Online nebo na místě, živé kurzy zabezpečení aplikací vedené instruktory demonstrují prostřednictvím interaktivních praktických cvičení, jak používat osvědčené bezpečnostní postupy, nástroje a techniky k identifikaci, prevenci a zmírnění zranitelností v aplikacích. Školení zabezpečení aplikací je k dispozici jako "online živé školení" nebo "na místě živé školení". Online živé školení (neboli „vzdálené živé školení“) se provádí prostřednictvím interaktivní vzdálené plochy . Živá školení na místě lze provádět lokálně v prostorách zákazníka v České republice nebo ve firemních školicích střediscích NobleProg v České republice. Zabezpečení aplikací je také známé jako AppSec. NobleProg -- Váš místní poskytovatel školení
Toto živé školení vedené instruktorem v České republice (online nebo na místě) je zaměřeno na středně pokročilé až pokročilé vývojáře, kteří chtějí porozumět a aplikovat postupy bezpečného kódování, identifikovat bezpečnostní rizika v softwaru a implementovat obranu proti kybernetickým hrozbám. Na konci tohoto školení budou účastníci schopni:
Seznamte se s běžnými bezpečnostními chybami ve webových a softwarových aplikacích.
Analyzujte bezpečnostní hrozby a zneužívání technik používaných útočníky.
Implementujte postupy bezpečného kódování ke zmírnění bezpečnostních rizik.
Použijte nástroje pro testování zabezpečení k identifikaci a opravě zranitelností.
Android je otevřená platforma pro mobilní zařízení, jako jsou telefony a tablety. Má širokou škálu bezpečnostních funkcí, které usnadňují vývoj bezpečného softwaru; postrádá však také určité bezpečnostní aspekty, které jsou přítomny na jiných ručních platformách. Kurz poskytuje komplexní přehled o těchto funkcích a poukazuje na nejkritičtější nedostatky, které je třeba si uvědomit v souvislosti se základním Linux, souborovým systémem a prostředím obecně, stejně jako s používáním oprávnění a dalších komponent vývoje softwaru pro Android. .
Jsou popsána typická bezpečnostní úskalí a zranitelnosti jak pro nativní kód, tak Java aplikace, spolu s doporučeními a osvědčenými postupy, jak se jim vyhnout a zmírnit je. V mnoha případech jsou diskutované problémy podpořeny příklady z reálného života a případovými studiemi. Nakonec uvádíme stručný přehled toho, jak používat nástroje pro testování zabezpečení k odhalení jakýchkoli programovacích chyb souvisejících se zabezpečením.
Účastníci tohoto kurzu budou
Pochopte základní koncepty zabezpečení, IT bezpečnosti a bezpečného kódování Naučte se bezpečnostní řešení pro Android Naučte se používat různé bezpečnostní funkce platformy Android Získejte informace o některých nedávných zranitelnostech v Java na Androidu Naučte se typické chyby při kódování a jak se jim vyvarovat Získejte porozumění zranitelnostem nativního kódu v systému Android Uvědomte si vážné důsledky nezabezpečeného zpracování vyrovnávací paměti v nativním kódu Porozumějte technikám ochrany architektury a jejich slabinám Získejte zdroje a další informace o postupech bezpečného kódování
Pro kompilaci kódu do rámců .NET a ASP.NET je dnes k dispozici řada programovacích jazyků. Prostředí poskytuje výkonné prostředky pro vývoj zabezpečení, ale vývojáři by měli vědět, jak aplikovat programovací techniky na úrovni architektury a kódování, aby implementovali požadovanou bezpečnostní funkcionalitu a vyhnuli se zranitelnostem nebo omezili jejich zneužití.
Cílem tohoto kurzu je naučit vývojáře prostřednictvím četných praktických cvičení, jak zabránit nedůvěryhodnému kódu v provádění privilegovaných akcí, chránit zdroje pomocí silné autentizace a autorizace, poskytovat vzdálená volání procedur, zpracovávat relace, zavádět různé implementace pro určité funkce a mnoho dalších. více. Speciální část je věnována konfiguraci a posílení bezpečnosti prostředí .NET a ASP.NET.
Stručný úvod do základů kryptografie poskytuje společný praktický základ pro pochopení účelu a fungování různých algoritmů, na jejichž základě kurz představuje kryptografické funkce, které lze v .NET používat. Poté následuje představení některých nedávných kryptografických zranitelností týkajících se jak určitých kryptografických algoritmů a kryptografických protokolů, tak i útoků na postranní kanály.
