Application Security Školení v Prague

Toto živé školení vedené instruktorem v Prague (online nebo na místě) je zaměřeno na středně pokročilé až pokročilé vývojáře, kteří chtějí porozumět a aplikovat postupy bezpečného kódování, identifikovat bezpečnostní rizika v softwaru a implementovat obranu proti kybernetickým hrozbám.

Na konci tohoto školení budou účastníci schopni:

• Seznamte se s běžnými bezpečnostními chybami ve webových a softwarových aplikacích.
• Analyzujte bezpečnostní hrozby a zneužívání technik používaných útočníky.
• Implementujte postupy bezpečného kódování ke zmírnění bezpečnostních rizik.
• Použijte nástroje pro testování zabezpečení k identifikaci a opravě zranitelností.

Certifikace EC-Council Certified DevSecOps Engineer (ECDE) je praktický kurz navržený tak, aby profesionálům pomohl integrovat bezpečnost do celého životního cyklu DevOps a umožňovala jim bezpečný vývoj softwaru od plánování po nasazení.

Tento kurz vedený instruktorem (online nebo na místě) je určený pro software a DevOps profesionály střední úrovně, kteří se chtějí učit integrovat bezpečnostní praktiky do CI/CD potoků, aby zajistili dodávání bezpečného a souladného kódu.

Na konci tohoto školení budou účastníci schopni:

• Pochopit principy a praktiky DevSecOps.
• Zabezpečit každý stupeň CI/CD potoku pomocí automatizovaných nástrojů.
• Implementovat bezpečné praxe kódování a skenování zranitelností.
• Připravit se na certifikaci ECDE s praktickými laboratořemi a recenzí.

Formát kurzu

• Interaktivní přednáška a diskuse.
• Praktické použití DevSecOps nástrojů v simulovaných potocích.
• Cvičení zaměřená na bezpečné vyvíjení a nasazování.

Možnosti přizpůsobení kurzu

• Pro požadavek na přizpůsobené školení založené na pracovních postupech nebo nástrojích vašeho týmu, prosím kontaktujte nás k uspořádání.

Implementace zabezpečené síťové aplikace může být obtížná, dokonce i pro vývojáře, kteří již dříve používali různé kryptografické stavební bloky (jako je šifrování a digitální podpisy). Aby účastníci pochopili roli a použití těchto kryptografických primitiv, je nejprve poskytnut pevný základ na hlavních požadavcích bezpečné komunikace – bezpečné potvrzení, integrita, důvěrnost, vzdálená identifikace a anonymita – a zároveň jsou uvedeny typické problémy, které může poškodit tyto požadavky spolu s reálnými řešeními.

Protože kritickým aspektem síťové bezpečnosti je kryptografie, jsou diskutovány také nejdůležitější kryptografické algoritmy v symetrické kryptografii, hašování, asymetrické kryptografii a klíčová dohoda. Namísto prezentace podrobného matematického pozadí jsou tyto prvky diskutovány z pohledu vývojáře a ukazují typické příklady použití a praktické úvahy související s používáním kryptoměn, jako jsou infrastruktury veřejných klíčů. Jsou představeny bezpečnostní protokoly v mnoha oblastech zabezpečené komunikace s podrobnou diskusí o nejrozšířenějších rodinách protokolů, jako jsou IPSEC a SSL/TLS.

Jsou diskutovány typické krypto zranitelnosti týkající se určitých kryptografických algoritmů a kryptografických protokolů, jako je BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE a podobně, stejně jako útok RSA načasování. V každém případě jsou u každého problému znovu popsány praktické úvahy a potenciální důsledky, aniž bychom zacházeli do hlubokých matematických detailů.

Nakonec, protože technologie XML je ústřední pro výměnu dat síťovými aplikacemi, jsou popsány bezpečnostní aspekty XML. To zahrnuje použití XML v rámci webových služeb a zpráv SOAP spolu s ochrannými opatřeními, jako je XML podpis a XML šifrování – stejně jako slabiny v těchto ochranných opatřeních a specifické bezpečnostní problémy XML, jako je XML injekce, XML útoky externí entity (XXE), XML bomby a XPath injekce.

