Secure Web Application Development and Testing Képzés

Android egy nyitott platform a mobil eszközökhöz, például telefonokhoz és táblagépekhez. Különféle biztonsági funkciókkal rendelkezik, amelyek megkönnyítik a biztonságos szoftver fejlesztését; hiányzik azonban bizonyos biztonsági szempontok, amelyek más kézi platformokon is megtalálhatók. A tanfolyam átfogó áttekintést nyújt ezekről a szolgáltatásokról, és rámutat a legfontosabb hiányosságokra, amelyek tudatában vannak az alapul szolgáló Linux , a fájlrendszerhez és általában a környezethez, valamint az engedélyek és más Android szoftverfejlesztő elemek használatához.

A jellegzetes biztonsági hibákat és sebezhetőségeket ismertetik mind a natív kód, mind a Java alkalmazások számára, valamint ajánlásokat és bevált gyakorlatokat ismertetnek ezek elkerülése és enyhítése érdekében. Sok esetben a megvitatott kérdéseket valós példák és esettanulmányok támogatják. Végül röviden áttekintjük, hogyan lehet a biztonsági tesztelő eszközöket felhasználni a biztonsággal kapcsolatos programozási hibák feltárására.

A tanfolyamon részt vevő résztvevők megteszik

• Megérteni a biztonság, az IT biztonság és a biztonságos kódolás alapelveit
• Ismerje meg az Android biztonsági megoldásait
• Tanulja meg az Android platform különféle biztonsági funkcióinak használatát
• Információkat találhat az Android legutóbbi Java biztonsági Android
• Ismerje meg a tipikus kódolási hibákat és azok elkerülésének módját
• Tudjon meg többet a natív kód sebezhetőségéről az Android
• Fel kell ismerni a nem biztonságos pufferkezelés súlyos következményeit a natív kódban
• Ismerje meg az építészeti védelmi technikákat és azok gyengeségeit
• Szerezzen forrásokat és további információkat a biztonságos kódolási gyakorlatokról

Közönség

szakemberek

Egy biztonságos hálózati alkalmazás megvalósítása nehéz lehet még azoknak a fejlesztőknek is, akik korábban különféle kriptográfiai építőelemeket (például titkosítást és digitális aláírásokat) használtak. Annak érdekében, hogy a résztvevők megértsék e kriptográfiai primitívek szerepét és használatát, először szilárd alapot adunk a biztonságos kommunikáció fő követelményeihez – a biztonságos nyugtázás, integritás, titoktartás, távoli azonosítás és anonimitás –, miközben bemutatjuk azokat a tipikus problémákat, sértheti ezeket a követelményeket a valós megoldásokkal együtt.

Mivel a hálózati biztonság kritikus aspektusa a kriptográfia, a szimmetrikus kriptográfia, a hash, az aszimmetrikus kriptográfia és a kulcsegyeztetés legfontosabb kriptográfiai algoritmusai is szóba kerülnek. A mélyreható matematikai háttér bemutatása helyett ezeket az elemeket a fejlesztői szemszögből tárgyaljuk, tipikus használati példákat és gyakorlati megfontolásokat mutatva be a kriptográfia használatával kapcsolatban, mint például a nyilvános kulcsú infrastruktúrák. A biztonságos kommunikáció számos területén bemutatásra kerülnek a biztonsági protokollok, a legszélesebb körben használt protokollcsaládokról, például az IPSEC-ről és az SSL/TLS-ről szóló alapos megbeszéléssel.

A tipikus kriptográfiai sebezhetőségekről szó esik mind bizonyos kriptográfiai algoritmusokkal és kriptográfiai protokollokkal kapcsolatban, mint a BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE és hasonlók, valamint az RSA időzítő támadás. A gyakorlati megfontolásokat és a lehetséges következményeket minden esetben ismételten ismertetjük az egyes problémáknál, anélkül, hogy mély matematikai részletekbe mennénk.

