.NET, C# és ASP.NET biztonsági fejlesztés Képzés

A Android nyitott platform mobil eszközök számára, például okostelefonok és táblagépek számára. Rengeteg biztonsági funkcióval rendelkezik, amely a biztonságos szoftverfejlesztést megkönnyíti; azonban hiányoznak bizonyos biztonsági vonatkozások, amelyeket más kézi platformok tartalmaznak. A kurzus átfogó áttekintést ad ezeken a funkciókról, és kiemeli a legkritikusabb hiányosságokat, amelyeket tudnod kell az alap Linux-hoz, a fájlrendszerhez és az általános környezethez, valamint a jogosultságok használatához és más Android szoftverfejlesztési komponensekhez.

A tipikus biztonsági csapdák és sebezhetőségek leírása az egyesített és Java alkalmazásokhoz, ajánlásokkal és legjobb gyakorlatokkal a megelőzésükre és csökkentésükre. Sok esetben megvitatott problémák valós életbeli példákkal és esettanulmányokkal támogatottak. Végül rövid áttekintést nyújtanak a biztonsági tesztelési eszközök használatáról a programozási hibák feltárására.

A kurzust látogató résztvevők

• Megismerik a biztonság, IT-biztonság és biztonságos programozás alapfogalmait
• Megismerkednek a Android biztonsági megoldásaival
• Megtanulják a különböző Android platform biztonsági funkcióinak használatát
• Információt kapnak a legújabb Java sebezhetőségekről Android-en
• Megismerik a tipikus programozási hibákat és azt, hogy hogyan kerülhetők el
• Megismerik az egyesített kód sebezhetőségeit Android-en
• Megértik a biztonságtalan pufferkezelés súlyos következményeit egyesített kódban
• Megértik az architekturális védelmi technikákat és gyengeségeiket
• Forrásokat és további olvasnivalókat kapnak a biztonságos programozási gyakorlatokról

Célközönség

Szakemberek

Egy biztonságos hálózati alkalmazás megvalósítása nehéz lehet még azoknak a fejlesztőknek is, akik korábban különféle kriptográfiai építőelemeket (például titkosítást és digitális aláírásokat) használtak. Annak érdekében, hogy a résztvevők megértsék e kriptográfiai primitívek szerepét és használatát, először szilárd alapot adunk a biztonságos kommunikáció fő követelményeihez – a biztonságos nyugtázás, integritás, titoktartás, távoli azonosítás és anonimitás –, miközben bemutatjuk azokat a tipikus problémákat, sértheti ezeket a követelményeket a valós megoldásokkal együtt.

Mivel a hálózati biztonság kritikus aspektusa a kriptográfia, a szimmetrikus kriptográfia, a hash, az aszimmetrikus kriptográfia és a kulcsegyeztetés legfontosabb kriptográfiai algoritmusai is szóba kerülnek. A mélyreható matematikai háttér bemutatása helyett ezeket az elemeket a fejlesztői szemszögből tárgyaljuk, tipikus használati példákat és gyakorlati megfontolásokat mutatva be a kriptográfia használatával kapcsolatban, mint például a nyilvános kulcsú infrastruktúrák. A biztonságos kommunikáció számos területén bemutatásra kerülnek a biztonsági protokollok, a legszélesebb körben használt protokollcsaládokról, például az IPSEC-ről és az SSL/TLS-ről szóló alapos megbeszéléssel.

A tipikus kriptográfiai sebezhetőségekről szó esik mind bizonyos kriptográfiai algoritmusokkal és kriptográfiai protokollokkal kapcsolatban, mint a BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE és hasonlók, valamint az RSA időzítő támadás. A gyakorlati megfontolásokat és a lehetséges következményeket minden esetben ismételten ismertetjük az egyes problémáknál, anélkül, hogy mély matematikai részletekbe mennénk.

Végül, mivel a XML technológia központi szerepet játszik a hálózati alkalmazások általi adatcserében, a XML biztonsági szempontjait ismertetjük. Ez magában foglalja a XML használatát a webszolgáltatásokon belül és a SOAP-üzenetekben olyan védelmi intézkedések mellett, mint a XML aláírás és a XML titkosítás – valamint ezen védelmi intézkedések gyengeségei és a XML-specifikus biztonsági problémák, például a XML injekció, XML külső entitás (XXE) támadás, XML bomba és XPath injekció.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a biztonságos kommunikáció követelményeit
• Ismerje meg a hálózati támadásokat és védelmet a különböző OSI-rétegeken
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg az alapvető biztonsági protokollokat
• Ismerje meg a kriptorendszerek elleni közelmúltbeli támadásokat
• Információkat kaphat néhány közelmúltbeli kapcsolódó biztonsági résről
• Ismerje meg a webszolgáltatások biztonsági fogalmait
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők, szakemberek

Ez a háromnapos kurzus a C/C++ kód alapvető biztonsági megoldásait mutatja be, amelyek a rosszindulatú felhasználók által kihasználható memóriakezelési és bemeneti kezelési hibákkal szemben védnek. A kurzus a biztonságos kódírás elvei köré épül.