Zavedení různých zranitelností začíná představením některých typických problémů s programováním způsobených při používání .NET, včetně kategorií chyb ověřování vstupu, zpracování chyb nebo podmínek závodu. Zvláštní pozornost je věnována XML bezpečnosti, zatímco téma zranitelností specifických pro ASP.NET se zabývá některými speciálními problémy a metodami útoků: jako je útok na ViewState nebo útoky na ukončení řetězce.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se používat různé bezpečnostní funkce vývojového prostředí .NET
Mít praktické znalosti o kryptografii
Pochopte některé nedávné útoky proti kryptosystémům
Získejte informace o některých nedávných zranitelnostech v .NET a ASP.NET
Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
Získejte zdroje a další informace o postupech bezpečného kódování
Implementace zabezpečené síťové aplikace může být obtížná, dokonce i pro vývojáře, kteří již dříve používali různé kryptografické stavební bloky (jako je šifrování a digitální podpisy). Aby účastníci pochopili roli a použití těchto kryptografických primitiv, je nejprve poskytnut pevný základ na hlavních požadavcích bezpečné komunikace – bezpečné potvrzení, integrita, důvěrnost, vzdálená identifikace a anonymita – a zároveň jsou uvedeny typické problémy, které může poškodit tyto požadavky spolu s reálnými řešeními.
Protože kritickým aspektem síťové bezpečnosti je kryptografie, jsou diskutovány také nejdůležitější kryptografické algoritmy v symetrické kryptografii, hašování, asymetrické kryptografii a klíčová dohoda. Namísto prezentace podrobného matematického pozadí jsou tyto prvky diskutovány z pohledu vývojáře a ukazují typické příklady použití a praktické úvahy související s používáním kryptoměn, jako jsou infrastruktury veřejných klíčů. Jsou představeny bezpečnostní protokoly v mnoha oblastech zabezpečené komunikace s podrobnou diskusí o nejrozšířenějších rodinách protokolů, jako jsou IPSEC a SSL/TLS.
Jsou diskutovány typické krypto zranitelnosti týkající se určitých kryptografických algoritmů a kryptografických protokolů, jako je BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE a podobně, stejně jako útok RSA načasování. V každém případě jsou u každého problému znovu popsány praktické úvahy a potenciální důsledky, aniž bychom zacházeli do hlubokých matematických detailů.
Nakonec, protože technologie XML je ústřední pro výměnu dat síťovými aplikacemi, jsou popsány bezpečnostní aspekty XML. To zahrnuje použití XML v rámci webových služeb a zpráv SOAP spolu s ochrannými opatřeními, jako je XML podpis a XML šifrování – stejně jako slabiny v těchto ochranných opatřeních a specifické bezpečnostní problémy XML, jako je XML injekce, XML útoky externí entity (XXE), XML bomby a XPath injekce.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Porozumět požadavkům bezpečné komunikace
Přečtěte si o síťových útocích a obraně na různých vrstvách OSI
Mít praktické znalosti o kryptografii
Pochopte základní bezpečnostní protokoly
Pochopte některé nedávné útoky proti kryptosystémům
Získejte informace o některých nedávných souvisejících zranitelnostech
Pochopit bezpečnostní koncepty webových služeb
Získejte zdroje a další informace o postupech bezpečného kódování
Abychom co nejlépe sloužili heterogenním vývojovým skupinám, které při své každodenní práci používají různé platformy současně, sloučili jsme různá témata do kombinovaného kurzu, který na jediné vzdělávací akci didaktickým způsobem představuje různé předměty bezpečného kódování. Tento kurz kombinuje zabezpečení platforem C/C++ a Java a poskytuje rozsáhlé odborné znalosti o bezpečném kódování napříč platformami.
Pokud jde o C/C++, jsou diskutovány běžné zranitelnosti zabezpečení podpořené praktickými cvičeními o útočných metodách, které tyto zranitelnosti využívají, se zaměřením na zmírňující techniky, které lze použít, aby se zabránilo výskytu těchto nebezpečných chyb, odhalit je před uvedením na trh. spustit nebo zabránit jejich zneužití.
Bezpečnostní komponenty a služby Java jsou diskutovány prostřednictvím prezentace různých API a nástrojů prostřednictvím řady praktických cvičení, kde mohou účastníci získat praktické zkušenosti s jejich používáním. Kurz také pokrývá otázky bezpečnosti webových služeb a souvisejících Java služeb, které lze použít k prevenci nejbolestivějších hrozeb internetových služeb. A konečně, slabá místa zabezpečení související s webem a Java jsou demonstrována pomocí snadno srozumitelných cvičení, která nejen ukazují hlavní příčinu problémů, ale také demonstrují metody útoku spolu s doporučenými technikami zmírňování a kódování, aby bylo možné vyhnout se souvisejícím bezpečnostním problémům.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Naučte se používat různé bezpečnostní funkce vývojového prostředí Java
Mít praktické znalosti o kryptografii
Uvědomte si vážné důsledky nezabezpečeného zacházení s vyrovnávací pamětí
Pochopit techniky ochrany architektury a jejich slabiny
Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
Buďte informováni o nedávných zranitelnostech v různých platformách, rámcích a knihovnách
Získejte zdroje a další informace o postupech bezpečného kódování
Migrace do cloudu přináší firmám i jednotlivcům obrovské výhody z hlediska efektivity a nákladů. Pokud jde o bezpečnost, dopady jsou poměrně různorodé, ale je všeobecně známo, že používání cloudových služeb má na bezpečnost pozitivní dopad. Názory se však mnohokrát rozcházejí i v tom, kdo je odpovědný za zajištění bezpečnosti cloudových zdrojů.