Végül, mivel a XML technológia központi szerepet játszik a hálózati alkalmazások általi adatcserében, a XML biztonsági szempontjait ismertetjük. Ez magában foglalja a XML használatát a webszolgáltatásokon belül és a SOAP-üzenetekben olyan védelmi intézkedések mellett, mint a XML aláírás és a XML titkosítás – valamint ezen védelmi intézkedések gyengeségei és a XML-specifikus biztonsági problémák, például a XML injekció, XML külső entitás (XXE) támadás, XML bomba és XPath injekció.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a biztonságos kommunikáció követelményeit
• Ismerje meg a hálózati támadásokat és védelmet a különböző OSI-rétegeken
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg az alapvető biztonsági protokollokat
• Ismerje meg a kriptorendszerek elleni közelmúltbeli támadásokat
• Információkat kaphat néhány közelmúltbeli kapcsolódó biztonsági résről
• Ismerje meg a webszolgáltatások biztonsági fogalmait
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők, szakemberek

Ez a háromnapos kurzus a C / C++ kód biztosításának alapjait tartalmazza a rosszindulatú felhasználók ellen, akik a kód kezelésében számos biztonsági rést használhatnak memóriakezeléssel és bemeneti kezeléssel, a kurzus a biztonságos kód írásának alapelveit tartalmazza.

Még a tapasztalt Java programozók sem ismerik minden eszközzel a Java által kínált különféle biztonsági szolgáltatásokat, és szintén nincsenek tisztában a Java-ban írt webalkalmazásokkal kapcsolatos különféle sebezhetőségekkel.

A kurzus – a Standard Java Edition biztonsági összetevőinek bemutatása mellett – a Java Enterprise Edition (JEE) és a webszolgáltatások biztonsági kérdéseivel foglalkozik. A konkrét szolgáltatások megbeszélését a kriptográfia és a biztonságos kommunikáció alapjai előzik meg. Különféle gyakorlatok foglalkoznak a deklaratív és programozott biztonsági technikákkal a JEE-ben, miközben a webszolgáltatások szállítási rétegű és végpontok közötti biztonságát is tárgyalják. Az összes komponens használatát több gyakorlati gyakorlaton keresztül mutatják be, ahol a résztvevők maguk is kipróbálhatják a tárgyalt API-kat és eszközöket.

A kurzus a Java nyelv és platform leggyakrabban előforduló és legsúlyosabb programozási hibáit, valamint a webes sérülékenységeket is áttekinti és elmagyarázza. A Java programozók által elkövetett tipikus hibákon kívül a bevezetett biztonsági rések nyelvspecifikus problémákat és a futási környezetből adódó problémákat egyaránt lefedik. Az összes sebezhetőséget és a vonatkozó támadásokat könnyen érthető gyakorlatok mutatják be, amelyeket az ajánlott kódolási irányelvek és a lehetséges enyhítési technikák követnek.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tenen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg a webszolgáltatások biztonsági fogalmait
• Ismerje meg a Java fejlesztői környezet különféle biztonsági funkcióinak használatát
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg a Java EE biztonsági megoldásait
• Ismerje meg a tipikus kódolási hibákat és azok elkerülését
• Információkat szerezhet a Java keretrendszer néhány közelmúltbeli sebezhetőségéről
• Gyakorlati ismereteket szerezhet a biztonsági tesztelő eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

Leírás

A Java nyelvet és a Runtime Environment (JRE) -et úgy tervezték, hogy mentesüljenek a leginkább problémás közös biztonsági résekről, amelyek más nyelveken tapasztaltak, mint a C / C++ . Ugyanakkor a szoftverfejlesztőknek és az építészeknek nemcsak a Java környezet különböző biztonsági jellemzőinek (pozitív biztonság) használatát kell tudniuk, hanem tisztában kell lenniük a Java fejlesztéssel (negatív biztonság) még mindig fontos sebezhetőséggel.