Még a tapasztalt Java programozók sem ismerik minden eszközzel a Java által kínált különféle biztonsági szolgáltatásokat, és szintén nincsenek tisztában a Java-ban írt webalkalmazásokkal kapcsolatos különféle sebezhetőségekkel.

A kurzus – a Standard Java Edition biztonsági összetevőinek bemutatása mellett – a Java Enterprise Edition (JEE) és a webszolgáltatások biztonsági kérdéseivel foglalkozik. A konkrét szolgáltatások megbeszélését a kriptográfia és a biztonságos kommunikáció alapjai előzik meg. Különféle gyakorlatok foglalkoznak a deklaratív és programozott biztonsági technikákkal a JEE-ben, miközben a webszolgáltatások szállítási rétegű és végpontok közötti biztonságát is tárgyalják. Az összes komponens használatát több gyakorlati gyakorlaton keresztül mutatják be, ahol a résztvevők maguk is kipróbálhatják a tárgyalt API-kat és eszközöket.

A kurzus a Java nyelv és platform leggyakrabban előforduló és legsúlyosabb programozási hibáit, valamint a webes sérülékenységeket is áttekinti és elmagyarázza. A Java programozók által elkövetett tipikus hibákon kívül a bevezetett biztonsági rések nyelvspecifikus problémákat és a futási környezetből adódó problémákat egyaránt lefedik. Az összes sebezhetőséget és a vonatkozó támadásokat könnyen érthető gyakorlatok mutatják be, amelyeket az ajánlott kódolási irányelvek és a lehetséges enyhítési technikák követnek.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tenen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg a webszolgáltatások biztonsági fogalmait
• Ismerje meg a Java fejlesztői környezet különféle biztonsági funkcióinak használatát
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg a Java EE biztonsági megoldásait
• Ismerje meg a tipikus kódolási hibákat és azok elkerülését
• Információkat szerezhet a Java keretrendszer néhány közelmúltbeli sebezhetőségéről
• Gyakorlati ismereteket szerezhet a biztonsági tesztelő eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

Leírás

A Java nyelvet és a futásidejű környezet (JRE) olyan módon terveztek, hogy szabad legyen a C/C++-ban tapasztalható leggyakoribb biztonsági résektől. Mindazonáltal a szoftverfejlesztők és architektúrák nem csak abban kellene megismerni, hogyan lehet használni a Java környezet biztonsági funkcióit (pozitív biztonság), hanem figyelniük kell a számos továbbra is releváns rést (negatív biztonság).

A biztonsági szolgáltatások bevezetésének előterjedt egy rövid kriptográfia alapjainak áttekintése, ami közös alapot nyújt a használt komponensek céljának és működésének megértéséhez. Ezeket a komponenseket több praktikus gyakorlaton keresztül mutatják be, ahol a résztvevők saját maguk is kipróbálhatják az API-kat.

A kurzus átismétli és megmagyarázza a Java nyelv és platform leggyakoribb és súlyosabb programozási hibáit, beleértve mind a Java programozók által elkövetett tipikus bugokat, mind a nyelvi és környezeti specifikus problémákat. Minden rést és kapcsolódó támadást könnyen érthető gyakorlatokon bemutatnak, melyek után a javasolt programozási irányelveket és lehetséges enyhítési technikákat is átnéznek.

A kurzusra részt vevők

• Megértenek a biztonság, az IT-biztonság és a biztonságos programozás alapvető fogalmainak
• Megtanulják a Web réseit az OWASP Top Ten mellett és tudniuk kell, hogyan kerülhetik el őket
• Megismerni fogják a Java fejlesztési környezet különböző biztonsági funkcióit
• Műszeres alapokon állóan megértenek a kriptográfia alapjait
• Megtudják a tipikus programozási hibákat és hogyan kerülhetik el őket
• Információt kapnak néhány legutóbbi Java keretrendszer biztonsági réseiről
• Információt kapnak a biztonságos programozási gyakorlatok forrásairól és további olvasnivalókról

Célcsoport

Fejlesztők

A kurzus néhány közismert biztonsági fogalmat mutat be, áttekintést nyújt a sebességre vonatkozóan a programozási nyelvektől és platformoktól függetlenül, és magyarázza meg, hogyan kezelhetőek a különböző szoftverfejlesztési életciklus-fázisokban fennálló kockázatok. Nem mélyre hatolva a technikai részletekbe, kiemeli néhány érdekes és fájdalmas hibát különböző szoftverfejlesztési technológiákban, és bemutatja a biztonsági tesztelés kihívásait, valamint néhány technikát és eszközt, amelyeket alkalmazhatnak, hogy megtalálják a kódjukban fennálló problémákat.