Účastníci tohoto kurzu budou

• Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
• Porozumět požadavkům bezpečné komunikace
• Přečtěte si o síťových útocích a obraně na různých vrstvách OSI
• Mít praktické znalosti o kryptografii
• Pochopte základní bezpečnostní protokoly
• Pochopte některé nedávné útoky proti kryptosystémům
• Získejte informace o některých nedávných souvisejících zranitelnostech
• Pochopit bezpečnostní koncepty webových služeb
• Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři, profesionálové

Přijetí cloudu mění způsob, jakým jsou aplikace vytvářeny, nasazovány a spravovány — přesouvá odpovědnost mezi dodavatelem a zákazníkem a představuje cloud-native platformy (kontejnery, serverless, spravované služby), které vyžadují upravené bezpečnostní kontroly. Bezpečnost tedy musí řešit zpevňování infrastruktury, identitu a správu přístupu, ochranu dat, bezpečné vývojové praktiky a cloudu specifické hrozby.

Tato školení vedená instruktorem (online nebo na místě) je určena pro vyšší úroveň vývojářů, bezpečnostní inženýry a IT manažery, kteří si přejí získat praktické, praxi založené dovednosti ke zpevňování cloudových aplikací a jejich podporované infrastruktury, zatímco budou učeni opakovatelným kontrolám a hodnocení technikám, které odpovídají aktuálním průmyslovým rámcovým směrnicím a doporučením dodavatelů cloudových služeb.

Na konci tohoto školení budou účastníci schopni:

• Vysvětlit model sdílené odpovědnosti v cloudu a aplikovat ho na rozhodnutí týkající se bezpečnosti aplikací.
• Zpevnit cloudovou infrastrukturu (IaaS), zabezpečit platformní služby (PaaS) a hodnotit konfigurace SaaS.
• Aplikovat bezpečné kódování a OWASP založené mírněcí postupy pro cloud hostované aplikace.
• Začlenit bezpečnostní nástroje do CI/CD potoků (SAST/DAST/DAST/IAST/RASP) a přijmout shift-left praktiky.

Formát kurzu

• Interaktivní přednášky a diskuze propojené s živými ukázkami.
• Pračovní laboratoře pomocí cloud konzol, kontejnerů, serverless funkcí a CI/CD potoků.
• Praktické cvičení: bezpečné konfigurace, skenování ohrožení, simulace útoku a plánování odstraňování problémů.

Možnosti přizpůsobení kurzu

• Pro požadavek na přizpůsobené školení se prosím obraťte na nás a domluvte si to.

Tento třídenní kurz pokrývá základy zabezpečení kódu C/C++ proti uživatelům se zlými úmysly, kteří mohou zneužít mnoho zranitelností v kódu se správou paměti a manipulací se vstupy, kurz pokrývá principy psaní zabezpečeného kódu.

I zkušeným programátorům v Javě se ne vždy daří zvládnout všechny bezpečnostní služby nabízené touto platformou, stejně tak často neznají různá zranitelná místa důležitá pro webové aplikace napsané v Javě.

Tento kurz – mimo zavedení bezpečnostních komponent Standardní verze Java Edition – se zabývá bezpečnostními otázkami Java Enterprise Edition (JEE) a webových služeb. Diskusi o konkrétních službách předchází základní principy kryptografie a bezpečné komunikace. Různé cvičení se věnují deklarativním a programovým bezpečnostním technikám v JEE, přičemž se probírá zabezpečení na transportní vrstvě i na koncovém bodu (end-to-end) pro webové služby. Použití všech komponent je předvedeno na několika praktických cvičeních, kde si účastníci mohou sami vyzkoušet probírané API a nástroje.

Kurz také prochází a vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java a zranitelnosti související s webem. Kromě typických chyb, které programátoři v Javě dělají, zahrnují představená bezpečnostní zranitelná místa jak specifické problémy jazyka, tak problémy vyplývající ze runtime prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány na srozumitelných cvičeních, následovaných doporučenými zásadami kódování a možnými technikami mitigace.