A biztonsági szolgáltatások bevezetését megelőzően rövid áttekintést ad a kriptográfia alapjairól, amely közös alapvonalat biztosít az alkalmazandó komponensek céljának és működésének megértéséhez. Ezeknek az összetevőknek a használatát számos gyakorlati gyakorlaton keresztül mutatjuk be, ahol a résztvevők saját maguk próbálhatják ki a megvitatott API-kat.

A kurzus a Java nyelv és a platform leggyakoribb és leggyakoribb programozási hibáit is megmagyarázza, amely a Java programozók által elkövetett tipikus hibákat, valamint a nyelvi és környezet-specifikus problémákat fedi le. Minden sebezhetőséget és a megfelelő támadásokat könnyen érthető gyakorlatokon keresztül mutatnak be, majd az ajánlott kódolási irányelvek és a lehetséges mérséklési technikák.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg a Java fejlesztői környezet különböző biztonsági funkcióinak használatát
• Gyakorlati megértése a kriptográfiáról
• Ismerje meg a tipikus kódolási hibákat, és hogyan lehet őket elkerülni
• Tájékozódjon a Java keretrendszer néhány legújabb biztonsági Java
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők

Számos programozási nyelv áll rendelkezésre ma a .NET és ASP.NET keretek kódjának összeállításához. A környezet hatékony eszközöket biztosít a biztonság fejlesztéséhez, de a fejlesztőknek tudniuk kell, hogyan kell alkalmazni az architektúra- és kódolási szintű programozási technikákat a kívánt biztonsági funkciók megvalósítása és a sérülékenységek elkerülése vagy a kiaknázás korlátozása érdekében.

A kurzus célja, hogy a fejlesztőknek számos gyakorlati gyakorlattal tanítsák meg, hogyan akadályozzák meg a megbízhatatlan kódot a kiváltságos akciók végrehajtásában, az erőforrások erős hitelesítés és engedélyezés révén történő védelmében, távoli eljáráshívások kezdeményezésében, munkamenetek kezelésében, különböző funkciók bevezetésében, és sok több.

A különböző sebezhetőségek bevezetése a tipikus programozási problémák bemutatásával kezdődik, amikor a .NET használata során elkötelezett, míg az ASP.NET sebezhetőségének megbeszélése különböző környezeti beállításokkal és azok hatásával foglalkozik. Végül az ASP.NET-specifikus biztonsági rések témája nemcsak néhány általános webes alkalmazásbiztonsági kihívással foglalkozik, hanem speciális problémákkal és támadási módszerekkel is, mint például a ViewState támadásával vagy a karakterlánc-befejezési támadásokkal.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg a .NET fejlesztési környezet különböző biztonsági funkcióinak használatát
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési eszközök használatában
• Ismerje meg a tipikus kódolási hibákat, és hogyan lehet őket elkerülni
• Tudjon meg többet a .NET és az ASP.NET legújabb biztonsági réseiről
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők

A kurzus néhány közös biztonsági koncepciót vezet be, áttekintést ad a sebezhetőségek jellegéről, függetlenül a használt programozási nyelvekről és platformokról, és magyarázza, hogyan kell kezelni a szoftverbiztonsággal kapcsolatos kockázatokat a szoftverfejlesztés életciklusának különböző szakaszaiban. Anélkül, hogy mélyen a technikai részleteket, hangsúlyozza néhány a legérdekesebb és legérdekesebb sebezhetőségeket a különböző szoftverfejlesztési technológiák, és bemutatja a kihívásokat a biztonsági tesztelés, valamint néhány technikát és eszközöket, hogy lehet alkalmazni, hogy megtalálja a meglévő problémák a kódot.