A kurzus résztvevői

• Megismerik a biztonság, az IT-biztonság és a biztonságos kódolás alapfogalmait
• Megértik a szerver- és kliensoldali webes hibákat
• Felismerik a biztonságtalan pufferkezelés súlyos következményeit
• Tájékozódnak néhány újabb hibáról fejlesztői környezetekben és keretrendszerekben
• Megtanulják a típikus programozási hibákat és hogyan kerülhetik el őket
• Megértik a biztonsági tesztelési eljárásokat és módszereket

Célközönség

Vezetők

A kurzus alapvető készségeket biztosít PHP fejlesztők számára, amelyek ahhoz szükségesek, hogy alkalmazásaikat ellenállóvá tegyék a kortárs internetes támadásokkal szemben. A webes sebezhetőségeket PHP-alapú példákon keresztül tárgyalják, amelyek túlmutatnak a OWASP első tízén, különféle injekciós támadások, szkript-injektálások, PHP munkamenet-kezelése elleni támadások, nem biztonságos közvetlen objektumhivatkozások, fájlfeltöltési problémák és sok más megoldás. . A PHP-hez kapcsolódó sérülékenységek a hiányzó vagy nem megfelelő beviteli ellenőrzés, a hibás hiba- és kivételkezelés, a biztonsági funkciók nem megfelelő használata, valamint az idő- és állapotproblémák szabványos sérülékenységi típusaiba csoportosítva kerülnek bevezetésre. Ez utóbbi esetében olyan támadásokat tárgyalunk, mint az open_basedir megkerülése, a szolgáltatás megtagadása mágikus lebegés útján vagy a hash tábla ütközési támadása. A résztvevők minden esetben megismerkednek a felsorolt kockázatok mérséklésére szolgáló legfontosabb technikákkal és funkciókkal.

Különös hangsúlyt fektetnek a kliensoldali biztonságra, amely a JavaScript, Ajax és HTML5 biztonsági problémáit kezeli. A PHP számos biztonsággal kapcsolatos bővítményt vezettek be, mint például a hash, mcrypt és OpenSSL a kriptográfiához, vagy a Ctype, ext/filter és HTML Purifier a bemenet ellenőrzéséhez. A legjobb keményítési gyakorlatokat a PHP konfigurációval (php.ini beállítása), az Apache-val és általában a szerverrel kapcsolatban ismertetjük. Végül áttekintést adunk a különféle biztonsági tesztelési eszközökről és technikákról, amelyeket a fejlesztők és tesztelők használhatnak, beleértve a biztonsági szkennereket, a behatolásteszteket és a kihasználó csomagokat, a sniffereket, a proxyszervereket, a fuzzing eszközöket és a statikus forráskód-elemzőket.

Mind a sérülékenységek bevezetését, mind a konfigurációs gyakorlatokat számos gyakorlati gyakorlat segíti, amelyek bemutatják a sikeres támadások következményeit, bemutatják a mérséklő technikák alkalmazását, valamint különféle bővítmények és eszközök használatát.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tízen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Gyakorlati ismeretekkel rendelkezzen a kriptográfiáról
• Ismerje meg a PHP különféle biztonsági funkcióinak használatát
• Ismerje meg a tipikus kódolási hibákat és azok elkerülését
• Tájékozódjon a PHP keretrendszer legutóbbi sebezhetőségeiről
• Gyakorlati ismereteket szerezhet a biztonsági tesztelő eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

A kombinált SDL core képzés bemutatja a biztonságos szoftvertervezés, fejlesztés és tesztelés alapjait Microsoft Secure Development Lifecycle (SDL) keretében. Egy 100-as szintű áttekintést nyújt az SDL alaptárolóinak, majd tervezési technikákat ismertet a korai fejlesztési fázisokban előforduló hibák felérzékelésére és javítására.

A fejlesztési fázis kezelését illetően a képzés áttekintést ad az irányított és natív kód programozási hibáinak tipikus biztonságosan relevant elemeire. Megmutatja az oktatók beszámolóival a támadási módszereket, valamint a megoldásokat, amelyeket interaktív gyakorlatokban élvezhetnek életben a résztvevők. Különböző biztonságos tesztelési módszerek bemutatása után demonstrálja az eszközök hatékonyságát, és a gyakorlati gyakorlatokban segíti megérteni a résztvevőket ezek működését a már elemezett hibás kódra alkalmazva.

