Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
A01:2025 - Porušení řízení přístupu
A02:2025 - Chybná konfigurace zabezpečení
A03:2025 - Selhání softwarového dodavatelského řetězce
A04:2025 - Kryptografická selhání
A05:2025 - Injekce kódu
A06:2025 - Nes bezpečný návrh
A07:2025 - Selhání autentizace
A08:2025 - Selhání integrity softwaru nebo dat
A09:2025 - Selhání logování a upozorňování zabezpečení
A10:2025 - Nesprávné zacházení s výjimkami
A01:2025 Porušení řízení přístupu - Řízení přístupu enforcing politiky tak, že uživatelé nemohou jednat mimo svá zamýšlená oprávnění. Selhání obvykle vedou k neoprávněnému zveřejnění informací, úpravě nebo odstranění všech dat nebo provádění podnikové funkce mimo uživatelovy limity.
A02:2025 Chybná konfigurace zabezpečení - Chybná konfigurace zabezpečení nastane, pokud je systém, aplikace nebo cloudová služba nesprávně nastavena ze hlediska bezpečnosti, což vytváří zranitelnosti.
A03:2025 Selhání softwarového dodavatelského řetězce - Selhání softwarového dodavatelského řetězce jsou poruchy nebo jiná kompromitace v procesu sestavování, distribuce nebo aktualizace softwaru. Obvykle jsou způsobena zranitelnostmi nebo zlým úmyslem ve třetích stranách kódu, nástrojích nebo dalších závislostech, na které systém spoléhá.
A04:2025 Kryptografická selhání - Obecně lze říci, že všechna data při přenosu by měla být šifrována na transportní úrovni (OSI vrstva 4). Předchozí překážky, jako jsou výkon CPU a správa privátních klíčů a certifikátů, jsou nyní řešeny procesory s instrukcemi navrženými k zrychlení šifrování (např. podpora AES) a zjednodušením správy privátních klíčů a certifikátů službami jako je LetsEncrypt.org, přičemž větší cloudoví poskytovatelé nabízí ještě těsněji integrované služby pro správu certifikátů na svých specifických platformách. Kromě zabezpečení transportní úrovně je důležité určit, jaká data potřebují šifrování v klidovém stavu a také jaká data potřebují dodatečné šifrování při přenosu (na aplikační úrovni, OSI vrstva 7). Například hesla, kreditní čísla, zdravotní záznamy, osobní informace a podnikové tajemství vyžadují dodatečnou ochranu, zejména pokud tyto data spadají pod právní předpisy o ochraně soukromí, jako je Obecný regulativ EU o ochraně dat (GDPR) nebo předpisy jako PCI Data Security Standard (PCI DSS).
A05:2025 Injekce kódu - Zranitelnost injekce kódu je systémový defekt, který umožňuje útočníkovi vložit zákeřný kód nebo příkazy (např. SQL nebo shell kód) do vstupních polí programu, což oklamá systém a vedlo k jeho provedení kódu či příkazů, jako by součástí systému byly. To může vést ke skutečně katastrofálním následkům.
A06:2025 Nes bezpečný návrh - Nes bezpečný návrh je široká kategorie, která reprezentuje různé slabiny vyjádřené jako „chybějící nebo neúčinné kontroly v návrhu“. Nes bezpečný návrh není zdrojem všech dalších kategorií rizik ze Top Ten. Z důvodu rozdílů mezi Nes bezpečným návrhem a Nes bezpečnou implementací je nutné je odlišovat, protože mají odlišné kořeny, vznikají ve různých fázích vývojového procesu a vyžadují různá řešení. Zabezpečený návrh může stále mít implementační defekty vedoucí k zranitelnostem, které lze využít. Nes bezpečný návrh nelze napravit dokonalou implementací, protože požadovaná bezpečnostní kontroly nebyly nikdy vytvořeny pro obranu proti konkrétním útokům. Jedním z faktorů přispívajících k Nes bezpečnému návrhu je absence profilace podnikových rizik v rámci vyvíjeného softwaru nebo systému, a tedy selhání určení potřebnější úrovně zabezpečení.
A07:2025 Selhání autentizace - Když útočník dokáže oklamat systém a rozpoznat neplatného nebo nesprávného uživatele jako legitimní, je přítomna tato zranitelnost.
