Application Security Formare în Muntenia

Acest training condus de un instructor, live în Muntenia (online sau la fața locului), este destinat dezvoltatorilor de nivel intermediar până la avansat care doresc să înțeleagă și să aplice practici de codare sigură, să identifice riscurile de securitate în software și să implementeze măsuri de apărare împotriva amenințărilor cibernetice.

La sfârșitul acestui training, participanții vor fi capabili să:

• Înțeleagă vulnerabilitățile comune de securitate în aplicațiile web și software.
• Analizeze amenințările de securitate și tehnicile de exploatare folosite de atacatori.
• Implementeze practici de codare sigură pentru a reduce riscurile de securitate.
• Folosească instrumente de testare a securității pentru a identifica și remedia vulnerabilități.

EC-Council Certified DevSecOps Engineer (ECDE) este un curs practic conceput pentru a echipa profesioniștii cu abilitățile necesare pentru a integra securitatea pe tot parcursul ciclului de viață DevOps, facilitând dezvoltarea de software sigur de la planificare până la implementare.

Acest training condus de un instructor, în format live (online sau la fața locului), este destinat profesioniștilor de nivel intermediar din domeniul software și DevOps care doresc să integreze practici de securitate în pipeline-urile CI/CD, asigurând livrarea de cod sigur și conform.

La finalul acestui training, participanții vor putea:

• Înțelege principiile și practicile DevSecOps.
• Securiza fiecare etapă a pipeline-ului CI/CD folosind instrumente automate.
• Implementa practici de codare sigură și scanare de vulnerabilități.
• Se pregăti pentru certificarea ECDE cu laboratoare practice și recapitulare.

Formatul cursului

• Prelegere interactivă și discuții.
• Utilizare practică a instrumentelor DevSecOps în pipeline-uri simulate.
• Exerciții ghidate axate pe dezvoltarea și implementarea securizată.

Opțiuni de personalizare a cursului

• Pentru a solicita un training personalizat pentru acest curs, bazat pe fluxurile de lucru sau lanțul de instrumente al echipei dumneavoastră, vă rugăm să ne contactați pentru a aranja.

Implementarea unei aplicații de rețea securizată poate fi dificilă, chiar și pentru dezvoltatorii care au folosit anterior diverse blocuri criptografice (cum ar fi criptarea și semnăturile digitale). Pentru a înțelege rolul și utilizarea acestor primitive criptografice, este mai întâi oferită o fundație solidă privind cerințele principale ale comunicării securizate – confirmare securizată, integritate, confidențialitate, identificare la distanță și anonimat –, prezentându-se în același timp problemele tipice care pot afecta aceste cerințe, împreună cu soluții din lumea reală.

Deoarece un aspect critic al securității rețelelor este criptografia, sunt de asemenea discutate cele mai importante algoritme criptografice din criptografia simetrică, hashing, criptografia asimetrică și acordul de chei. În loc să prezinte un fundal matematic detaliat, aceste elemente sunt discutate din perspectiva unui dezvoltator, prezentând exemple de cazuri tipice și considerații practice legate de utilizarea criptografiei, cum ar fi infrastructurile de chei publice. Sunt introduse protocoale de securitate în numeroase domenii ale comunicării securizate, cu o discuție detaliată despre familiile de protocoale cele mai utilizate, cum ar fi IPSEC și SSL/TLS.

Sunt discutate vulnerabilitățile criptografice tipice, atât legate de anumiți algoritmi criptografici, cât și de protocoale criptografice, cum ar fi BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE și altele asemănătoare, precum și atacul de timp RSA. În fiecare caz, sunt descrise considerațiile practice și consecințele potențiale ale fiecărei probleme, din nou, fără a intra în detalii matematice complexe.