Účastníci tohoto kurzu budou umět

• Rozumět základním konceptům bezpečnosti, IT bezpečnosti a bezpečného kódování
• Učit se o zranitelnostech webových aplikací přesahujících OWASP Top Ten a vědět, jak se jim vyhnout
• Rozumět bezpečnostním konceptům webových služeb
• Učit se používat různé bezpečnostní funkce vývojového prostředí Javy
• Mít praktické pochopení kryptografie
• Rozumět bezpečnostním řešením Java EE
• Seznámit se s typickými chybami v kódování a naučit se jim předcházet
• Získat informace o některých nedávných zranitelnostech v rámci Javy
• Získat praktické znalosti při používání bezpečnostních testovacích nástrojů
• Získat zdroje a doporučenou literaturu ohledně praxí bezpečného kódování

Cílová skupina

Vývojáři

Dokonce ani zkušení programátoři neovládají všechny různé bezpečnostní služby nabízené jejich vývojovými platformami a nejsou si rovněž vědomi různých zranitelností, které jsou relevantní pro jejich vývoj. Tento kurz se zaměřuje na vývojáře používající oba Java a PHP a poskytuje jim základní dovednosti nezbytné k tomu, aby jejich aplikace byly odolné vůči současným útokům prostřednictvím internetu.

Úrovněmi Java bezpečnostní architektury se procházejí řešením řízení přístupu, autentizace a autorizace, zabezpečené komunikace a různých kryptografických funkcí. Jsou také zavedena různá rozhraní API, která lze použít k zabezpečení kódu v PHP, jako je OpenSSL pro kryptografii nebo HTML Purifier pro ověření vstupu. Na straně serveru jsou uvedeny osvědčené postupy pro posílení a konfiguraci operačního systému, webového kontejneru, systému souborů, serveru SQL a samotného PHP, přičemž zvláštní důraz je kladen na zabezpečení na straně klienta prostřednictvím zabezpečení. vydání JavaSkript, Ajax a HTML5.

Obecné zranitelnosti webu jsou popsány v příkladech zarovnaných do OWASP Top Ten, které ukazují různé útoky injektáže, vkládání skriptů, útoky proti zpracování relací, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Různé Java- a PHP-specifické jazykové problémy a problémy pocházející z běhového prostředí jsou představeny seskupené do standardních typů zranitelnosti chybějícího nebo nesprávného ověření vstupu, nesprávného použití bezpečnostních funkcí, nesprávného zpracování chyb a výjimek, času- a problémy související se stavem, problémy s kvalitou kódu a zranitelnosti související s mobilním kódem.

Účastníci si mohou sami vyzkoušet diskutovaná API, nástroje a efekty konfigurací, zatímco představení zranitelností je podpořeno řadou praktických cvičení demonstrujících důsledky úspěšných útoků, ukazujících, jak opravit chyby a použít zmírňující techniky. a představení používání různých rozšíření a nástrojů.

Účastníci tohoto kurzu budou

• Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
• Naučte se zranitelnosti webu za OWASP Top Ten a naučte se, jak se jim vyhnout
• Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování
• Naučte se používat různé bezpečnostní funkce vývojového prostředí Java
• Mít praktické znalosti o kryptografii
• Naučte se používat různé bezpečnostní funkce PHP
• Pochopit bezpečnostní koncepty webových služeb
• Získejte praktické znalosti o používání nástrojů pro testování zabezpečení
• Přečtěte si o typických chybách kódování a o tom, jak se jim vyhnout
• Buďte informováni o nedávných zranitelnostech v rámcích a knihovnách Java a PHP
• Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Popis

Jazyk Java a Runtime Environment (JRE) byly navrženy tak, aby byly chráněny před nejzávažnějšími běžnými bezpečnostními zranitelnostmi, které se vyskytují v jiných jazycích, jako jsou C a C++. Vývojáři softwaru a architekti by však neměli pouze vědět, jak používat různé bezpečnostní funkce prostředí Java (pozitivní zabezpečení), ale měli by být také obeznámeni s četnými zranitelnostmi, které jsou pro vývoj v Javě stále relevantní (negativní zabezpečení).

Úvodu služeb zabezpečení předchází stručný přehled základů kryptografie, který poskytuje společný základ pro pochopení účelu a fungování příslušných komponent. Použití těchto komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet probíraná API.

Kurz také probírá a vysvětluje nejčastější a nejzávažnější chyby v programování jazyka a platformy Java, a to jak typické chyby páchané programátory Javy, tak problémy specifické pro jazyk a prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí srozumitelných cvičení, jimž následují doporučené postupy kódování a možné techniky zmírnění dopadů.

Účastníci tohoto kurzu naučí se

• Pochopí základní pojmy zabezpečení, kybernetické bezpečnosti a bezpečného kódování.
• Naučí se o zranitelnostech webového prostředí mimo seznam OWASP Top Ten a budou vědět, jak se jim vyhnout.
• Naučí se používat různé bezpečnostní funkce vývojového prostředí Java.
• Získají praktické povědomí o kryptografii.
• Seznámí se s typickými chybami v kódování a naučí se, jak se jim vyhnout.
• Získají informace o některých nedávných zranitelnostech v rámci Java frameworku.
• Získají zdroje a doporučenou literaturu týkající se bezpečných postupů kódování.