A08:2025 Selhání integrity softwaru nebo dat - Selhání integrity softwaru a dat se týká kódu a infrastruktury, které nechrání proti neplatnému nebo nedůvěryhodnému kódu nebo datům považovaným za důvěryhodné a platné. Příkladem toho je aplikace, která spoléhá na doplňky, knihovny nebo moduly ze nedůvěryhodných zdrojů, úložišť a sítí distribuce obsahu (CDN). Nes bezpečný CI/CD potrubí bez spotřeby a poskytování kontrol integrita softwaru může zavést potenciál pro neoprávněný přístup, nezabezpečené nebo zlý kód nebo kompromitaci systému. Dalším příkladem je CI/CD, které stahuje kód nebo artefakty z nedůvěryhodných míst a/nebo je neprověřuje před použitím (ověřením podpisu či jiným mechanismem).
A09:2025 Selhání logování a upozorňování zabezpečení - Bez logování a monitorování nelze detekovat útoky a porušení bezpečnosti, a beze spouštění aktivních odpovědí je velmi obtížné rychle a efektivně reagovat při incidentech zabezpečení. Nedostatečné logování, nepřetržité monitorování, detekce a upozorňování k aktivním odpovědím se stane v libovolném okamžiku.
A10:2025 Nesprávné zacházení s výjimkami - Nesprávné zacházení s neobvyklými situacemi ve software nastane, když programy nedokážou předcházet, detekovat a reagovat na neobvyklé a nepředvídatelné situace, což vedlo k pádům, neočekávanému chování a někdy i zranitelnostem. To může zahrnovat jedno nebo více ze tří selhání: aplikace nedokáže zabránit vzniku neobvyklé situace, není schopna identifikovat situaci při jejím vzniku a/nebo na ni po jeho dobu špatně reaguje či vůbec ne.
Provedeme diskusi a prezentace praktických aspektů:
Porušení řízení přístupu
- Praktické příklady porušeného řízení přístupu
- Bezpečné řízení přístupu a osvědčené postupy
Chybná konfigurace zabezpečení
- Reálné příklady nevhodných konfigurací
- Kroky k prevenci špatné konfigurace, včetně nástrojů pro správu konfigurace a automatizaci
Kryptografická selhání
- Podrobná analýza kryptografických selhání, jako jsou slabé šifrovací algoritmy nebo nevhodná správa klíčů
- Důležitost silných kryptografických mechanismů, bezpečných protokolů (SSL/TLS) a příkladů moderní kryptografie v webové bezpečnosti
Injekce kódu
- Podrobný rozbor injekcí SQL, NoSQL, OS a LDAP
- Techniky neutralizace pomocí připravených výrazů, parametrizovaných dotazů a úniku vstupů
Nes bezpečný návrh
- Prozkoumáme designové chyby, které mohou vést k zranitelnostem, jako je nevhodné ověření vstupu
- Studium strategií pro bezpečný architekturu a principů bezpečného návrhu
Selhání autentizace
- Běžné problémy s autentizací
- Bezpečné strategie pro autentizaci, jako jsou vícefaktorová autentizace a správná správa sesení
Selhání integrity softwaru nebo dat
- Zaměříme se na problémy jako jsou nedůvěryhodné aktualizace softwaru a pozměňování dat
- Bezpečné mechanismy pro aktualizace a kontrolu integrita dat
Selhání logování a monitorování zabezpečení
- Důležitost logování bezpečnostně relevantních informací a monitorování podezřelých aktivit
- Nástroje a postupy pro správné logování a v reálném čase monitorování k rannímu zjištění porušení bezpečnosti
Požadavky
- Obecné pochopení životního cyklu webové vývojové činnosti
- Zkušenost s webovým vývojem a bezpečností aplikací
Cílová skupina
- Weboví vývojáři
- Vedoucí
14 Hodiny
Reference (7)
velmi dynamické a flexibilní školení!
Valentina Giglio - Fincons SPA
Kurz - OWASP Top 10
Přeloženo strojem
Laboratorní cvičení
Pietro Colonna - Fincons SPA
Kurz - OWASP Top 10
Přeloženo strojem
Interaktivní komponenty a příklady.
Raphael - Global Knowledge
Kurz - OWASP Top 10
Přeloženo strojem
Praktický přístup a znalosti trénера
RICARDO
Kurz - OWASP Top 10
Přeloženo strojem
Vědomosti trenéra byly fenomenální
Patrick - Luminus
Kurz - OWASP Top 10
Přeloženo strojem
cvičení, i když mimo mé pohodlné zóny.
Nathalie - Luminus
Kurz - OWASP Top 10
Přeloženo strojem
Instruktor je velmi informativní a opravdu ovládá téma.
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Kurz - OWASP Top 10
Přeloženo strojem