În cele din urmă, deoarece tehnologia XML este esențială pentru schimbul de date în aplicațiile de rețea, sunt descrise aspectele de securitate ale XML. Aceasta include utilizarea XML în serviciile web și mesajele SOAP, împreună cu măsuri de protecție precum semnătura XML și criptarea XML – precum și slăbiciunile acestor măsuri de protecție și problemele de securitate specifice XML, cum ar fi injecția XML, atacurile XML external entity (XXE), bombele XML și injecția XPath.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și programării securizate
• Înțelege cerințele comunicării securizate
• Învață despre atacurile și apărările de rețea la diferite niveluri OSI
• Dobândească o înțelegere practică a criptografiei
• Înțelege protocoalele esențiale de securitate
• Înțelege unele atacuri recente împotriva sistemelor criptografice
• Obține informații despre unele vulnerabilități recente înrudite
• Înțelege conceptele de securitate ale serviciilor web
• Obține surse și lecturi suplimentare despre practicile de programare securizată

Public țintă

Dezvoltatori, Profesioniști

Adoptarea cloud-ului schimbă modul în care aplicațiile sunt construite, implementate și operate — transferând responsabilitatea între furnizor și client, în timp ce introduce platforme native cloud (containere, serverless, servicii gestionate) care necesită controale de securitate adaptate. Securitatea trebuie, așadar, să abordeze întărirea infrastructurii, gestionarea identității și accesului, protecția datelor, practicile de dezvoltare securizată și vectorii de amenințări specifice cloud-ului.

Această formare condusă de un instructor, live (online sau la fața locului), este destinată dezvoltatorilor de nivel intermediar, inginerilor de securitate și managerilor IT care doresc să dobândească abilități practice pentru a securiza aplicațiile cloud și infrastructura de suport, învățând controale repetabile și tehnici de evaluare care se aliniază la cadrele industriale actuale și la ghidurile furnizorilor de cloud.

La finalul acestei formări, participanții vor putea:

• Explica modelul de responsabilitate împărtășită în cloud și să îl aplice în deciziile de securitate a aplicațiilor.
• Întări infrastructura cloud (IaaS), securiza serviciile de platformă (PaaS) și evaluează configurațiile SaaS.
• Aplica modele de codare securizată și de atenuare bazate pe OWASP la aplicațiile găzduite în cloud.
• Integra instrumente de securitate în pipeline-uri CI/CD (SAST/DAST/DAST/IAST/RASP) și adopta practici de tip „shift-left”.

Formatul Cursului

• Prelegere interactivă și discuții legate de demo-uri live.
• Laboratoare practice folosind console cloud, containere, funcții serverless și pipeline-uri CI/CD.
• Exerciții practice: configurare securizată, scanare de vulnerabilități, simulare de atacuri și planificare de remediere.

Opțiuni de Personalizare a Cursului

• Pentru a solicita o formare personalizată pentru acest curs, vă rugăm să ne contactați pentru a aranja.

Acest curs de trei zile acoperă elementele de bază ale securizării codului C/C++ împotriva utilizatorilor rău intenționați care ar putea exploata numeroase vulnerabilități din cod, legate de gestionarea memoriei și manipularea intrărilor. Cursul acoperă principiile scrierii unui cod sigur.

Chiar și programatorii Java experimentați nu stăpânesc pe deplin diversele servicii de securitate oferite de Java și, de asemenea, nu sunt conștienți de diferitele vulnerabilități relevante pentru aplicațiile web scrise în Java.

Cursul – pe lângă introducerea componentelor de securitate din Standard Java Edition – abordează problemele de securitate ale Java Enterprise Edition (JEE) și serviciilor web. Discuția despre serviciile specifice este precedată de fundamentele criptografiei și comunicării securizate. Diverse exerciții abordează tehnicile de securitate declarativă și programatică în JEE, în timp ce se discută atât securitatea la nivel de transport, cât și securitatea end-to-end a serviciilor web. Utilizarea tuturor componentelor este prezentată prin mai multe exerciții practice, unde participanții pot încerca API-urile și instrumentele discutate pe cont propriu.

Cursul trece, de asemenea, prin cele mai frecvente și grave erori de programare ale limbajului și platformei Java și vulnerabilitățile legate de web. Pe lângă bug-urile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât probleme specifice limbajului, cât și probleme care provin din mediul de execuție. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și tehnicile posibile de atenuare.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codării securizate
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Înțelege conceptele de securitate ale serviciilor web
• Învață să utilizeze diverse funcționalități de securitate ale mediului de dezvoltare Java
• Dobândește o înțelegere practică a criptografiei
• Înțelege soluțiile de securitate ale Java EE
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente din cadrul Java
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codare securizată

Public țintă

Dezvoltatori

Chiar și programatorii experimentați nu stăpânesc pe deplin diversele servicii de securitate oferite de platformele lor de dezvoltare și, de asemenea, nu sunt conștienți de diferitele vulnerabilități relevante pentru dezvoltările lor. Acest curs se adresează dezvoltatorilor care folosesc atât Java, cât și PHP, oferindu-le abilități esențiale necesare pentru a-și face aplicațiile rezistente la atacurile contemporane prin Internet.