Cílová skupina

Vývojáři

Účastníci kurzu, kteří ho navštěvují v Prague, budou

• Pochopit základní koncepty bezpečnosti, IT bezpečnosti a bezpečného programování
• Zjistit Web chybky mimo OWASP Top Ten a jak je vyhnout
• Zjistit klient-ská bezpečnostní díry a praktiky bezpečného kódování
• Zajistit, že budou znát používání různých funkcí bezpečnosti v Java vývojovém prostředí
• Mít praktické pochopení kryptografie
• Pochopit koncepty bezpečnosti webových služeb
• Pochopit bezpečnostní řešení Java EE
• Zjistit o typických chybách programování a jak je vyhnout
• Získat informace o některých nedávných zranitelnostech v frameworku Java
• Získat praktické znalosti používání nástrojů pro testování bezpečnosti
• Získejte zdroje a další četby o praktikách bezpečného programování

Dnes je k dispozici řada programovacích jazyků pro kompilaci kódu do frameworků .NET a ASP.NET. Toto prostředí poskytuje výkonné nástroje pro vývoj zabezpečení, ale vývojáři by měli vědět, jak aplikovat programátorské techniky na úrovni architektury a kódu, aby implementovali požadovanou funkcionalitu zabezpečení a vyhnuli se zranitelnostem nebo omezili jejich zneužití.

Cílem tohoto kurzu je naučit vývojáře prostřednictvím mnoha praktických cvičení, jak zabránit nedůvěryhodnému kódu provádět privilegované akce, chránit zdroje pomocí silné autentizace a autorizace, poskytovat vzdálené volání procedur, spravovat relace, zavést různé implementace pro určitou funkcionalitu a mnoho dalšího.

Zavádění různých zranitelností začíná prezentací typických problémů při programování, které se vyskytují při používání .NET, zatímco diskuse o zranitelnostech ASP.NET se rovněž zabývá různými nastaveními prostředí a jejich dopady. Nakonec téma specifikum zranitelností ASP.NET neřeší jen některé obecné bezpečnostní výzvy webové aplikací, ale také specifické problémy a metody útoků, jako jsou útoky na ViewState nebo útoky způsobené ukončením řetězce.

Účastníci tohoto kurzu se naučí

• Porozumět základním konceptům zabezpečení, kybernetické bezpečnosti a bezpečného programování
• Seznámit se s webovými zranitelnostmi mimo seznam OWASP Top Ten a vědět, jak se jim vyhnout
• Naučit se používat různé funkce zabezpečení vývojového prostředí .NET
• Získat praktické znalosti o používání nástrojů pro testování zabezpečení
• Seznámit se s typickými chybami při psaní kódu a jak se jim vyhnout
• Získat informace o některých nedávných zranitelnostech v .NET a ASP.NET
• Získat zdroje a další doporučenou literaturu k praxím bezpečného programování

Cílová skupina

Vývojáři

Kurz poskytuje základní dovednosti pro vývojáře PHP nezbytné k tomu, aby jejich aplikace byly odolné proti současím útokům přes Internet. Web zranitelnosti jsou diskutovány prostřednictvím ukázek na bázi PHP, které jde za vymezení OWASP Top Ten a zahrnuje různé typy injection útoků, skriptovacích injekcí, útoky proti správě relací v PHP, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Zranitelnosti související s PHP jsou prezentovány seskupeny do standardních typů zranitelností týkajících se chybějící nebo neúplné validace vstupu, špatně nastaveného zpracování chyb a výjimek, nesprávného používání bezpečnostních funkcí a problémů souvisejících s časem a stavem. Pro tyto poslední diskutujeme útoky jako open_basedir obejití, odmítnutí služby prostřednictvím magického floatu nebo útok na kolize hash tabulky. V každém případě se účastníci seznámí s nejdůležitějšími technikami a funkcemi, které je třeba použít k zmírnění uvedených rizik.