A képzést látogatók a következőt fogják megtanulni

Alapvető biztonsági, IT-biztonsági és biztonságos kódolási fogalmak megértése

Microsoft Secure Development Lifecycle (SDL) alapvető lépéseinak ismerete

Biztonságos tervezési és fejlesztési gyakorlatok tanulása

Biztonságos implementációs elvek megismerése

Biztonsági tesztelési módszeriség megértése

• Biztonságos kódolási gyakorlatok forrásai és további olvasmányok

Célcsoport

Fejlesztők, Managerialak

A sebezhetőségek és a támadási módszerek megismerése után a résztvevők megismerkednek a biztonsági tesztelés általános megközelítésével és módszertanával, valamint a konkrét sérülékenységek feltárására alkalmazható technikákkal. A biztonsági tesztelést a rendszerről szóló információgyűjtéssel (ToC, azaz Target of Evaluation) kell kezdeni, majd egy alapos fenyegetettségi modellezéssel fel kell tárni és minősíteni az összes fenyegetést, el kell érni a legmegfelelőbb kockázatelemzés-vezérelt teszttervhez.

A biztonsági értékelések az SDLC különböző lépéseiben történhetnek, ezért megvitatjuk a tervezési áttekintést, a kódellenőrzést, a felderítést és a rendszerrel kapcsolatos információgyűjtést, a megvalósítás tesztelését és a tesztelést, valamint a biztonságos telepítéshez szükséges környezet keményítését. Számos biztonsági tesztelési technikát mutatunk be részletesen, például a szennyeződéselemzést és a heurisztika alapú kódellenőrzést, a statikus kódelemzést, a dinamikus webes sebezhetőség tesztelését vagy a fuzzingot. Különféle eszközöket mutatunk be, amelyek segítségével automatizálható a szoftvertermékek biztonsági értékelése, amit számos gyakorlat is alátámaszt, ahol ezeket az eszközöket végrehajtva elemezzük a már tárgyalt sebezhető kódot. Számos valós esettanulmány támogatja a különféle sebezhetőségek jobb megértését.

Ez a kurzus felkészíti a tesztelőket és a minőségellenőrző munkatársakat a biztonsági tesztek megfelelő megtervezésére és precíz végrehajtására, a legmegfelelőbb eszközök és technikák kiválasztására és használatára a rejtett biztonsági hibák felkutatására is, így alapvető gyakorlati ismereteket ad, amelyeket a következő munkanapon is alkalmazni lehet.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Ismerje meg a OWASP Top Tízen túlmutató webes sebezhetőségeket, és tudja, hogyan kerülheti el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Ismerje meg a biztonsági tesztelési megközelítéseket és módszertanokat
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési technikák és eszközök használatáról
• Szerezzen forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők, tesztelők

A webes alkalmazások védelme jól felkészült biztonsági szakembert igényel, aki mindig naprakész az aktuális támadási módszerekkel és trendekkel. Sokféle technológia és környezet áll rendelkezésre, amelyek lehetővé teszik a webalkalmazások komfortos fejlesztését. Nem csak ezek platformokhoz kapcsolódó biztonsági kérdésekkel kell ismerősnek lenni, hanem az összes általános veszélyforrással is, amelyek függetlenül a használt fejlesztői eszközektől érvényesek.

A kurzus bemutatja a webalkalmazásokban alkalmazható biztonsági megoldásokat, külön figyelemmel a legfontosabb kriptográfiai megoldások megértésére. A különböző webalkalmazási veszélyforrásokat mind a szerver oldalon (a OWASP Top Ten után) és az ügyfél oldalon mutatják be, támadásokkal illusztrálva, és ajánlott kódolási technikákkal és problémák elkerülésére irányuló módokkal. A biztonságos kódolás témája a bemeneti validáció, biztonsági funkciók helytelen használata és a kód minőségével kapcsolatos tipikus programozási hibák megvitatásával folytatódik.

A tesztelés nagyon fontos szerepet játszik a webalkalmazások biztonságának és megbízhatóságának garantálásában. Sokféle megközelítést lehet alkalmazni – mint például a magas szintű felülvizsgálat, a behatolási tesztelés és az etikus hackerzés – a különböző típusú hibák felderítése érdekében. Azonban ha szeretnénk túlni a könnyen felfedhető alacsony-hanging gyümölcsök felett, a biztonsági tesztelést jól kell tervezni és megfelelően végrehajtanunk. Emlékezz: a biztonság-tesztelők ideális esetben minden hibát felfednek, hogy egy rendszert megvédjenek, míg az ellenségek számára elég egy kihasználható hiba felismertetése, hogy belejutjanak a rendszerbe.