V rámci IaaS, PaaS a SaaS je nejprve diskutována bezpečnost infrastruktury: problémy s posílením a konfigurací a také různá řešení pro autentizaci a autorizaci spolu se správou identit, která by měla být jádrem veškeré architektury zabezpečení. Poté následují některé základy týkající se právních a smluvních otázek, konkrétně jak se v cloudu vytváří a řídí důvěra.
Cesta cloudovým zabezpečením pokračuje pochopením konkrétních cloudových hrozeb a cílů a motivací útočníků, stejně jako typických kroků podniknutých proti cloudovým řešením. Zvláštní pozornost je věnována také auditu cloudu a poskytování bezpečnostního hodnocení cloudových řešení na všech úrovních, včetně penetračního testování a analýzy zranitelnosti.
Předmět je zaměřen na problematiku bezpečnosti aplikací, zabývá se jak bezpečností dat, tak bezpečností aplikací samotných. Z hlediska zabezpečení aplikací se zabezpečení cloud computingu podstatně neliší od zabezpečení obecného softwaru, a proto jsou v podstatě všechny zranitelnosti uvedené v OWASP relevantní i v této doméně. Rozdíl je v souboru hrozeb a rizik, a proto je školení zakončeno výčtem různých vektorů útoků specifických pro cloud, které souvisí s předem diskutovanými slabinami.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Pochopte hlavní hrozby a rizika v cloudové doméně
Přečtěte si o základních řešeních cloudového zabezpečení
Získejte informace o důvěře a správě cloudu
Mít praktické znalosti o kryptografii
Získejte rozsáhlé znalosti v oblasti zabezpečení aplikací v cloudu
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Pochopte výzvy auditu a hodnocení bezpečnosti cloudových systémů
Naučte se, jak zabezpečit cloudové prostředí a infrastrukturu
Získejte zdroje a další informace o postupech bezpečného kódování
Tento třídenní kurz pokrývá základy zabezpečení kódu C/C++ proti uživatelům se zlými úmysly, kteří mohou zneužít mnoho zranitelností v kódu se správou paměti a manipulací se vstupy, kurz pokrývá principy psaní zabezpečeného kódu.
Dokonce ani zkušení Java programátoři neovládají všemi prostředky různé bezpečnostní služby nabízené Java a rovněž si nejsou vědomi různých zranitelností, které jsou relevantní pro webové aplikace napsané v Java.
Kurz – kromě představení bezpečnostních komponent Standard Java Edition – se zabývá bezpečnostní problematikou Java Enterprise Edition (JEE) a webových služeb. Diskusi o konkrétních službách předchází základy kryptografie a bezpečné komunikace. Různá cvičení se zabývají deklarativními a programovými bezpečnostními technikami v JEE, přičemž je diskutována jak transportní vrstva, tak end-to-end zabezpečení webových služeb. Využití všech komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet diskutovaná API a nástroje.
Kurz také prochází a vysvětluje nejčastější a nejzávažnější chyby programování jazyka a platformy Java a zranitelnosti související s webem. Kromě typických chyb spáchaných Java programátory pokrývají představené bezpečnostní chyby jak problémy specifické pro daný jazyk, tak problémy vyplývající z běhového prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.
Účastníci tohoto kurzu budou
Rozumět základním konceptům bezpečnosti, IT bezpečnosti a bezpečnému kódování Naučit se zranitelnosti webu za hranicemi OWASP Top Ten a vědět, jak se jim vyhnout Rozumět konceptům zabezpečení webových služeb Naučit se používat různé bezpečnostní funkce vývojového prostředí Java Prakticky rozumět kryptografii Rozumět bezpečnostní řešení Java EE Naučte se o typických chybách kódování a jak se jim vyvarovat Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování
Dokonce ani zkušení programátoři neovládají všechny různé bezpečnostní služby nabízené jejich vývojovými platformami a nejsou si rovněž vědomi různých zranitelností, které jsou relevantní pro jejich vývoj. Tento kurz se zaměřuje na vývojáře používající oba Java a PHP a poskytuje jim základní dovednosti nezbytné k tomu, aby jejich aplikace byly odolné vůči současným útokům prostřednictvím internetu.
Úrovněmi Java bezpečnostní architektury se procházejí řešením řízení přístupu, autentizace a autorizace, zabezpečené komunikace a různých kryptografických funkcí. Jsou také zavedena různá rozhraní API, která lze použít k zabezpečení kódu v PHP, jako je OpenSSL pro kryptografii nebo HTML Purifier pro ověření vstupu. Na straně serveru jsou uvedeny osvědčené postupy pro posílení a konfiguraci operačního systému, webového kontejneru, systému souborů, serveru SQL a samotného PHP, přičemž zvláštní důraz je kladen na zabezpečení na straně klienta prostřednictvím zabezpečení. vydání JavaSkript, Ajax a HTML5.
