Spojená bezpečnost JAVA, PHP a webových aplikací Počítačový Kurz

Android je otevřená platforma pro mobilní zařízení jako jsou telefony a tablety. Poskytuje široké spektrum bezpečnostních funkcí, které usnadňují vývoj zabezpečeného software; avšak chybějí na ní určité bezpečnostní aspekty přítomné jinde. Kurz poskytuje komplexní přehled těchto funkcí a ukazuje nejdůležitější nedávky, se kterými je třeba počítat vztahem k základním Linux, systému souborů a obecnému prostředí, stejně jako ohledně používání oprávnění a dalších komponent Android pro vývoj software.

Typické bezpečnostní pasti a zranitelnosti jsou popsány jak pro nativní kód, tak pro aplikace Java, spolu s doporučením a nejlepšími praxi k jejich vyhnutí a minimalizaci. V mnoha případech jsou diskutované problémy podloženy reálnými příklady a studii případů. Nakonec poskytneme krátký přehled, jak používat nástroje pro bezpečnostní testování pro odhalení jakékoli bezpečnostně relevantních chyb programování.

Účastníci tohoto kurzu získají

• Pojmutí základních konceptů bezpečnosti, IT bezpečnosti a bezpečného kódování
• Znalosti bezpečnostních řešení v Android
• Zkušenosti s používáním různých bezpečnostních funkcí platformy Android
• Informace o některých nedávných zranitelnostech v Java na Android
• Vědomosti o typických chybách kódování a jak se jimi vyhnout
• Přehled nativních zranitelností kódu v Android
• Rozumění vážných důsledků nezabezpečeného zacházení s buferem ve nativním kodu
• Pojmutí architektonických ochranných technik a jejich slabostí
• Zdroje a další četba pro bezpečné kódování

Publikum

Profesionálové

Implementace zabezpečené síťové aplikace může být obtížná, dokonce i pro vývojáře, kteří již dříve používali různé kryptografické stavební bloky (jako je šifrování a digitální podpisy). Aby účastníci pochopili roli a použití těchto kryptografických primitiv, je nejprve poskytnut pevný základ na hlavních požadavcích bezpečné komunikace – bezpečné potvrzení, integrita, důvěrnost, vzdálená identifikace a anonymita – a zároveň jsou uvedeny typické problémy, které může poškodit tyto požadavky spolu s reálnými řešeními.

Protože kritickým aspektem síťové bezpečnosti je kryptografie, jsou diskutovány také nejdůležitější kryptografické algoritmy v symetrické kryptografii, hašování, asymetrické kryptografii a klíčová dohoda. Namísto prezentace podrobného matematického pozadí jsou tyto prvky diskutovány z pohledu vývojáře a ukazují typické příklady použití a praktické úvahy související s používáním kryptoměn, jako jsou infrastruktury veřejných klíčů. Jsou představeny bezpečnostní protokoly v mnoha oblastech zabezpečené komunikace s podrobnou diskusí o nejrozšířenějších rodinách protokolů, jako jsou IPSEC a SSL/TLS.

Jsou diskutovány typické krypto zranitelnosti týkající se určitých kryptografických algoritmů a kryptografických protokolů, jako je BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE a podobně, stejně jako útok RSA načasování. V každém případě jsou u každého problému znovu popsány praktické úvahy a potenciální důsledky, aniž bychom zacházeli do hlubokých matematických detailů.

Nakonec, protože technologie XML je ústřední pro výměnu dat síťovými aplikacemi, jsou popsány bezpečnostní aspekty XML. To zahrnuje použití XML v rámci webových služeb a zpráv SOAP spolu s ochrannými opatřeními, jako je XML podpis a XML šifrování – stejně jako slabiny v těchto ochranných opatřeních a specifické bezpečnostní problémy XML, jako je XML injekce, XML útoky externí entity (XXE), XML bomby a XPath injekce.