A tanfolyamon részt vevő résztvevők  

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát
• Megértse a webes sebezhetőségeket mind a kiszolgálón, mind az ügyfél oldalán
• Ismerje meg a bizonytalan buffer kezelés súlyos következményeit
• Ismerje meg a fejlesztési környezetekben és keretekben bekövetkezett közelmúltbeli sebezhetőségeket
• Ismerje meg a tipikus kódolási hibákat és hogyan lehet elkerülni őket
• Megértse a biztonsági vizsgálati megközelítéseket és módszertanokat

közönség

menedzserek

A kurzus alapvető készségeket biztosít PHP fejlesztők számára, amelyek ahhoz szükségesek, hogy alkalmazásaikat ellenállóvá tegyék a kortárs internetes támadásokkal szemben. A webes sebezhetőségeket PHP-alapú példákon keresztül tárgyalják, amelyek túlmutatnak a OWASP első tízén, különféle injekciós támadások, szkript-injektálások, PHP munkamenet-kezelése elleni támadások, nem biztonságos közvetlen objektumhivatkozások, fájlfeltöltési problémák és sok más megoldás. . A PHP-hez kapcsolódó sérülékenységek a hiányzó vagy nem megfelelő beviteli ellenőrzés, a hibás hiba- és kivételkezelés, a biztonsági funkciók nem megfelelő használata, valamint az idő- és állapotproblémák szabványos sérülékenységi típusaiba csoportosítva kerülnek bevezetésre. Ez utóbbi esetében olyan támadásokat tárgyalunk, mint az open_basedir megkerülése, a szolgáltatás megtagadása mágikus lebegés útján vagy a hash tábla ütközési támadása. A résztvevők minden esetben megismerkednek a felsorolt kockázatok mérséklésére szolgáló legfontosabb technikákkal és funkciókkal.

Különös hangsúlyt fektetnek a kliensoldali biztonságra, amely a JavaScript, Ajax és HTML5 biztonsági problémáit kezeli. A PHP számos biztonsággal kapcsolatos bővítményt vezettek be, mint például a hash, mcrypt és OpenSSL a kriptográfiához, vagy a Ctype, ext/filter és HTML Purifier a bemenet ellenőrzéséhez. A legjobb keményítési gyakorlatokat a PHP konfigurációval (php.ini beállítása), az Apache-val és általában a szerverrel kapcsolatban ismertetjük. Végül áttekintést adunk a különféle biztonsági tesztelési eszközökről és technikákról, amelyeket a fejlesztők és tesztelők használhatnak, beleértve a biztonsági szkennereket, a behatolásteszteket és a kihasználó csomagokat, a sniffereket, a proxyszervereket, a fuzzing eszközöket és a statikus forráskód-elemzőket.

Mind a sérülékenységek bevezetését, mind a konfigurációs gyakorlatokat számos gyakorlati gyakorlat segíti, amelyek bemutatják a sikeres támadások következményeit, bemutatják a mérséklő technikák alkalmazását, valamint különféle bővítmények és eszközök használatát.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tízen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg a PHP különféle biztonsági funkcióinak használatát
• Ismerje meg a tipikus kódolási hibákat és azok elkerülését
• Tájékozódjon a PHP keretrendszer legutóbbi sebezhetőségeiről
• Gyakorlati ismereteket szerezhet a biztonsági tesztelő eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

A Kombinált SDL alapképzés betekintést nyújt a biztonságos szoftvertervezésbe, fejlesztésbe és tesztelésbe a Microsoft Secure Development Lifecycle (SDL) segítségével. Ez egy 100-as szintű áttekintést nyújt az SDL alapvető építőköveiről, ezt követi a tervezési technikák, amelyek a fejlesztési folyamat korai szakaszában lévő hibák észlelésére és javítására szolgálnak.

A fejlesztés fázisában a kurzus áttekintést ad a kezelt és a natív kód jellemző biztonsági programozási hibáiról. A támadási módszereket a szóban forgó sérülékenységekkel együtt a kapcsolódó enyhítő technikákkal mutatjuk be, amelyek mindegyike számos gyakorlati gyakorlattal magyarázható, amely a résztvevők számára élő hacker szórakozást kínál. Különböző biztonsági vizsgálati módszerek bevezetését követi a különböző vizsgálati eszközök hatékonyságának bemutatása. A résztvevők számos gyakorlati gyakorlaton keresztül megérthetik ezen eszközök működését, az eszközöket a már tárgyalt sérülékeny kódok alkalmazásával.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit

• Ismerje meg a Microsoft Secure Development Lifecycle lényeges lépéseit

• Ismerje meg a biztonságos tervezési és fejlesztési gyakorlatokat

• Ismerje meg a biztonságos végrehajtási elveket

• Ismerje meg a biztonsági tesztelési módszertant

• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők, menedzserek

A sebezhetőségek és a támadási módszerek megismerése után a résztvevők megismerkednek a biztonsági tesztelés általános megközelítésével és módszertanával, valamint a konkrét sérülékenységek feltárására alkalmazható technikákkal. A biztonsági tesztelést a rendszerről szóló információgyűjtéssel (ToC, azaz Target of Evaluation) kell kezdeni, majd egy alapos fenyegetettségi modellezéssel fel kell tárni és minősíteni az összes fenyegetést, el kell érni a legmegfelelőbb kockázatelemzés-vezérelt teszttervhez.

A biztonsági értékelések az SDLC különböző lépéseiben történhetnek, ezért megvitatjuk a tervezési áttekintést, a kódellenőrzést, a felderítést és a rendszerrel kapcsolatos információgyűjtést, a megvalósítás tesztelését és a tesztelést, valamint a biztonságos telepítéshez szükséges környezet keményítését. Számos biztonsági tesztelési technikát mutatunk be részletesen, például a szennyeződéselemzést és a heurisztika alapú kódellenőrzést, a statikus kódelemzést, a dinamikus webes sebezhetőség tesztelését vagy a fuzzingot. Különféle eszközöket mutatunk be, amelyek segítségével automatizálható a szoftvertermékek biztonsági értékelése, amit számos gyakorlat is alátámaszt, ahol ezeket az eszközöket végrehajtva elemezzük a már tárgyalt sebezhető kódot. Számos valós esettanulmány támogatja a különféle sebezhetőségek jobb megértését.

Ez a kurzus felkészíti a tesztelőket és a minőségellenőrző munkatársakat a biztonsági tesztek megfelelő megtervezésére és precíz végrehajtására, a legmegfelelőbb eszközök és technikák kiválasztására és használatára a rejtett biztonsági hibák felkutatására is, így alapvető gyakorlati ismereteket ad, amelyeket a következő munkanapon is alkalmazni lehet.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tízen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Ismerje meg a biztonsági tesztelési megközelítéseket és módszertanokat
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési technikák és eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők, tesztelők

Ezen az oktató által vezetett, élő tanfolyamon a Magyarország-ban a résztvevők megtanulják, hogyan alakítsák ki a megfelelő biztonsági stratégiát a DevOps biztonsági kihívással szemben.

This Course in Magyarország aims to help in the following:

1. Help Developers to master the techniques of writing Secure Code
2. Help Software Testers to test the security of the application before publishing to the production environment
3. Help Software Architects to understand the risks surrounding the applications
4. Help Team Leaders to set the security base lines for the developers
5. Help Web Masters to configure the Servers to avoid miss-configurations

Ez a tanfolyam a biztonságos kódolási koncepciókat és alapelveket tartalmazza a Java segítségével az Open Web Application Security Project ( OWASP ) tesztelési módszertanán keresztül. Az Open Web Application Security projekt egy online közösség, amely szabadon elérhető cikkeket, módszertant, dokumentációt, eszközöket és technológiákat készít a webes alkalmazások biztonsága területén.

Ez a tanfolyam az ASP.net biztonságos kódolási koncepcióit és alapelveit tartalmazza az Open Web Application Security Project ( OWASP ) tesztelési módszertanán keresztül. Az OWASP egy online közösség, amely szabadon elérhető cikkeket, módszertant, dokumentációt, eszközöket és technológiákat készít a terepen a webalkalmazások biztonsága.

Ez a tanfolyam feltárja a Dot Net Framework biztonsági szolgáltatásait és a webes alkalmazások biztonságát.