Obecné zranitelnosti webu jsou popsány v příkladech zarovnaných do OWASP Top Ten, které ukazují různé útoky injektáže, vkládání skriptů, útoky proti zpracování relací, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Různé Java- a PHP-specifické jazykové problémy a problémy pocházející z běhového prostředí jsou představeny seskupené do standardních typů zranitelnosti chybějícího nebo nesprávného ověření vstupu, nesprávného použití bezpečnostních funkcí, nesprávného zpracování chyb a výjimek, času- a problémy související se stavem, problémy s kvalitou kódu a zranitelnosti související s mobilním kódem.
Účastníci si mohou sami vyzkoušet diskutovaná API, nástroje a efekty konfigurací, zatímco představení zranitelností je podpořeno řadou praktických cvičení demonstrujících důsledky úspěšných útoků, ukazujících, jak opravit chyby a použít zmírňující techniky. a představení používání různých rozšíření a nástrojů.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Naučte se používat různé bezpečnostní funkce vývojového prostředí Java
Mít praktické znalosti o kryptografii
Naučte se používat různé bezpečnostní funkce PHP
Pochopit bezpečnostní koncepty webových služeb
Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
Buďte informováni o nedávných zranitelnostech v rámcích a knihovnách Java a PHP
Získejte zdroje a další informace o postupech bezpečného kódování
Popis
Jazyk Java a Runtime Environment (JRE) byly navrženy tak, aby neobsahovaly nejproblematičtější běžné bezpečnostní chyby, se kterými se setkáváme v jiných jazycích, jako je C/C++. Softwaroví vývojáři a architekti by však neměli pouze vědět, jak používat různé bezpečnostní prvky prostředí Java (pozitivní zabezpečení), ale měli by si také být vědomi četných zranitelností, které jsou stále relevantní pro vývoj Java (negativní zabezpečení). .
Zavedení bezpečnostních služeb předchází stručný přehled základů kryptografie, který poskytuje společný základ pro pochopení účelu a fungování příslušných komponent. Použití těchto komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet diskutovaná API.
Kurz také prochází a vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java, přičemž pokrývá jak typické chyby spáchané Java programátory, tak problémy specifické pro jazyk a prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.
Účastníci tohoto kurzu budou
Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Prakticky porozumějte kryptografii Naučte se typické chyby při kódování a jak abyste se jim vyhnuli Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte zdroje a další informace o postupech bezpečného kódování
Popis
Kromě solidních znalostí v používání komponent Java je i pro zkušené Java programátory nezbytné mít hluboké znalosti zranitelností souvisejících s webem na straně serveru i klienta, různých zranitelností, které jsou relevantní pro webové aplikace napsané v Java. ] a důsledky různých rizik.
Obecné webové zranitelnosti jsou demonstrovány prostřednictvím prezentace příslušných útoků, zatímco doporučené kódovací techniky a metody zmírňování jsou vysvětleny v kontextu Java s nejdůležitějším cílem vyhnout se souvisejícím problémům. Kromě toho je zvláštní pozornost věnována zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScript, Ajax a HTML5.
Kurz představuje bezpečnostní komponenty Standard Java Edition, kterému předcházejí základy kryptografie, poskytující společný základ pro pochopení účelu a fungování příslušných komponent. Využití všech komponent je prezentováno prostřednictvím praktických cvičení, kde si účastníci mohou sami vyzkoušet probíraná API a nástroje.
Nakonec kurz vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java. Kromě typických chyb spáchaných Java programátory pokrývají představené bezpečnostní zranitelnosti jak problémy specifické pro daný jazyk, tak problémy vyplývající z běhového prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Naučte se používat různé bezpečnostní funkce vývojového prostředí Java
Mít praktické znalosti o kryptografii
Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
Získejte informace o některých nedávných zranitelnostech v rámci Java
Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
Získejte zdroje a další informace o postupech bezpečného kódování
Jako vývojář je vaší povinností psát neprůstřelný kód.
Co kdybychom vám řekli, že navzdory veškerému vašemu úsilí je kód, který jste psal celou svou kariéru, plný slabin, o kterých jste ani netušili? Co když se při čtení tohoto článku hackeři pokusili proniknout do vašeho kódu? Jaká je pravděpodobnost, že uspějí? Co kdyby mohli ukrást vaši databázi a prodat ji na černém trhu?
Tento kurz zabezpečení webových aplikací změní způsob, jakým se díváte na kód. Praktický trénink, během kterého vás naučíme všechny triky útočníků a jak je zmírnit, takže ve vás nezbude nic jiného než touha dozvědět se více.
Je na vás, abyste byli napřed před smečkou a byli vnímáni jako hráč, který mění hru v boji proti kyberzločinu.
