Schița de curs
Siguranța IT și Secure Coding
- Pregătire generală cu principiile siguranței informațiilor
- CIA triunghiular: Confidențialitate, Integritate, Disponibilitate
- Menținerea de amenințări comune și modelare a amenințărilor
- Cele mai bune practici pentru ciclul de viață al dezvoltării software secure (SSDLC)
Web Application Security
- Compreensiunea Top Ten OWASP și dincolo
- Erori legate de autentificare și gestionarea sesiunilor
- Vulnerabilități prin injectare (SQL, Comandă, LDAP, etc.)
- Cross-Site Scripting (XSS) și Cross-Site Request Forgery (CSRF)
Siguranța de latură client
- Atacuri bazate pe DOM și riscuri specifice JavaScript
- Utilizarea insecură a AJAX și stocare browser
- Clickjacking și redresarea interfeței utilizator (UI)
- Implementarea Politicii de Siguranța Conținutului (CSP)
Criptografie practică Crypto
- Noțiuni de bază: hashing, criptare, semnături digitale
- Criptografia cu cheie publică vs. simetrică
- Bazele Transport Layer Security (TLS)
- Gestionarea cheilor și greșeli comune în criptografie
Siguranța Web Services
- Considerații de siguranță pentru SOAP și REST
- Mecanisme de autentificare: OAuth, JWT, chei API
- Amenințări comune la serviciile web și apărarea acestora
- Validarea intrărilor în plasamentele serviciilor
Siguranța XML
- Injucțiuni XML și atacuri de parsare
- Expansia entităților și vulnerabilitățile XXE
- Tehnici și biblioteci de parsare sigure
- Folosirea standardelor de siguranță XML (XML-DSig, XML-Enc)
Surse de cunoaștere și instrumente de securitate
- Instrumente recomandate pentru testarea securității (de exemplu, OWASP ZAP, Burp Suite)
- Instrumente de scanare și analiză a codului
- Surse online și directive de securitate
- Cum să rămâi la curent cu amenințările emergente
Rezumat și următoarele pași
Cerințe
- O înțelegere a arhitecturii de bază ale aplicațiilor web
- Experiența cu un limbaj de programare cum ar fi Java, C#, PHP sau JavaScript
- Familiaritate cu comunicarea client-server și HTTP
Publicul-țintă
- Dezvoltatori
- Arhitecți de aplicații web
- Echipe tehnice atente la securitate
Mărturii (5)
Prezentare generală a celor mai importante teme legate de arhitectura software-ului. Această formare m-a inspirat să învăț unele dintre ele în profunzime ;)
Konrad Fuchsig - EY GDS
Curs - Web Application Security
Tradus de catre o masina
Explicații ale conceptelor despre care nu aveam nicio cunoștință. Atitudinea calmi și prietenoasă a tutorului, precum și cunoștințele sale foarte ample.
Michal Kowalczyk - EY GDS
Curs - Web Application Security
Tradus de catre o masina
Exemple practice și posibilitatea de a încerca cum funcționează injectiile web din partea opusă - nu ca utilizator, ci ca atacant.
Jessica Wierzbicka - EY GDS
Curs - Web Application Security
Tradus de catre o masina
Laboratoarele practice au fost excelente.
Dr. Farhan Hassan Khan - TDM GROUP
Curs - Web Application Security
Tradus de catre o masina
Formatorul domină în domeniul său
Adnan ul Husnain Hashmi - TDM GROUP
Curs - Web Application Security
Tradus de catre o masina