Účastníci tohoto kurzu budou

• Rozumět základním pojmům bezpečnosti, IT bezpečnosti a bezpečného kódování
• Porozumět požadavkům bezpečné komunikace
• Přečtěte si o síťových útocích a obraně na různých vrstvách OSI
• Mít praktické znalosti o kryptografii
• Pochopte základní bezpečnostní protokoly
• Pochopte některé nedávné útoky proti kryptosystémům
• Získejte informace o některých nedávných souvisejících zranitelnostech
• Pochopit bezpečnostní koncepty webových služeb
• Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři, profesionálové

Tento třídenní kurz pokrývá základy zabezpečení kódu C/C++ proti uživatelům se zlými úmysly, kteří mohou zneužít mnoho zranitelností v kódu se správou paměti a manipulací se vstupy, kurz pokrývá principy psaní zabezpečeného kódu.

I i kvalitní Java programátoři neovládají všechny bezpečnostní služby poskytované Javou a stejně tak nejsou známkováni o různých zranitelnostech, které jsou relevantní pro webové aplikace napsané v Javě.

Tento kurz – kromě prezentace bezpečnostních komponent Standard Java Edition – se zabývá bezpečnostními otázkami týkajícími se Java Enterprise Edition (JEE) a webových služeb. Diskuse o konkrétních službách je předcházena základy kryptografie a bezpečné komunikace. Různé cvičení se zabývají deklarativními a programovacími technikami zajišťujícími bezpečnost v JEE, přičemž je diskutována jak transportní vrstva, tak koncová bezpečnost webových služeb. Využití všech komponent je prezentováno prostřednictvím několika praktických cvičení, kde se účastníci mohou vyzkoušet probrané API a nástroje sami.

Tento kurz také analyzuje a vysvětluje nejčastější a nejtěžší programovací chyby jazyka Java a platformy, a webové zranitelnosti. Kromě typických chyb spáchaných Java programátory se prezentované bezpečnostní zranitelnosti týkají jak specifických problémů jazyka, tak problémů plynoucích z běhového prostředí. Všechny zranitelnosti a relevantní útoky jsou ukázány prostřednictvím snadno srozumitelných cvičení, následovaných doporučenými pravidly programování a možnými metodami odstranění.

Účastníci tohoto kurzu budou

• Pochopí základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování
• Získají znalosti o webových zranitelnostech za rámec OWASP Top Ten a budou vědět, jak je vyhýbat
• Pochopí bezpečnostní koncepty webových služeb
• Naučí se používat různé bezpečnostní funkce v prostředí Java pro vývoj
• Získají praktickou znalost kryptografie
• Pochopí bezpečnostní řešení Java EE
• Naučí se o typických programovacích chybách a jak jim vyhýbat
• Získají informace o některých nedávných zranitelnostech v rámci Java
• Získají praktické znalosti v používání bezpečnostních testovacích nástrojů
• Získají zdroje a další četby o bezpečných praxech programování

Cílová skupina

Vývojáři

Popis

Jazyk Java a Runtime Environment (JRE) byly navrženy tak, aby neobsahovaly nejproblematičtější běžné bezpečnostní chyby, se kterými se setkáváme v jiných jazycích, jako je C/C++. Softwaroví vývojáři a architekti by však neměli pouze vědět, jak používat různé bezpečnostní prvky prostředí Java (pozitivní zabezpečení), ale měli by si také být vědomi četných zranitelností, které jsou stále relevantní pro vývoj Java (negativní zabezpečení). .

Zavedení bezpečnostních služeb předchází stručný přehled základů kryptografie, který poskytuje společný základ pro pochopení účelu a fungování příslušných komponent. Použití těchto komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet diskutovaná API.

Kurz také prochází a vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java, přičemž pokrývá jak typické chyby spáchané Java programátory, tak problémy specifické pro jazyk a prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Prakticky porozumějte kryptografii Naučte se typické chyby při kódování a jak abyste se jim vyhnuli Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Dnes je k dispozici řada programovacích jazyků, které umožňují kompilaci kódu do frameworků .NET a ASP.NET. Tento prostředí poskytuje silná zásobníka pro vývoj bezpečnosti, ale vývojáři by měli znát, jak aplikovat architektonické a kódovací techniky na implementaci požadovaných bezpečnostních funkcí a předcházet ohrožení nebo omezit jejich využívání.

