Návrh Školení
Zabezpečení IT a Secure Coding
- Přehled principů zabezpečení informací
- CIA trojice: Konfidentialita, Integrity, Dostupnost
- Běžné hrozby a modelování hrozeb
- Nejlepší postupy pro životní cyklus bezpečného vývoje softwaru (SSDLC)
Webové Application Security
- Poznání OWASP Top Ten a více
- Chyby při ověřování uživatelů a správě relací
- Vulnerabilita vložení (SQL, Command, LDAP, atd.)
- Cross-Site Scripting (XSS) a Cross-Site Request Forgery (CSRF)
Zákaznické stránky zabezpečení
- DOM-založené útoky a JavaScript-specifická rizika
- Nestálostné použití AJAX a ukládání dat v prohlížeči
- Klikjacking a přesouvání rozhraní
- Implementace zásad zabezpečení obsahu (CSP)
Přehled praxe Cryptografie
- Základní pojmy: hashing, šifrování, digitální podpisy
- Veřejný klíč vs. symetrický klíč kryptografie
- Základy Transport Layer Security (TLS)
- Správa klíčů a běžné chyby v kryptografii
Zabezpečení Web Services
- Požadavky na zabezpečení SOAP a REST
- Mechanismy ověřování: OAuth, JWT, API klíče
- Běžné útoky na webové služby a obrana proti nim
- Ověřování vstupů ve zprávách služeb
XML Zabezpečení
- Vložení XML a útoky na parsování
- Rozšíření entit a XXE vulnerability
- Zabezpečené techniky a knihovny pro parsování
- Používání standardů zabezpečení XML (XML-DSig, XML-Enc)
Zdroje znalostí a nástroje zabezpečení
- Doporučené nástroje pro testování zabezpečení (např. OWASP ZAP, Burp Suite)
- Nástroje pro skenování a analýzu kódu
- Online zdroje a pokyny pro zabezpečení
- Jak se držet na stopě nových hrozeb
Souhrn a další kroky
Požadavky
- Pochopení základní architektury webových aplikací
- Zkušenosti s programovacím jazykem, jako je Java, C#, PHP nebo JavaScript
- Znalost klient-server komunikace a HTTP
Cílová skupina
- Vývojáři
- Akční architekti webových aplikací
- Technické týmy se zajištěnou bezpečností
Reference (5)
Overview of most among important topics related to software architecture. This training inspired me to learn some of them in depth ;)
Konrad Fuchsig - EY GDS
Kurz - Web Application Security
Explanation of the concepts I had no knowledge about. Tutors calm and kind attitude and also his very vast knowledge.
Michal Kowalczyk - EY GDS
Kurz - Web Application Security
Practical examples and possibility to try how web injections are functioning from the other side - not user but attacker side.
Jessica Wierzbicka - EY GDS
Kurz - Web Application Security
The hands-on labs were excellent.
Dr. Farhan Hassan Khan - TDM GROUP
Kurz - Web Application Security
Trainers command in his field