Zúčastnění delegáti:
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Přečtěte si o Node.js zabezpečení
Přečtěte si o zabezpečení MongoDB
Mít praktické znalosti o kryptografii
Pochopte základní bezpečnostní protokoly
Pochopit bezpečnostní koncepty webových služeb
Přečtěte si o zabezpečení JSON
Získejte praktické znalosti o používání technik a nástrojů bezpečnostního testování
Naučte se, jak zacházet se zranitelnostmi v používaných platformách, rámcích a knihovnách
Získejte zdroje a další informace o postupech bezpečného kódování
Pro kompilaci kódu do rámců .NET a ASP.NET je dnes k dispozici řada programovacích jazyků. Prostředí poskytuje výkonné prostředky pro vývoj zabezpečení, ale vývojáři by měli vědět, jak aplikovat programovací techniky na úrovni architektury a kódování, aby implementovali požadovanou bezpečnostní funkcionalitu a vyhnuli se zranitelnostem nebo omezili jejich zneužití.
Cílem tohoto kurzu je naučit vývojáře prostřednictvím četných praktických cvičení, jak zabránit nedůvěryhodnému kódu v provádění privilegovaných akcí, chránit zdroje pomocí silné autentizace a autorizace, poskytovat vzdálená volání procedur, zpracovávat relace, zavádět různé implementace pro určité funkce a mnoho dalších. více.
Představení různých zranitelností začíná představením některých typických programovacích problémů způsobených při používání .NET, zatímco diskuse o zranitelnostech ASP.NET se také zabývá různými nastaveními prostředí a jejich účinky. A konečně, téma zranitelností specifických pro ASP.NET se nezabývá pouze některými obecnými bezpečnostními výzvami webových aplikací, ale také speciálními problémy a metodami útoků, jako je útok na ViewState nebo útoky na ukončení řetězce.
Účastníci tohoto kurzu budou
Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se používat různé bezpečnostní funkce vývojového prostředí .NET Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Seznamte se s typickým kódováním chyby a jak se jim vyvarovat Získejte informace o některých nedávných zranitelnostech v .NET a ASP.NET Získejte zdroje a další informace o postupech bezpečného kódování
Kromě solidních znalostí v používání různých bezpečnostních funkcí .NET a ASP.NET je i pro zkušené programátory nezbytné mít hluboké znalosti o zranitelnostech souvisejících s webem jak na straně serveru, tak na straně klienta spolu s důsledky různých rizik.
V tomto kurzu jsou demonstrovány obecné webové zranitelnosti prostřednictvím prezentace relevantních útoků, zatímco doporučené kódovací techniky a metody zmírnění jsou vysvětleny v kontextu ASP.NET. Zvláštní důraz je kladen na zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScript, Ajax a HTML5.
Kurz se také zabývá architekturou zabezpečení a komponentami frameworku .NET, včetně řízení přístupu založeného na kódu a rolích, mechanismů deklarace oprávnění a kontroly a modelu transparentnosti. Stručný úvod do základů kryptografie poskytuje společný praktický základ pro pochopení účelu a fungování různých algoritmů, na jejichž základě kurz představuje kryptografické funkce, které lze v .NET používat.
Zavedení různých bezpečnostních chyb sleduje dobře zavedené kategorie zranitelnosti, řeší ověřování vstupu, bezpečnostní funkce, zpracování chyb, problémy související s časem a stavem, skupinu obecných problémů s kvalitou kódu a speciální sekci o zranitelnostech specifických pro ASP.NET. . Tato témata jsou zakončena přehledem testovacích nástrojů, které lze použít k automatickému odhalení některých naučených chyb.
Témata jsou prezentována prostřednictvím praktických cvičení, kde si účastníci mohou sami vyzkoušet důsledky určitých zranitelností, zmírnění a také diskutovaná API a nástroje.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Naučte se používat různé bezpečnostní funkce vývojového prostředí .NET
Mít praktické znalosti o kryptografii
Získejte informace o některých nedávných zranitelnostech v .NET a ASP.NET
Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
Získejte zdroje a další informace o postupech bezpečného kódování
Kurz představuje některé společné pojmy bezpečnosti, poskytuje přehled o povaze zranitelností bez ohledu na používané programovací jazyky a platformy a vysvětluje, jak se vypořádat s riziky, které se týkají bezpečnosti softwaru v různých fázích životního cyklu vývoje softwaru. Bez hloubky do technických detailů, zdůrazňuje některé z nejzajímavějších a nejzajímavějších zranitelností v různých technologiích vývoje softwaru, a představuje výzvy bezpečnostních testů, spolu s některými technikami a nástroji, které lze použít k nalezení jakýchkoliv stávajících problémů v jejich kódu.
Účastníci tohoto kurzu budou
Pochopte základní pojmy bezpečnosti, IT bezpečnosti a bezpečného kódování
Rozumět webovým zranitelnostem jak na serveru, tak na straně klienta
Uvědomte si závažné důsledky nejistého bufferového nakládání
Buďte informováni o některých nedávných zranitelnostech v rozvojových prostředí a rámcích
Naučte se typické chyby kódování a jak se jich vyhnout
Pochopte bezpečnostní testovací přístupy a metodiky
Kurz poskytuje základní dovednosti pro PHP vývojáře potřebné k tomu, aby jejich aplikace byly odolné vůči současným útokům prostřednictvím internetu. Webové zranitelnosti jsou diskutovány prostřednictvím příkladů založených na PHP, které přesahují první desítku OWASP, řeší různé injekční útoky, vkládání skriptů, útoky proti zpracování relací PHP, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Zranitelnosti související s PHP jsou představeny seskupené do standardních typů zranitelnosti chybějící nebo nesprávné ověření vstupu, nesprávné zpracování chyb a výjimek, nesprávné použití bezpečnostních funkcí a problémy související s časem a stavem. V tomto případě diskutujeme o útocích, jako je obcházení open_basedir, denial-of-service prostřednictvím magic float nebo útok na kolize hashovací tabulky. Ve všech případech se účastníci seznámí s nejdůležitějšími technikami a funkcemi, které mají být použity ke zmírnění podřízených rizik.