Cílem tohoto kurzu je naučit vývojáře prostřednictvím mnoha praktických cvičení, jak zabránit nedůvěryhodnému kódu v provádění privilegovaných akcí, chránit zdroje silnou autentikací a autorizací, poskytovat vzdálené procedury, spravovat relace, uvést různé implementace určité funkce a mnoho dalšího.

Úvod do různých zranitelností začíná prezentací některých typických programátorských problémů, které vznikají při používání .NET, zatímco diskuse o zranitelnostech ASP.NET se zabývá také různými nastaveními prostředí a jejich dopady. Nakonec téma specifických zranitelností ASP.NET nejenom řeší některé obecné bezpečnostní výzvy webových aplikací, ale také speciální problémy a metody útoku, jako je útok na ViewState nebo string termination attacks.

Účastníci tohoto kurzu

• Pochopí základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování
• Získají znalosti o webových zranitelnostech za rámec OWASP Top Ten a budou vědět, jak je vyhnout
• Přeberou použití různých bezpečnostních funkcí vývojového prostředí .NET
• Získa praktické znalosti v oblasti používání nástrojů pro bezpečnostní testování
• Přeberou typické programátorské chyby a jak je vyhnout
• Získají informace o nedávných zranitelnostech v .NET a ASP.NET
• Získají informace o dalších zdrojích a četbě ohledně bezpečného kódování

Cílová skupina

Vývojáři

Kurzus představuje některé běžné bezpečnostní pojmy, poskytuje přehled o povaze chvatů nezávisle na použitých programovacích jazycích a platformách a vysvětluje, jak řešit rizika týkající se softwarové bezpečnosti v různých fázích životního cyklu vývoje software. Bez hlubokého zahrabaní do technických detailů zdůrazňuje některé ze zajímavějších a nejdramatičtějších chvatů ve různých technologiích softwarového vývoje a prezentuje výzvy bezpečnostního testování, spolu s některými technikami a nástroji, které lze použít k nalezení existujících problémů ve svém kódu.

Účastníci tohoto kurzusu budou

• Pojmout základní pojmy bezpečnosti, IT bezpečnosti a bezpečného kódování
• Poznát webové chvate na straně serveru i klienta
• Pojmout závažné důsledky nebezpečného zacházení s bufferem
• Být informováni o některých nedávných chvatách v vývojových prostředích a frameworkech
• Zjistit typické kódovací chyby a jak se jim vyhnout
• Pojmout přístupy a metodologie bezpečnostního testování

Publikum

Manažeři

Kurz poskytuje základní dovednosti pro vývojáře PHP nezbytné k tomu, aby jejich aplikace byly odolné proti současím útokům přes Internet. Web zranitelnosti jsou diskutovány prostřednictvím ukázek na bázi PHP, které jde za vymezení OWASP Top Ten a zahrnuje různé typy injection útoků, skriptovacích injekcí, útoky proti správě relací v PHP, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Zranitelnosti související s PHP jsou prezentovány seskupeny do standardních typů zranitelností týkajících se chybějící nebo neúplné validace vstupu, špatně nastaveného zpracování chyb a výjimek, nesprávného používání bezpečnostních funkcí a problémů souvisejících s časem a stavem. Pro tyto poslední diskutujeme útoky jako open_basedir obejití, odmítnutí služby prostřednictvím magického floatu nebo útok na kolize hash tabulky. V každém případě se účastníci seznámí s nejdůležitějšími technikami a funkcemi, které je třeba použít k zmírnění uvedených rizik.

Speciální důraz je kladen na bezpečnost na straně klienta, což zahrnuje řešení bezpečnostních problémů týkajících se JavaScriptu, Ajax a HTML5. Prezentujeme řadu bezpečnostních rozšíření pro PHP jako hash, mcrypt a OpenSSL pro šifrování nebo Ctype, ext/filter a HTML Purifier pro validaci vstupu. Nejlepší postupy ztvrdění jsou prezentovány ve spojení s konfigurací PHP (nastavení php.ini), Apache a serveru obecně. Nakonec je představený přehled různých nástrojů a technik pro bezpečnostní testování, které mohou vývojáři a testerové použít, včetně bezpečnostních skenerů, penetračního testování a exploit balíčků, sniffrů, proxy serverů, fuzing nástrojů a analyzátorů statického zdrojového kódu.