A gyakorlati gyakorlatok segítenek megérteni a webalkalmazások veszélyforrásait, a programozási hibákat és legfontosabb részletben a problémák elkerülésére irányuló technikákat. Különböző tesztelési eszközök – mint biztonság-ellenőrzők, tűzfalak, proxy szerverek, fuzzing eszközök és statikus forráskód-analizátort adnak a kurzushoz, ami a munkahelyre közvetlenül alkalmazható gyakorlati készségeket nyújtja.

A kurzusra jelentkezők ezt tanulják meg

• Megértenek a biztonság, az IT-biztonság és a biztonságos programozás alapvető fogalmait
• Tanulnak webes veszélyforrásokat a OWASP Top Ten mellett és tudnak elkerülni őket
• Tanulnak ügyfél-oldali veszélyforrásokat és biztonságos programozási gyakorlatokat
• Biztosíthatnak a kriptográfia gyakorlati megértését
• Megértenek a biztonsági tesztelés megközelítéseit és módszertanát
• Elősegítik a biztonsági tesztelési technikák és eszközök gyakorlati ismeretét
• Informáltak lesznek a különböző platformok, keretrendszerek és könyvtárak legújabb veszélyforrásairól
• Megértenek a biztonságos programozási gyakorlatok forrásait és további olvasmányokat

Célközönség

Fejlesztők, Tesztelők

Ebben az oktató által vezetett élő képzésben Magyarország, a résztvevők megtanulhatják, hogyan alakítsák ki a megfelelő biztonsági stratégiát a DevOps biztonsági kihívások megoldása érdekében.

EC-Council Certified DevSecOps Engineer (ECDE) egy gyakorlati kurzus, amelyet olyan szakemberek számára terveztek, akik képesek lesznek a biztonság beépítésére az egész DevOps életcikluson keresztül, biztosítva a biztonságos szoftverfejlesztést a tervezéstől a telepítésig.

Ez az oktatóvezetett, élő képzés (online vagy helyszíni) középszintű szoftverfejlesztő és DevOps szakembereket céloz, akik integrálni szeretnének biztonsági gyakorlatokat a CI/CD pipeline-jaikba, biztosítva a biztonságos és megfelelőségi követelményeknek megfelelő kódszállításokat.

A képzés végére a résztvevők képesek lesznek:

• Értenek meg a DevSecOps elveit és gyakorlatát.
• Biztonságosággal ellátják a CI/CD pipeline minden szakaszát automatikus eszközök segítségével.
• Biztonságos programozási gyakorlatokat és sebezhetőségi skennelést vezettek be.
• Elkészülnek az ECDE vizsgára gyakorlati laborokkal és áttekintéssel.

A kurzus formátuma

• Interaktív előadás és beszélgetés.
• DevSecOps eszközök gyakorlati használata szimulált pipelineokban.
• Biztonságos fejlesztésre és telepítésre irányuló vezetett gyakorlatok.

A kurzus testreszabási lehetőségei

• A kurzus testreszabására a csapat munkafolyamatainak vagy eszközkészletének alapján, kérjük, lépjen kapcsolatba velünk a megrendezéshez.

Ez a tanfolyam Magyarország célja, hogy segítsen a következő feladatokban:

1. Fejlesztőknek segítséget nyújt a Biztonságos Kódírás technikáinak mesterségesítéséhez
2. Segítség nyújt a szoftvertesztelőknek abban, hogy a készüléket publikálás előtt teszteljék a rendszer biztonságát
3. Segítség nyújt a szoftverszabályozóknak abban, hogy megértik az alkalmazások körül ható kockázatokat
4. Segítség nyújt a csapatvezetőknek abban, hogy a biztonsági alapvonalakat állítsák be a fejlesztők számára
5. Segítség nyújt a webmastereknek abban, hogy a szervereket hiba nélküli módon konfigurálják

Ez a kurzus az ASP.net alapú biztonságos kódolási fogalmakat és elveket mutatja be az Open Web Application Security Project (OWASP) tesztelési módszerét használva. Az OWASP egy olyan online közösség, amely ingyenesen elérhető cikkek, módszertani irányelveket, dokumentációt, eszközöket és technológiákat készít a webalkalmazások biztonsága terén.

Ez a kurzus a Dot Net keretrendszer biztonsági funkcióit és a webalkalmazások biztonságosításának módjait mutatja be.