Zvláštní důraz je kladen na zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScriptu, Ajaxu a HTML5. Byla zavedena řada rozšíření PHP souvisejících se zabezpečením, jako je hash, mcrypt a OpenSSL pro kryptografii nebo Ctype, ext/filter a HTML Purifier pro ověření vstupu. Nejlepší hardening postupy jsou uvedeny v souvislosti s PHP konfigurací (nastavení php.ini), Apache a serveru obecně. Nakonec je uveden přehled různých nástrojů a technik pro testování zabezpečení, které mohou vývojáři a testeři používat, včetně bezpečnostních skenerů, penetračních testů a balíčků exploitů, snifferů, proxy serverů, fuzzing nástrojů a analyzátorů statického zdrojového kódu.
Zavedení zranitelností i konfigurační postupy jsou podpořeny řadou praktických cvičení demonstrujících důsledky úspěšných útoků, ukazujících, jak aplikovat zmírňující techniky a zavádějících použití různých rozšíření a nástrojů.
Účastníci tohoto kurzu budou
Porozumět základním konceptům zabezpečení, bezpečnosti IT a bezpečnému kódování Naučte se zranitelnosti webu nad rámec OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Prakticky porozumějte kryptografii Naučte se používat různé bezpečnostní funkce PHP Naučte se o typických chybách kódování a jak se jim vyvarovat Buďte informováni o nedávných zranitelnostech rámce PHP Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování
The Combined SDL core training gives an insight into secure software design, development and testing through Microsoft Secure Development Lifecycle (SDL). It provides a level 100 overview of the fundamental building blocks of SDL, followed by design techniques to apply to detect and fix flaws in early stages of the development process.
Dealing with the development phase, the course gives an overview of the typical security relevant programming bugs of both managed and native code. Attack methods are presented for the discussed vulnerabilities along with the associated mitigation techniques, all explained through a number of hands-on exercises providing live hacking fun for the participants. Introduction of different security testing methods is followed by demonstrating the effectiveness of various testing tools. Participants can understand the operation of these tools through a number of practical exercises by applying the tools to the already discussed vulnerable code.
Participants attending this course will
Understand basic concepts of security, IT security and secure coding
Get known to the essential steps of Microsoft Secure Development Lifecycle
Learn secure design and development practices
Learn about secure implementation principles
Understand security testing methodology
Get sources and further readings on secure coding practices
Poté, co se účastníci seznámí se zranitelnostmi a metodami útoků, seznámí se s obecným přístupem a metodikou testování zabezpečení a technikami, které lze použít k odhalení konkrétních zranitelností. Testování zabezpečení by mělo začít shromažďováním informací o systému (ToC, tj. Cíl hodnocení), poté by důkladné modelování hrozeb mělo odhalit a ohodnotit všechny hrozby a dospět k nejvhodnějšímu plánu testování založenému na analýze rizik.
Hodnocení zabezpečení může probíhat v různých krocích SDLC, a proto diskutujeme o přezkoumání návrhu, kontrole kódu, průzkumu a shromažďování informací o systému, testování implementace a testování a posílení prostředí pro bezpečné nasazení. Mnoho technik testování zabezpečení je podrobně představeno, jako je analýza skvrn a heuristická kontrola kódu, analýza statického kódu, dynamické testování zranitelnosti webu nebo fuzzing. Jsou představeny různé typy nástrojů, které lze použít k automatizaci hodnocení bezpečnosti softwarových produktů, což je také podpořeno řadou cvičení, kde tyto nástroje provádíme k analýze již diskutovaného zranitelného kódu. Mnoho případových studií ze skutečného života podporuje lepší pochopení různých zranitelností.
Tento kurz připravuje testery a pracovníky kontroly kvality na adekvátní plánování a přesné provádění bezpečnostních testů, výběr a používání nejvhodnějších nástrojů a technik k nalezení i skrytých bezpečnostních nedostatků, a poskytuje tak základní praktické dovednosti, které lze aplikovat následující pracovní den.
Účastníci tohoto kurzu budou
Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Pochopte přístupy a metodiky testování zabezpečení Získejte praktické znalosti o používání technik testování zabezpečení a nástroje Získejte zdroje a další informace o postupech bezpečného kódování
Ochrana aplikací, které jsou přístupné přes web, vyžaduje dobře připraveného bezpečnostního profesionála, který je vždy obeznámen s aktuálními metodami a trendem útoků. Existuje nepřeberné množství technologií a prostředí, které umožňují pohodlný vývoj webových aplikací. Člověk by si neměl být vědom pouze bezpečnostních problémů souvisejících s těmito platformami, ale také všech obecných zranitelností, které platí bez ohledu na použité vývojové nástroje.