Oba úvod do zranitelností i konfigurační postupy jsou podporovány řadou praktických cvičení demonstrovajících důsledky úspěšných útoků, ukazujících, jak použít techniky zmírnění a představujících různá rozšíření a nástroje.

Účastníci tohoto kurzu budou

• Pochopit základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování
• Zmocnit se webových zranitelností za hranicemi OWASP Top Ten a vědět, jak je vyhýbat
• Přijít o client-side zranitelnosti a praktické postupy pro bezpečné kódování
• Mít praktickou znalost šifrování
• Zmocnit se používání různých bezpečnostních funkcí PHP
• Přijít o běžné chyby kódování a jak je vyhýbat
• Být informováni o nedávných zranitelnostech v rámci PHP frameworku
• Zmocnit se praktické znalosti v používání bezpečnostních testovacích nástrojů
• Získat zdroje a další literaturu k bezpečnému kódování

Cílová skupina

Vývojáři

Složené učení podle SDL základů poskytuje přehled o bezpečném návrhu, vývoji a testování prostřednictvím Microsoft Bezpečnostního životního cyklu pro vývoj (SDL). Poskytuje úroveň 100 přehled o základních stavebních bloch SDL, následovaný technikami návrhu určenými k detekci a odstraňování chyb v raných fázích procesu vývoje.

V rámci fáze vývoje kurz poskytuje přehled o typických bezpečnostních programovacích chybách jak pro spravovaný, tak nativní kód. Jsou prezentovány útoky na zmíněné zranitelnosti spolu s metodami jejich odstranění, vše toto je ilustrováno řadou praktických cvičení poskytujících živé zkušenosti s hackováním pro účastníky. Představení různých metod bezpečnostního testování následuje demonstrací efektivity různých testovacích nástrojů. Účastníci mohou pochopit fungování těchto nástrojů prostřednictvím řady praktických cvičení, když je aplikují na již uvedený zranitelný kód.

Účastníci tohoto kurzu budou schopni

Pochopit základní koncepty bezpečnosti, IT bezpečnosti a bezpečného programování

Znalost klíčových kroků Microsoft Bezpečnostního životního cyklu pro vývoj

Naučit se zásady bezpečného návrhu a vývoje

Poznat principy bezpečné implementace

Pochopit metodologii bezpečnostního testování

• Získat zdroje a další přečtení o zásadách bezpečného programování

Cílová skupina

Vývojáři, Manažeri

Poté, co se účastníci seznámí se zranitelnostmi a metodami útoků, seznámí se s obecným přístupem a metodikou testování zabezpečení a technikami, které lze použít k odhalení konkrétních zranitelností. Testování zabezpečení by mělo začít shromažďováním informací o systému (ToC, tj. Cíl hodnocení), poté by důkladné modelování hrozeb mělo odhalit a ohodnotit všechny hrozby a dospět k nejvhodnějšímu plánu testování založenému na analýze rizik.

Hodnocení zabezpečení může probíhat v různých krocích SDLC, a proto diskutujeme o přezkoumání návrhu, kontrole kódu, průzkumu a shromažďování informací o systému, testování implementace a testování a posílení prostředí pro bezpečné nasazení. Mnoho technik testování zabezpečení je podrobně představeno, jako je analýza skvrn a heuristická kontrola kódu, analýza statického kódu, dynamické testování zranitelnosti webu nebo fuzzing. Jsou představeny různé typy nástrojů, které lze použít k automatizaci hodnocení bezpečnosti softwarových produktů, což je také podpořeno řadou cvičení, kde tyto nástroje provádíme k analýze již diskutovaného zranitelného kódu. Mnoho případových studií ze skutečného života podporuje lepší pochopení různých zranitelností.