Nivelurile arhitecturii de securitate Java sunt parcurse prin abordarea controlului accesului, autentificării și autorizării, comunicării securizate și a diferitelor funcții criptografice. Sunt, de asemenea, introduse diverse API-uri care pot fi folosite pentru a securiza codul în PHP, cum ar fi OpenSSL pentru criptare sau HTML Purifier pentru validarea intrărilor. Pe partea de server, sunt prezentate cele mai bune practici pentru întărirea și configurarea sistemului de operare, containerului web, sistemului de fișiere, serverului SQL și PHP-ului însuși, în timp ce o atenție deosebită este acordată securității pe partea de client prin problemele de securitate ale JavaScript, Ajax și HTML5.

Vulnerabilitățile web generale sunt discutate prin exemple aliniate la Top Zece OWASP, arătând diverse atacuri de injecție, injecții de scripturi, atacuri împotriva gestionării sesiunilor, referințe directe nesigure la obiecte, probleme cu încărcarea fișierelor și multe altele. Diverse probleme și probleme specifice limbajului Java și PHP care provin din mediul de execuție sunt introduse grupate în tipurile standard de vulnerabilități ale validării lipsite sau improprii a intrărilor, utilizării improprie a caracteristicilor de securitate, gestionării incorecte a erorilor și excepțiilor, problemelor legate de timp și stare, problemelor de calitate a codului și vulnerabilităților legate de codul mobil.

Participanții pot încerca pe cont propriu API-urile discutate, instrumentele și efectele configurațiilor, în timp ce introducerea vulnerabilităților este susținută de o serie de exerciții practice care demonstrează consecințele atacurilor reușite, arătând cum să corectezi bug-urile și să aplici tehnici de atenuare, precum și introducerea utilizării diferitelor extensii și instrumente.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale codificării sigure
• Învață despre vulnerabilitățile web dincolo de Top Zece OWASP și cum să le evite
• Învață despre vulnerabilitățile de pe partea de client și practicile de codificare sigură
• Învață să folosească diverse caracteristici de securitate ale mediului de dezvoltare Java
• Dobândească o înțelegere practică a criptografiei
• Învață să folosească diverse caracteristici de securitate ale PHP
• Înțelege conceptele de securitate ale serviciilor web
• Dobândească cunoștințe practice în utilizarea instrumentelor de testare a securității
• Învață despre greșelile tipice de codificare și cum să le evite
• Fii informat despre vulnerabilitățile recente din cadrele și bibliotecile Java și PHP
• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Public țintă

Dezvoltatori

Descriere

Limbajul Java și Mediul de Execuție (JRE) au fost proiectate pentru a fi libere de cele mai problematice vulnerabilități de securitate comune întâlnite în alte limbaje, cum ar fi C/C++. Cu toate acestea, dezvoltatorii și arhitecții de software nu trebuie doar să știe cum să folosească diversele caracteristici de securitate ale mediului Java (securitate pozitivă), ci trebuie să fie, de asemenea, conștienți de numeroasele vulnerabilități care sunt încă relevante pentru dezvoltarea Java (securitate negativă).

Introducerea serviciilor de securitate este precedată de o scurtă prezentare generală a fundamentelor criptografiei, oferind o bază comună pentru înțelegerea scopului și funcționării componentelor aplicabile. Utilizarea acestor componente este prezentată prin mai multe exerciții practice, unde participanții pot încerca personal API-urile discutate.