Kurz poskytuje přehled použitelných bezpečnostních řešení ve webových aplikacích se zvláštním zaměřením na pochopení nejdůležitějších kryptografických řešení, která mají být aplikována. Různé zranitelnosti webových aplikací jsou prezentovány jak na straně serveru (po OWASP Top Ten), tak na straně klienta, demonstrovány prostřednictvím příslušných útoků a následovány doporučenými kódovacími technikami a metodami zmírnění, aby se předešlo souvisejícím problémům. Téma bezpečného kódování je uzavřeno diskusí o některých typických chybách programování souvisejících se zabezpečením v oblasti ověřování vstupu, nesprávného použití bezpečnostních prvků a kvality kódu.
Testování hraje velmi důležitou roli při zajišťování bezpečnosti a robustnosti webových aplikací. K nalezení zranitelností různých typů lze použít různé přístupy – od auditu na vysoké úrovni přes penetrační testování až po etické hackování. Pokud však chcete jít nad rámec snadno dostupných nízko visících plodů, bezpečnostní testování by mělo být dobře naplánováno a řádně provedeno. Pamatujte: bezpečnostní testeři by měli v ideálním případě najít všechny chyby, aby ochránili systém, zatímco protivníkům stačí najít jednu zneužitelnou zranitelnost, aby do něj pronikli.
Praktická cvičení pomohou porozumět zranitelnostem webových aplikací, programovým chybám a především technikám zmírňování, společně s praktickými zkouškami různých testovacích nástrojů od bezpečnostních skenerů, přes sniffery, proxy servery, fuzzing nástroje až po statické analyzátory zdrojového kódu. základní praktické dovednosti, které lze uplatnit následující den na pracovišti.
Účastníci tohoto kurzu budou
Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top 10 a vězte, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Prakticky porozumějte kryptografii Pochopte přístupy a metodiky testování zabezpečení Získejte praktické znalosti při používání technik a nástrojů bezpečnostního testování Být informován o nedávných zranitelnostech v různých platformách, rámcích a knihovnách Získejte zdroje a další informace o postupech bezpečného kódování
Ochrana aplikací, které jsou přístupné přes web, vyžaduje dobře připraveného bezpečnostního profesionála, který je vždy obeznámen s aktuálními metodami a trendem útoků. Existuje nepřeberné množství technologií a prostředí, které umožňují pohodlný vývoj webových aplikací (jako Java, ASP.NET nebo PHP, stejně jako Javascript nebo Ajax na straně klienta). Člověk by si neměl být vědom pouze bezpečnostních problémů souvisejících s těmito platformami, ale také všech obecných zranitelností, které platí bez ohledu na použité vývojové nástroje.
Kurz poskytuje přehled použitelných bezpečnostních řešení ve webových aplikacích se zaměřením na nejdůležitější technologie, jako je zabezpečená komunikace a webové služby, řešící jak bezpečnost na transportní vrstvě, tak komplexní bezpečnostní řešení a standardy jako Web Services Security a [ 5]. Poskytuje také stručný přehled typických programovacích chyb, především spojených s chybějící nebo nesprávnou validací vstupu.
Webové zranitelnosti jsou demonstrovány prostřednictvím prezentace příslušných útoků, zatímco jsou vysvětleny doporučené kódovací techniky a metody zmírnění, aby se předešlo souvisejícím problémům. Cvičení mohou snadno sledovat programátoři používající různé programovací jazyky, takže témata související s webovými aplikacemi lze snadno kombinovat s dalšími předměty bezpečného kódování a mohou tak efektivně uspokojit potřeby firemních vývojových skupin, které se obvykle zabývají různými jazyky a vývojovými platformami. k vývoji webových aplikací.
Účastníci tohoto kurzu budou
Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
Mít praktické znalosti o kryptografii
Pochopit bezpečnostní koncepty webových služeb
Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
Získejte zdroje a další informace o postupech bezpečného kódování
V tomto živém kurzu vedeném instruktorem v České republice se účastníci naučí, jak formulovat správnou bezpečnostní strategii, aby čelili bezpečnostní výzvě DevOps.
Toto živé školení vedené instruktorem (online nebo na místě) je zaměřeno na vývojáře, inženýry a architekty, kteří chtějí zabezpečit své webové aplikace a služby.
Na konci tohoto školení budou účastníci schopni integrovat, testovat, chránit a analyzovat své webové aplikace a služby pomocí testovacího rámce a nástrojů OWASP.
Tento kurz pokrývá koncepty a principy bezpečného kódování v Javě prostřednictvím metodologie testování Open Web Application Security Project (OWASP). Open Web Application Security Project je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologie v oblasti bezpečnosti webových aplikací.
