelegeți cu privire la vulnerabilitățile codului autohton pe Android
  • Realizați consecințele grave ale manipulării nesigure a tamponului în cod nativ
  • Înțelegeți tehnicile de protecție arhitecturală și punctele slabe ale acestora
  • Obțineți surse și lecturi suplimentare cu privire la practicile sigure de codare

Public

Profesioniști

Citește mai mult...