Cursul trece, de asemenea, prin cele mai frecvente și grave erori de programare ale limbajului și platformei Java, acoperind atât bug-urile tipice comise de programatorii Java, cât și problemele specifice limbajului și mediului. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de recomandările de codare și tehnicile posibile de atenuare.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și codării sigure
• Aflați despre vulnerabilitățile web dincolo de OWASP Top Ten și știți cum să le evitați
• Învață să folosească diverse caracteristici de securitate ale mediului de dezvoltare Java
• Dobândește o înțelegere practică a criptografiei
• Aflați despre greșelile tipice de codare și cum să le evitați
• Obțineți informații despre unele vulnerabilități recente din cadrul Java
• Obțineți surse și lecturi suplimentare despre practicile de codare sigură

Publicul țintă

Dezvoltatori

Participanții care urmează acest curs în Muntenia vor

• Înțelege conceptele de bază ale securității, securității IT și codării sigure
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Învață despre vulnerabilitățile pe partea de client și practici de codare sigură
• Învață să folosească diverse caracteristici de securitate ale mediului de dezvoltare Java
• Dobândească o înțelegere practică a criptografiei
• Înțelege conceptele de securitate ale serviciilor web
• Înțelege soluțiile de securitate ale Java EE
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în cadrul Java
• Dobândească cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obține surse și lecturi suplimentare despre practicile de codare sigură

În prezent, există numeroase limbaje de programare care permit compilarea codului pentru framework-urile .NET și ASP.NET. Mediul oferă instrumente puternice pentru dezvoltarea securizată, dar dezvoltatorii trebuie să știe cum să aplice tehnicile de programare la nivel de arhitectură și cod pentru a implementa funcționalitățile de securitate dorite și pentru a evita vulnerabilitățile sau a le limita exploatarea.

Scopul acestui curs este să învețe dezvoltatorii, prin numeroase exerciții practice, cum să prevină executarea de acțiuni privilegiate de către cod neîncredințat, să protejeze resursele prin autentificare și autorizare puternică, să ofere apeluri de procedură la distanță, să gestioneze sesiunile, să introducă diferite implementări pentru anumite funcționalități și multe altele.

Introducerea diferitelor vulnerabilități începe cu prezentarea unor probleme tipice de programare comise atunci când se utilizează .NET, în timp ce discuția despre vulnerabilitățile ASP.NET abordează, de asemenea, diverse setări de mediu și efectele acestora. În cele din urmă, subiectul vulnerabilităților specifice ASP.NET nu abordează doar unele provocări generale de securitate a aplicațiilor web, ci și probleme speciale și metode de atac, cum ar fi atacul asupra ViewState sau atacurile de terminare a șirurilor.

Participanții la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și ale programării securizate
• Învață despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evite
• Învață să utilizeze diverse caracteristici de securitate ale mediului de dezvoltare .NET
• Dobândește cunoștințe practice în utilizarea instrumentelor de testare a securității
• Învață despre greșelile tipice de codare și cum să le evite
• Obține informații despre unele vulnerabilități recente în .NET și ASP.NET
• Obține surse și lecturi suplimentare despre practicile de programare securizată

Public țintă

Dezvoltatori

Cursul oferă abilități esențiale pentru dezvoltatorii PHP, necesare pentru a-și face aplicațiile rezistente la atacurile contemporane prin intermediul internetului. Vulnerabilitățile web sunt discutate prin exemple bazate pe PHP, depășind primele zece din OWASP, abordând diverse atacuri de injecție, injecții de scripturi, atacuri împotriva gestionării sesiunilor în PHP, referințe directe nesigure la obiecte, probleme legate de încărcarea fișierelor și multe altele. Vulnerabilitățile legate de PHP sunt introduse grupate în tipurile standard de vulnerabilități, cum ar fi validarea lipsă sau improprie a intrărilor, gestionarea incorectă a erorilor și excepțiilor, utilizarea necorespunzătoare a caracteristicilor de securitate și probleme legate de timp și stare. Pentru aceasta din urmă, discutăm atacuri precum ocolirea open_basedir, atacul de tip denial-of-service prin magic float sau atacul de coliziune a tabelelor hash. În toate cazurile, participanții se vor familiariza cu cele mai importante tehnici și funcții de utilizat pentru a atenua riscurile enumerate.