Tento kurz připravuje testery a pracovníky kontroly kvality na adekvátní plánování a přesné provádění bezpečnostních testů, výběr a používání nejvhodnějších nástrojů a technik k nalezení i skrytých bezpečnostních nedostatků, a poskytuje tak základní praktické dovednosti, které lze aplikovat následující pracovní den.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Pochopte přístupy a metodiky testování zabezpečení Získejte praktické znalosti o používání technik testování zabezpečení a nástroje Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři, testeři

Chránění aplikací přístupných prostřednictvím webu vyžaduje dobře připravené bezpečnostní odborníky, kteří jsou vždy na pozoru aktuálních útoků a trendů. Existuje mnoho technologií a prostředí, která umožňují pohodlný vývoj webových aplikací. Měli byste být nejenom vědomi bezpečnostním problémům týkajícím se těchto platform, ale také všem obecným zranitelnostem, které platí nezávisle na použitých vývojových nástrojích.

Tento kurz poskytuje přehled použitelných bezpečnostních řešení ve webových aplikacích s důrazem na pochopení nejdůležitějších kryptografických řešení, která je třeba uplatňovat. Různé zranitelnosti webových aplikací jsou prezentovány jak na straně serveru (podle OWASP Top Ten), tak na straně klienta, demonstrované příslušnými útoky a následované doporučenými programovacími technikami a metodami odstraňování problémů. Předmět bezpečného kódování je ukončen diskusí o typických programátorských chybách v oblasti ověřování vstupu, nesprávnému používání bezpečnostních funkcí a kvalitě kódu.

Testování hraje velmi důležitou roli při zajišťování bezpečnosti a robustnosti webových aplikací. Může být použito různé přístupy – od vysoce abstraktních auditů po testování pronikavosti a etického hackování – k nalezení zranitelností různých typů. Pokud však chcete jít za lehkými, snadno najitelnými chybami, bezpečnostní testování by mělo být dobře naplánováno a správně provedeno. Pamatujte: bezpečnostní testeri by ideálně měli najít všechny chyby, aby chránili systém, zatímco pro útočníky stačí najít jednu exploitovatelnou zranitelnost, aby se do něj dostali.

Praktické cvičení pomůže pochopit zranitelnosti webových aplikací, programátorské chyby a především metody odstraňování problémů, společně s praktickými zkouškami různých testovacích nástrojů – od bezpečnostních skenerů, přes čuvače, proxy serverů, fuzzing nástrojů až po analyzátory statického zdrojového kódu. Tento kurz poskytuje klíčové praktické dovednosti, které lze uplatnit již druhý den na pracovišti.

Účastníci tohoto kurzu budou

• Pochopit základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování
• Naučit se webovým zranitelnostem za OWASP Top Ten a vědět, jak je vyhnutí
• Naučit se klient-skupinovým zranitelnostem a bezpečným programovacím praktikám
• Mít praktické pochopení kryptografie
• Pochopit přístupy a metodologie testování bezpečnosti
• Získat praktickou znalost v používání technik a nástrojů testování bezpečnosti
• Být informováni o nedávných zranitelnostech v různých platformách, rámcech a knihovnách
• Získat zdroje a další četby na bezpečné programovací praktiky

Cílová skupina

Vývojáři, testéři

V tomto živém kurzu vedeném instruktorem v České republice se účastníci naučí, jak formulovat správnou bezpečnostní strategii, aby čelili bezpečnostní výzvě DevOps.

Tento kurz v České republice se zaměřuje na následující:

1. Pomoc vývojářům zvládnout techniky psaní bezpečného kódu
2. Pomoc otestovatelům softwaru při testování bezpečnosti aplikace před jejím nasazením do produkčního prostředí
3. Pomoc architektům softwaru pochopit rizika spojená s aplikacemi
4. Pomoc vedoucím týmům nastavit bezpečnostní základní body pro vývojáře
5. Pomoc webmasterům konfigurovat servery tak, aby se vyhnuli špatnému nastavení

Tento kurz pokrývá koncepty a principy bezpečného kódování v Javě prostřednictvím metodologie testování Open Web Application Security Project (OWASP). Open Web Application Security Project je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologie v oblasti bezpečnosti webových aplikací.

Tento kurz pokrývá koncepty a principy bezpečného kódování s ASP.net prostřednictvím metodologie testování Open Web Application Security Project (OWASP), OWASP je online komunita, která vytváří volně dostupné články, metodiky, dokumentaci, nástroje a technologií v oblasti bezpečnosti webových aplikací.

Tento kurz se zabývá bezpečnostními funkcemi Dot Net Framework a jak zabezpečit webové aplikace.