Tento kurz pokrývá koncepty a principy bezpečného kódování s ASP.net prostřednictvím metodologie testování Open Web Application Security Project (OWASP), OWASP je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologií v oblasti bezpečnosti webových aplikací.
Tento kurz se zabývá bezpečnostními funkcemi Dot Net Framework a jak zabezpečit webové aplikace.
Popis:
Tento kurz poskytne účastníkům důkladné pochopení bezpečnostních konceptů, konceptů webových aplikací a rámců používaných vývojáři, aby byli schopni využívat a chránit cílené aplikace. To se v dnešním světě rychle mění a tím pádem i všechny používané technologie se mění rychlým tempem, webové aplikace jsou vystaveny útokům hackerů 24/7. Abychom ochránili aplikace před vnějšími útočníky, musíme znát všechny části, které tvoří webovou aplikaci, jako jsou frameworky, jazyky a technologie používané při vývoji webových aplikací a mnohem více. Problém je v tom, že útočník musí znát pouze jeden způsob, jak se do aplikace dostat, a vývojář (nebo správce systému) musí znát všechny možné exploity, aby tomu zabránil. Z tohoto důvodu je opravdu obtížné mít neprůstřelně zabezpečenou webovou aplikaci a ve většině případů je webová aplikace něčím zranitelná. Toho pravidelně využívají počítačoví zločinci a příležitostní hackeři a lze to minimalizovat správným plánováním, vývojem, testováním a konfigurací webových aplikací.
Cíle:
Abychom vám poskytli dovednosti a znalosti potřebné k pochopení a identifikaci možných zneužití v živých webových aplikacích a ke zneužití zjištěných zranitelností. Díky znalostem získaným ve fázi identifikace a využívání byste měli být schopni chránit webovou aplikaci před podobnými útoky. Po tomto kurzu bude účastník schopen porozumět a identifikovat OWASP 10 hlavních zranitelností a začlenit tyto znalosti do schématu ochrany webových aplikací.
Publikum:
Vývojáři, policisté a další pracovníci donucovacích orgánů, obranný a vojenský personál, odborníci na bezpečnost elektronického obchodu, správci systémů, bankovnictví, pojišťovnictví a další odborníci, vládní agentury, IT manažeři, CISO, CTO.
Read more...
Last Updated:
Reference (18)
Více příkladů pro každý modul a skvělé znalosti školitele.
Sebastian - BRD
Kurz - Secure Developer Java (Inc OWASP)
Machine Translated
Module3 Applications Attacks and Exploits, XSS, SQL injection Module4 Servers Attacks and Exploits, DOS, BOF
Tshifhiwa - Vodacom
Kurz - How to Write Secure Code
Machine Translated
Azure web security, bylo to víc, co jsem očekával, penetrační testování, které bych ve své práci nikdy neudělal
Toby
Kurz - Application Security in the Cloud
Machine Translated
Obecné informace o kurzu
Paulo Gouveia - EID
Kurz - C/C++ Secure Coding
Machine Translated
Real-life examples.
Kristoffer Opdahl - Buypass AS
Kurz - Web Security with the OWASP Testing Framework
The trainer's subject knowledge was excellent, and the way the sessions were set out so that the audience could follow along with the demonstrations really helped to cement that knowledge, compared to just sitting and listening.
Jack Allan - RSM UK Management Ltd.
Kurz - Secure Developer .NET (Inc OWASP)
Nothing it was perfect.
Zola Madolo - Vodacom
Kurz - Android Security
The labs
Katekani Nkuna - Vodacom
Kurz - The Secure Coding Landscape
Trainer willing to answer questions and give bunch of examples for us to learn.
Eldrick Ricamara - Human Edge Software Philippines, Inc. (part of Tribal Group)
Kurz - Security Testing
It opens up a lot and gives lots of insight what security
Nolbabalo Tshotsho - Vodacom SA
Kurz - Advanced Java Security
Acceptance and cooperation of the coach to give the best thing
Nayef Hamouda - PSO
Kurz - WEBAP - Web Application Security
Spousta informací velmi dobře vysvětlených. Příklady, zajímavá cvičení. Trenér nám ukázal své reálné zkušenosti.
Gergely Batho - GE Medical Systems Polska Sp. Z O.O.
Kurz - Application Security for Developers
Machine Translated
The explanations of how the most common attacks happen against web applications.
Jacob Fisher - Mikron SA Boudry
Kurz - Advanced C#, ASP.NET and Web Application Security
Trainers command in his field
Adnan ul Husnain Hashmi - TDM GROUP
Kurz - Web Application Security
I was benefit from the exercises (SQL injection, XSS, CRSF. .).
David Lemoine - Statistical Solutions
Kurz - .NET, C# and ASP.NET Security Development
I genuinely liked the real world scenarios.
Michail Alvanos
Kurz - Java and Web Application Security
The subject of the course was very interesting and gave us many ideas.
Anastasios Manios
Kurz - Secure coding in PHP
I liked the trainer was passionate about the subject and very convincing too.
Diana Vladulescu
Kurz - Secure Web Application Development and Testing