O atenție specială este acordată securității pe partea de client, abordând problemele de securitate ale JavaScript, Ajax și HTML5. Sunt introduse o serie de extensii legate de securitate pentru PHP, cum ar fi hash, mcrypt și OpenSSL pentru criptografie, sau Ctype, ext/filter și HTML Purifier pentru validarea intrărilor. Cele mai bune practici de întărire sunt prezentate în legătură cu configurația PHP (setarea php.ini), Apache și serverul în general. În cele din urmă, este oferită o prezentare generală a diverselor instrumente și tehnici de testare a securității pe care dezvoltatorii și testerii le pot folosi, inclusiv scanere de securitate, teste de penetrare și pachete de exploatare, snifferi, servere proxy, instrumente de fuzzing și analizoare statice de cod sursă.

Atât introducerea vulnerabilităților, cât și practicile de configurație sunt susținute de o serie de exerciții practice care demonstrează consecințele atacurilor reușite, arătând cum să aplici tehnici de atenuare și introducând utilizarea diverselor extensii și instrumente.

Participanții care participă la acest curs vor

• Înțelege conceptele de bază ale securității, securității IT și programării securizate
• Învață despre vulnerabilitățile web dincolo de primele zece din OWASP și știe cum să le evite
• Învață despre vulnerabilitățile pe partea de client și practicile de programare securizată
• Capătă o înțelegere practică a criptografiei
• Învață să folosească diverse caracteristici de securitate ale PHP
• Învață despre greșelile tipice de codare și cum să le evite
• Este informat despre vulnerabilitățile recente ale framework-ului PHP
• Capătă cunoștințe practice în utilizarea instrumentelor de testare a securității
• Primește surse și lecturi suplimentare despre practicile de programare securizată

Publicul țintă

Dezvoltatori

Cursul combinat de bază SDL oferă o perspectivă asupra proiectării, dezvoltării și testării sigure a software-ului prin intermediul Microsoft Secure Development Lifecycle (SDL). Acesta oferă o prezentare de nivel 100 a elementelor fundamentale ale SDL, urmată de tehnici de proiectare pentru a detecta și repara defecte în etapele timpurii ale procesului de dezvoltare.

Acoperind faza de dezvoltare, cursul oferă o prezentare generală a bug-urilor de programare relevante pentru securitate, atât pentru codul gestionat, cât și pentru cel nativ. Sunt prezentate metode de atac pentru vulnerabilitățile discutate, împreună cu tehnicile asociate de atenuare, toate explicate prin numeroase exerciții practice care oferă participanților distracție prin hacking live. Introducerea diferitelor metode de testare a securității este urmată de demonstrarea eficacității diverselor instrumente de testare. Participanții pot înțelege funcționarea acestor instrumente prin numeroase exerciții practice, aplicând instrumentele pe codul vulnerabil deja discutat.

Participanții care urmează acest curs vor

Înțelege conceptele de bază ale securității, securității IT și codificării sigure

Se familiarizează cu pașii esențiali ai Microsoft Secure Development Lifecycle

Învață practici de proiectare și dezvoltare sigură

Învață despre principiile de implementare sigură

Înțelege metodologia de testare a securității

• Obține surse și lecturi suplimentare despre practicile de codificare sigură

Publicul țintă

Dezvoltatori, Manageri

În acest curs condus de un instructor, în direct în Muntenia, participanții vor învăța cum să formuleze strategia de securitate corectă pentru a face față provocărilor de securitate DevOps.

Acest curs în Muntenia își propune să ajute în următoarele:

1. Să ajute dezvoltatorii să stăpânească tehnicile de scriere a unui Cod Sigur
2. Să ajute testerii de software să testeze securitatea aplicației înainte de publicarea în mediul de producție
3. Să ajute arhitecții de software să înțeleagă riscurile legate de aplicații
4. Să ajute liderii de echipă să stabilească bazele de securitate pentru dezvoltatori
5. Să ajute administratorii web să configureze serverele pentru a evita configurațiile greșite

Acest curs acoperă conceptele și principiile de codare sigură în Java prin metodologia de testare a Open Web Application Security Project (OWASP). Open Web Application Security Project este o comunitate online care creează articole, metodologii, documentație, instrumente și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs acoperă conceptele și principiile de codare sigură folosind ASP.net prin metodologia de testare a Open Web Application Security Project (OWASP). OWASP este o comunitate online care creează articole, metodologii, documentații, instrumente și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs explorează caracteristicile de securitate ale framework-ului .NET și modul de securizare a aplicațiilor web.