Speciální důraz je kladen na bezpečnost na straně klienta, což zahrnuje řešení bezpečnostních problémů týkajících se JavaScriptu, Ajax a HTML5. Prezentujeme řadu bezpečnostních rozšíření pro PHP jako hash, mcrypt a OpenSSL pro šifrování nebo Ctype, ext/filter a HTML Purifier pro validaci vstupu. Nejlepší postupy ztvrdění jsou prezentovány ve spojení s konfigurací PHP (nastavení php.ini), Apache a serveru obecně. Nakonec je představený přehled různých nástrojů a technik pro bezpečnostní testování, které mohou vývojáři a testerové použít, včetně bezpečnostních skenerů, penetračního testování a exploit balíčků, sniffrů, proxy serverů, fuzing nástrojů a analyzátorů statického zdrojového kódu.

Oba úvod do zranitelností i konfigurační postupy jsou podporovány řadou praktických cvičení demonstrovajících důsledky úspěšných útoků, ukazujících, jak použít techniky zmírnění a představujících různá rozšíření a nástroje.

Účastníci tohoto kurzu budou

• Pochopit základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování
• Zmocnit se webových zranitelností za hranicemi OWASP Top Ten a vědět, jak je vyhýbat
• Přijít o client-side zranitelnosti a praktické postupy pro bezpečné kódování
• Mít praktickou znalost šifrování
• Zmocnit se používání různých bezpečnostních funkcí PHP
• Přijít o běžné chyby kódování a jak je vyhýbat
• Být informováni o nedávných zranitelnostech v rámci PHP frameworku
• Zmocnit se praktické znalosti v používání bezpečnostních testovacích nástrojů
• Získat zdroje a další literaturu k bezpečnému kódování

Cílová skupina

Vývojáři

Kombinované školení Microsoft SDL core poskytuje přehled o bezpečném návrhu, vývoji a testování softwaru prostřednictvím Microsoft Secure Development Lifecycle (SDL). Poskytuje úvodní pohled na základní stavební kameny SDL, následované navrhovacími technikami pro detekci a opravu chyb v raných fázích vývojového procesu.

Pokud jde o vývojovou fázi, kurz poskytuje přehled běžných zabezpečením relevantních programovacích chyb jak spravovaného, tak nativního kódu. Jsou prezentovány útočné metody pro diskutované bezpečnostní úchyly spolu s příslušnými technikami mírnění těchto úchylí, všechny vysvětlené prostřednictvím řady praktických cvičení poskytujících živé hackerské zábavy pro účastníky. Úvod do různých metod bezpečnostního testování je následován ukázáním efektivity různých testovacích nástrojů. Účastníci si mohou tyto nástroje lépe porozumět prostřednictvím řady praktických cvičení, při kterých se nástroje aplikují na již diskutovaný kód s bezpečnostními úchyly.

Účastníci tohoto kurzu si

Porozumí základním pojmutím bezpečnosti, IT bezpečnosti a bezpečného kódování.

Poznají klíčové kroky Microsoft Secure Development Lifecycle (SDL).

Naučí se bezpečným návrhovým a vývojovým praktikám.

Naučí se zásadám bezpečného implementace.

Porozumí metodologii bezpečnostního testování.

• Získají zdroje a další četby o bezpečných praktikách kódování.

Cílová skupina

Vývojáři, Manažeři

V tomto kurzu vedeném instruktorem na místě Prague se účastníci naučí, jak formulovat správnou bezpečnostní strategii pro čelání výzvám DevOps bezpečnosti.

Tento kurz v Prague se zaměřuje na následující:

1. Pomoc vývojářům zvládnout techniky psaní bezpečného kódu
2. Pomoc otestovatelům softwaru při testování bezpečnosti aplikace před jejím nasazením do produkčního prostředí
3. Pomoc architektům softwaru pochopit rizika spojená s aplikacemi
4. Pomoc vedoucím týmům nastavit bezpečnostní základní body pro vývojáře
5. Pomoc webmasterům konfigurovat servery tak, aby se vyhnuli špatnému nastavení

Tento kurz pokrývá koncepty a principy bezpečného kódování v Javě prostřednictvím metodologie testování Open Web Application Security Project (OWASP). Open Web Application Security Project je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologie v oblasti bezpečnosti webových aplikací.

Tento kurz pokrývá koncepty a principy bezpečného kódování s ASP.net prostřednictvím metodologie testování Open Web Application Security Project (OWASP), OWASP je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologií v oblasti bezpečnosti webových aplikací.

Tento kurz se zabývá bezpečnostními funkcemi Dot Net Framework a jak zabezpečit webové aplikace.