Kurzusleírás
1. nap
- IT biztonság és biztonságos kódolás
- A biztonság természete
- IT biztonsággal kapcsolatos kifejezések
- A kockázat meghatározása
- Az IT biztonság különböző aspektusai
- Különböző alkalmazási területek követelményei
- IT-biztonság kontra biztonságos kódolás
- A sebezhetőségektől a botnetekig és a kiberbűnözésig
- A biztonsági hibák természete
- A nehézségek okai
- A fertőzött számítógéptől a célzott támadásokig
- A biztonsági hibák osztályozása
- Landwehr taxonómiája
- A hét veszedelmes királyság
- OWASP A legjobb tíz 2013
- OWASP A tíz legjobb összehasonlítása 2003–2013 között
- Az Microsoft® