Secure Web Application Development and Testing Počítačový Kurz

The Combined SDL core training gives an insight into secure software design, development and testing through Microsoft Secure Development Lifecycle (SDL). It provides a level 100 overview of the fundamental building blocks of SDL, followed by design techniques to apply to detect and fix flaws in early stages of the development process.

Dealing with the development phase, the course gives an overview of the typical security relevant programming bugs of both managed and native code. Attack methods are presented for the discussed vulnerabilities along with the associated mitigation techniques, all explained through a number of hands-on exercises providing live hacking fun for the participants. Introduction of different security testing methods is followed by demonstrating the effectiveness of various testing tools. Participants can understand the operation of these tools through a number of practical exercises by applying the tools to the already discussed vulnerable code.

Participants attending this course will 

• Understand basic concepts of security, IT security and secure coding

• Get known to the essential steps of Microsoft Secure Development Lifecycle

• Learn secure design and development practices

• Learn about secure implementation principles

• Understand security testing methodology

• Get sources and further readings on secure coding practices

Audience

Developers, Managers

Tento třídenní kurz pokrývá základy zabezpečení kódu C/C++ proti uživatelům se zlými úmysly, kteří mohou zneužít mnoho zranitelností v kódu se správou paměti a manipulací se vstupy, kurz pokrývá principy psaní zabezpečeného kódu.

Popis

Jazyk Java a Runtime Environment (JRE) byly navrženy tak, aby neobsahovaly nejproblematičtější běžné bezpečnostní chyby, se kterými se setkáváme v jiných jazycích, jako je C/C++. Softwaroví vývojáři a architekti by však neměli pouze vědět, jak používat různé bezpečnostní prvky prostředí Java (pozitivní zabezpečení), ale měli by si také být vědomi četných zranitelností, které jsou stále relevantní pro vývoj Java (negativní zabezpečení). .

Zavedení bezpečnostních služeb předchází stručný přehled základů kryptografie, který poskytuje společný základ pro pochopení účelu a fungování příslušných komponent. Použití těchto komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet diskutovaná API.

Kurz také prochází a vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java, přičemž pokrývá jak typické chyby spáchané Java programátory, tak problémy specifické pro jazyk a prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Prakticky porozumějte kryptografii Naučte se typické chyby při kódování a jak abyste se jim vyhnuli Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Popis

Kromě solidních znalostí v používání komponent Java je i pro zkušené Java programátory nezbytné mít hluboké znalosti zranitelností souvisejících s webem na straně serveru i klienta, různých zranitelností, které jsou relevantní pro webové aplikace napsané v Java. ] a důsledky různých rizik.

Obecné webové zranitelnosti jsou demonstrovány prostřednictvím prezentace relevantních útoků, zatímco doporučené kódovací techniky a metody zmírnění jsou vysvětleny v kontextu Javy s nejdůležitějším cílem vyhnout se souvisejícím problémům. Kromě toho je zvláštní pozornost věnována zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScript, Ajax a HTML5.

Kurz představuje bezpečnostní komponenty Standard Java Edition, kterému předcházejí základy kryptografie, poskytující společný základ pro pochopení účelu a fungování příslušných komponent. Využití všech komponent je prezentováno prostřednictvím praktických cvičení, kde si účastníci mohou sami vyzkoušet probíraná API a nástroje.

Nakonec kurz vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java. Kromě typických chyb spáchaných Java programátory pokrývají představené bezpečnostní zranitelnosti jak problémy specifické pro daný jazyk, tak problémy vyplývající z běhového prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Praktické porozumění kryptografie Naučte se o typických chybách kódování a jak se jim vyvarovat Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování

Publikum

Vývojáři

Dokonce ani zkušení Java programátoři neovládají všemi prostředky různé bezpečnostní služby nabízené Java a rovněž si nejsou vědomi různých zranitelností, které jsou relevantní pro webové aplikace napsané v Java.

Kurz – kromě představení bezpečnostních komponent Standard Java Edition – se zabývá bezpečnostní problematikou Java Enterprise Edition (JEE) a webových služeb. Diskusi o konkrétních službách předchází základy kryptografie a bezpečné komunikace. Různá cvičení se zabývají deklarativními a programovými bezpečnostními technikami v JEE, přičemž je diskutována jak transportní vrstva, tak end-to-end zabezpečení webových služeb. Využití všech komponent je prezentováno prostřednictvím několika praktických cvičení, kde si účastníci mohou sami vyzkoušet diskutovaná API a nástroje.

Kurz také prochází a vysvětluje nejčastější a nejzávažnější chyby programování jazyka a platformy Java a zranitelnosti související s webem. Kromě typických chyb spáchaných Java programátory pokrývají představené bezpečnostní chyby jak problémy specifické pro daný jazyk, tak problémy vyplývající z běhového prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.

Účastníci tohoto kurzu budou

Rozumět základním konceptům bezpečnosti, IT bezpečnosti a bezpečnému kódování Naučit se zranitelnosti webu za hranicemi OWASP Top Ten a vědět, jak se jim vyhnout Rozumět konceptům zabezpečení webových služeb Naučit se používat různé bezpečnostní funkce vývojového prostředí Java Prakticky rozumět kryptografii Rozumět bezpečnostní řešení Java EE Naučte se o typických chybách kódování a jak se jim vyvarovat Získejte informace o některých nedávných zranitelnostech v rámci Java Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování

Publikum

Vývojáři

Kromě solidních znalostí v používání komponent Java je i pro zkušené Java programátory nezbytné mít hluboké znalosti zranitelností souvisejících s webem na straně serveru i klienta, různých zranitelností, které jsou relevantní pro webové aplikace napsané v Java. ] a důsledky různých rizik.

Obecné webové zranitelnosti jsou demonstrovány prostřednictvím prezentace relevantních útoků, zatímco doporučené kódovací techniky a metody zmírnění jsou vysvětleny v kontextu Javy s nejdůležitějším cílem vyhnout se souvisejícím problémům. Kromě toho je zvláštní pozornost věnována zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScript, Ajax a HTML5.

Kurz představuje bezpečnostní komponenty Standard Java Edition, kterému předcházejí základy kryptografie, poskytující společný základ pro pochopení účelu a fungování příslušných komponent. Bezpečnostní otázky Java Enterprise Edition jsou prezentovány prostřednictvím různých cvičení vysvětlujících jak deklarativní, tak programové bezpečnostní techniky v JEE.

Nakonec kurz vysvětluje nejčastější a nejzávažnější programátorské chyby jazyka a platformy Java. Kromě typických chyb spáchaných Java programátory pokrývají představené bezpečnostní zranitelnosti jak problémy specifické pro daný jazyk, tak problémy vyplývající z běhového prostředí. Všechny zranitelnosti a příslušné útoky jsou demonstrovány pomocí snadno srozumitelných cvičení, po kterých následují doporučené pokyny pro kódování a možné techniky zmírnění.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Praktické porozumění kryptografie Porozumět bezpečnostním konceptům webových služeb Porozumět bezpečnostním řešením Java EE Zjistěte o typických chybách kódování a jak se jim vyvarovat Zjistěte informace o některých nedávných zranitelnostech v rámci Java Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o bezpečném kódování praktiky

Publikum

Vývojáři

Pro kompilaci kódu do rámců .NET a ASP.NET je dnes k dispozici řada programovacích jazyků. Prostředí poskytuje výkonné prostředky pro vývoj zabezpečení, ale vývojáři by měli vědět, jak aplikovat programovací techniky na úrovni architektury a kódování, aby implementovali požadovanou bezpečnostní funkcionalitu a vyhnuli se zranitelnostem nebo omezili jejich zneužití.

Cílem tohoto kurzu je naučit vývojáře prostřednictvím četných praktických cvičení, jak zabránit nedůvěryhodnému kódu v provádění privilegovaných akcí, chránit zdroje pomocí silné autentizace a autorizace, poskytovat vzdálená volání procedur, zpracovávat relace, zavádět různé implementace pro určité funkce a mnoho dalších. více.

Představení různých zranitelností začíná představením některých typických programovacích problémů způsobených při používání .NET, zatímco diskuse o zranitelnostech ASP.NET se také zabývá různými nastaveními prostředí a jejich účinky. A konečně, téma zranitelností specifických pro ASP.NET se nezabývá pouze některými obecnými bezpečnostními výzvami webových aplikací, ale také speciálními problémy a metodami útoků, jako je útok na ViewState nebo útoky na ukončení řetězce.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se používat různé bezpečnostní funkce vývojového prostředí .NET Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Seznamte se s typickým kódováním chyby a jak se jim vyvarovat Získejte informace o některých nedávných zranitelnostech v .NET a ASP.NET Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Pro kompilaci kódu do rámců .NET a ASP.NET je dnes k dispozici řada programovacích jazyků. Prostředí poskytuje výkonné prostředky pro vývoj zabezpečení, ale vývojáři by měli vědět, jak aplikovat programovací techniky na úrovni architektury a kódování, aby implementovali požadovanou bezpečnostní funkcionalitu a vyhnuli se zranitelnostem nebo omezili jejich zneužití.

Cílem tohoto kurzu je naučit vývojáře prostřednictvím četných praktických cvičení, jak zabránit nedůvěryhodnému kódu v provádění privilegovaných akcí, chránit zdroje pomocí silné autentizace a autorizace, poskytovat vzdálená volání procedur, zpracovávat relace, zavádět různé implementace pro určité funkce a mnoho dalších. více. Speciální část je věnována konfiguraci a posílení bezpečnosti prostředí .NET a ASP.NET.

Stručný úvod do základů kryptografie poskytuje společný praktický základ pro pochopení účelu a fungování různých algoritmů, na jejichž základě kurz představuje kryptografické funkce, které lze v .NET používat. Poté následuje představení některých nedávných kryptografických zranitelností týkajících se jak určitých kryptografických algoritmů a kryptografických protokolů, tak i útoků na postranní kanály.

Zavedení různých zranitelností začíná představením některých typických problémů s programováním způsobených při používání .NET, včetně kategorií chyb ověřování vstupu, zpracování chyb nebo podmínek závodu. Zvláštní pozornost je věnována XML bezpečnosti, zatímco téma zranitelností specifických pro ASP.NET se zabývá některými speciálními problémy a metodami útoků: jako je útok na ViewState nebo útoky na ukončení řetězce.

Účastníci tohoto kurzu budou

Porozumět základním konceptům zabezpečení, IT bezpečnosti a bezpečnému kódování Naučit se používat různé bezpečnostní funkce vývojového prostředí .NET Prakticky rozumět kryptografii Porozumět některým nedávným útokům proti kryptosystémům Získat informace o některých nedávných zranitelnostech v .NET a ASP.NET Další informace typické chyby v kódování a jak se jim vyhnout Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování

Publikum

Vývojáři

Kromě solidních znalostí v používání různých bezpečnostních funkcí .NET a ASP.NET je i pro zkušené programátory nezbytné mít hluboké znalosti o zranitelnostech souvisejících s webem jak na straně serveru, tak na straně klienta spolu s důsledky různých rizik.

V tomto kurzu jsou demonstrovány obecné webové zranitelnosti prostřednictvím prezentace relevantních útoků, zatímco doporučené kódovací techniky a metody zmírnění jsou vysvětleny v kontextu ASP.NET. Zvláštní důraz je kladen na zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScript, Ajax a HTML5.

Kurz se také zabývá architekturou zabezpečení a komponentami frameworku .NET, včetně řízení přístupu založeného na kódu a rolích, mechanismů deklarace oprávnění a kontroly a modelu transparentnosti. Stručný úvod do základů kryptografie poskytuje společný praktický základ pro pochopení účelu a fungování různých algoritmů, na jejichž základě kurz představuje kryptografické funkce, které lze v .NET používat.

Zavedení různých bezpečnostních chyb sleduje dobře zavedené kategorie zranitelnosti, řeší ověřování vstupu, bezpečnostní funkce, zpracování chyb, problémy související s časem a stavem, skupinu obecných problémů s kvalitou kódu a speciální sekci o zranitelnostech specifických pro ASP.NET. . Tato témata jsou zakončena přehledem testovacích nástrojů, které lze použít k automatickému odhalení některých naučených chyb.

Témata jsou prezentována prostřednictvím praktických cvičení, kde si účastníci mohou sami vyzkoušet důsledky určitých zranitelností, zmírnění a také diskutovaná API a nástroje.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a vězte, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Naučte se používat různé bezpečnostní funkce vývojového prostředí .NET Praktický porozumění kryptografii Získejte informace o některých nedávných zranitelnostech v .NET a ASP.NET Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Zjistěte o typických chybách kódování a jak se jim vyvarovat Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Ochrana aplikací, které jsou přístupné přes web, vyžaduje dobře připraveného bezpečnostního profesionála, který je vždy obeznámen s aktuálními metodami a trendem útoků. Existuje nepřeberné množství technologií a prostředí, které umožňují pohodlný vývoj webových aplikací (jako Java, ASP.NET nebo PHP, stejně jako Javascript nebo Ajax na straně klienta). Člověk by si neměl být vědom pouze bezpečnostních problémů souvisejících s těmito platformami, ale také všech obecných zranitelností, které platí bez ohledu na použité vývojové nástroje.

Kurz poskytuje přehled použitelných bezpečnostních řešení ve webových aplikacích se zaměřením na nejdůležitější technologie, jako je zabezpečená komunikace a webové služby, řešící jak bezpečnost na transportní vrstvě, tak komplexní bezpečnostní řešení a standardy jako Web Services Security a [5 ]. Poskytuje také stručný přehled typických chyb programování, především spojených s chybějícím nebo nesprávným ověřením vstupu.

Webové zranitelnosti jsou demonstrovány prostřednictvím prezentace příslušných útoků, zatímco jsou vysvětleny doporučené kódovací techniky a metody zmírnění, aby se předešlo souvisejícím problémům. Cvičení mohou snadno sledovat programátoři používající různé programovací jazyky, takže témata související s webovými aplikacemi lze snadno kombinovat s dalšími předměty bezpečného kódování a mohou tak efektivně uspokojit potřeby firemních vývojových skupin, které se obvykle zabývají různými jazyky a vývojovými platformami. k vývoji webových aplikací.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top 10 a vězte, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Prakticky rozumějte kryptografii Rozumějte bezpečnostním konceptům webových služeb Získejte praktické znalosti při používání nástrojů pro testování zabezpečení Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Poté, co se účastníci seznámí se zranitelnostmi a metodami útoků, seznámí se s obecným přístupem a metodikou testování zabezpečení a technikami, které lze použít k odhalení konkrétních zranitelností. Testování zabezpečení by mělo začít shromažďováním informací o systému (ToC, tj. Cíl hodnocení), poté by důkladné modelování hrozeb mělo odhalit a ohodnotit všechny hrozby a dospět k nejvhodnějšímu plánu testování založenému na analýze rizik.

Hodnocení zabezpečení může probíhat v různých krocích SDLC, a proto diskutujeme o přezkoumání návrhu, kontrole kódu, průzkumu a shromažďování informací o systému, testování implementace a testování a posílení prostředí pro bezpečné nasazení. Mnoho technik testování zabezpečení je podrobně představeno, jako je analýza skvrn a heuristická kontrola kódu, analýza statického kódu, dynamické testování zranitelnosti webu nebo fuzzing. Jsou představeny různé typy nástrojů, které lze použít k automatizaci hodnocení bezpečnosti softwarových produktů, což je také podpořeno řadou cvičení, kde tyto nástroje provádíme k analýze již diskutovaného zranitelného kódu. Mnoho případových studií ze skutečného života podporuje lepší pochopení různých zranitelností.

Tento kurz připravuje testery a pracovníky kontroly kvality na adekvátní plánování a přesné provádění bezpečnostních testů, výběr a používání nejvhodnějších nástrojů a technik k nalezení i skrytých bezpečnostních nedostatků, a poskytuje tak základní praktické dovednosti, které lze aplikovat následující pracovní den.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Pochopte přístupy a metodiky testování zabezpečení Získejte praktické znalosti o používání technik testování zabezpečení a nástroje Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři, testeři

Kurz poskytuje základní dovednosti pro PHP vývojáře potřebné k tomu, aby jejich aplikace byly odolné vůči současným útokům prostřednictvím internetu. Webové zranitelnosti jsou diskutovány prostřednictvím příkladů založených na PHP, které přesahují první desítku OWASP, řeší různé injekční útoky, vkládání skriptů, útoky proti zpracování relací PHP, nezabezpečené přímé odkazy na objekty, problémy s nahráváním souborů a mnoho dalších. Zranitelnosti související s PHP jsou představeny seskupené do standardních typů zranitelnosti chybějící nebo nesprávné ověření vstupu, nesprávné zpracování chyb a výjimek, nesprávné použití bezpečnostních funkcí a problémy související s časem a stavem. V tomto případě diskutujeme o útocích, jako je obcházení open_basedir, denial-of-service prostřednictvím magic float nebo útok na kolize hashovací tabulky. Ve všech případech se účastníci seznámí s nejdůležitějšími technikami a funkcemi, které mají být použity ke zmírnění podřízených rizik.

Zvláštní důraz je kladen na zabezpečení na straně klienta, které řeší bezpečnostní problémy JavaScriptu, Ajaxu a HTML5. Byla zavedena řada rozšíření PHP souvisejících se zabezpečením, jako je hash, mcrypt a OpenSSL pro kryptografii nebo Ctype, ext/filter a HTML Purifier pro ověření vstupu. Nejlepší hardening postupy jsou uvedeny v souvislosti s PHP konfigurací (nastavení php.ini), Apache a serveru obecně. Nakonec je uveden přehled různých nástrojů a technik pro testování zabezpečení, které mohou vývojáři a testeři používat, včetně bezpečnostních skenerů, penetračních testů a balíčků exploitů, snifferů, proxy serverů, fuzzing nástrojů a analyzátorů statického zdrojového kódu.

Zavedení zranitelností i konfigurační postupy jsou podpořeny řadou praktických cvičení demonstrujících důsledky úspěšných útoků, ukazujících, jak aplikovat zmírňující techniky a zavádějících použití různých rozšíření a nástrojů.

Účastníci tohoto kurzu budou

Porozumět základním konceptům zabezpečení, bezpečnosti IT a bezpečnému kódování Naučte se zranitelnosti webu nad rámec OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Prakticky porozumějte kryptografii Naučte se používat různé bezpečnostní funkce PHP Naučte se o typických chybách kódování a jak se jim vyvarovat Buďte informováni o nedávných zranitelnostech rámce PHP Získejte praktické znalosti o používání nástrojů pro testování zabezpečení Získejte zdroje a další čtení o postupech bezpečného kódování

Publikum

Vývojáři

Abychom co nejlépe sloužili heterogenním vývojovým skupinám, které při své každodenní práci používají různé platformy současně, sloučili jsme různá témata do kombinovaného kurzu, který na jediné školicí akci didakticky představuje různé předměty bezpečného kódování. Tento kurz kombinuje zabezpečení platformy C/C++ a Java a poskytuje rozsáhlé odborné znalosti o bezpečném kódování napříč platformami.

Pokud jde o C/C++, diskutuje se o běžných bezpečnostních zranitelnostech podpořených praktickými cvičeními o útočných metodách, které tyto zranitelnosti využívají, se zaměřením na zmírňující techniky, které lze použít, aby se zabránilo výskytu těchto nebezpečných chyb, odhalit je před uvedením na trh. spustit nebo zabránit jejich zneužití.

Bezpečnostní komponenty a služby Java jsou diskutovány prostřednictvím prezentace různých API a nástrojů prostřednictvím řady praktických cvičení, kde mohou účastníci získat praktické zkušenosti s jejich používáním. Kurz také pokrývá otázky bezpečnosti webových služeb a souvisejících Java služeb, které lze použít k prevenci nejbolestivějších hrozeb internetových služeb. A konečně, slabá místa zabezpečení související s webem a Java jsou demonstrována pomocí snadno srozumitelných cvičení, která nejen ukazují hlavní příčinu problémů, ale také demonstrují metody útoku spolu s doporučenými technikami zmírňování a kódování, aby bylo možné vyhnout se souvisejícím bezpečnostním problémům.

Účastníci tohoto kurzu budou

Pochopte základní koncepty bezpečnosti, IT bezpečnosti a bezpečného kódování Naučte se zranitelnosti webu za hranicemi OWASP Top Ten a naučte se, jak se jim vyhnout Naučte se zranitelnosti na straně klienta a postupy bezpečného kódování Naučte se používat různé bezpečnostní funkce vývojového prostředí Java Praktické porozumění kryptografie Uvědomte si vážné důsledky manipulace s nezabezpečenou vyrovnávací pamětí Porozumějte technikám ochrany architektury a jejich slabým stránkám Naučte se o typických chybách kódování a jak se jim vyvarovat Buďte informováni o nedávných zranitelnostech v různých platformách, rámcích a knihovnách Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Vývojáři

Dokonce i zkušení programátoři neumí zvládnout různé bezpečnostní služby, které nabízejí jejich vývojové platformy, a také si nejsou vědomi různých zranitelností, které jsou relevantní pro jejich vývoj. Tento kurz je zaměřen na vývojáře, kteří používají oba Java a PHP, poskytují jim základní dovednosti potřebné k tomu, aby jejich aplikace odolné vůči současným útokům prostřednictvím internetu.

Úroveň Java bezpečnostní architektury probíhá řešením kontroly přístupu, ověření a autorizace, bezpečné komunikace a různých kryptografických funkcí. Existují také různé API, které mohou být použity k zabezpečení vašeho kódu v PHP, jako je OpenSSL pro šifrování nebo HTML Purifier pro ověření vstupu. Na straně serveru se poskytují nejlepší postupy pro usnadnění a konfiguraci operačního systému, webového kontejneru, souborového systému, serveru SQL a samotného PHP, zatímco zvláštní důraz je kladen na bezpečnost na straně klienta prostřednictvím bezpečnostních problémů JavaScript, Ajax a HTML5.

Obecné webové zranitelnosti jsou diskutovány příklady v souladu s OWASP Top Deset, které ukazují různé injekční útoky, injekce skriptů, útoky proti sezení, nejisté přímé reference objektů, problémy s nahrávkami souborů, a mnoho dalších. Různé Java- a PHP-specifické jazykové problémy a problémy vyplývající z pracovní doby prostředí jsou zavedeny do standardních typů zranitelnosti chybějící nebo nesprávné ověření vstupu, nesprávné použití bezpečnostních funkcí, nesprávné chyby a výjimky zpracování, problémy související s časem a stavem, problémy kvality kódu a zranitelnosti související s mobilním kódem.

Účastníci mohou vyzkoušet diskutované API, nástroje a účinky konfigurací pro sebe, zatímco zavedení zranitelností je podporováno řadou praktických cvičení, které demonstrují důsledky úspěšných útoků, ukazují, jak opravit chyby a aplikovat techniky zmírnění, a zavádějí použití různých rozšíření a nástrojů.

Účastníci tohoto kurzu budou

• Pochopte základní pojmy bezpečnosti, IT bezpečnosti a bezpečného kódování
• Naučte se webové zranitelnosti nad OWASP Top Deset a víte, jak se jim vyhnout
• Zjistěte zranitelnosti na straně klienta a bezpečné postupy kódování
• Naučte se používat různé bezpečnostní vlastnosti rozvojového prostředí Java
• Využijte praktické znalosti kryptografie
• Naučte se používat různé bezpečnostní funkce PHP
• Porozumět bezpečnostním pojmům webových služeb
• Získejte praktické znalosti při používání bezpečnostních testovacích nástrojů
• Naučte se typické chyby kódování a jak se jich vyhnout
• Informujte se o nedávných zranitelnostech Java a PHP rámců a knihoven
• Získejte zdroje a další čtení o bezpečných postupech kódování

publikum

Vývojáři

Android je otevřená platforma pro mobilní zařízení, jako jsou telefony a tablety. Má širokou škálu bezpečnostních funkcí, které usnadňují vývoj bezpečného softwaru; postrádá však také určité bezpečnostní aspekty, které jsou přítomny na jiných ručních platformách. Kurz poskytuje komplexní přehled o těchto funkcích a poukazuje na nejkritičtější nedostatky, které je třeba si uvědomit v souvislosti se základním Linux, souborovým systémem a prostředím obecně, stejně jako s používáním oprávnění a dalších komponent vývoje softwaru pro Android. .

Jsou popsána typická bezpečnostní úskalí a zranitelnosti jak pro nativní kód, tak Java aplikace, spolu s doporučeními a osvědčenými postupy, jak se jim vyhnout a zmírnit je. V mnoha případech jsou diskutované problémy podpořeny příklady z reálného života a případovými studiemi. Nakonec uvádíme stručný přehled toho, jak používat nástroje pro testování zabezpečení k odhalení jakýchkoli programovacích chyb souvisejících se zabezpečením.

Účastníci tohoto kurzu budou

Pochopte základní koncepty zabezpečení, IT bezpečnosti a bezpečného kódování Naučte se bezpečnostní řešení pro Android Naučte se používat různé bezpečnostní funkce platformy Android Získejte informace o některých nedávných zranitelnostech v Java na Androidu Naučte se typické chyby při kódování a jak se jim vyvarovat Získejte porozumění zranitelnostem nativního kódu v systému Android Uvědomte si vážné důsledky nezabezpečeného zpracování vyrovnávací paměti v nativním kódu Porozumějte technikám ochrany architektury a jejich slabinám Získejte zdroje a další informace o postupech bezpečného kódování

Publikum

Profesionálové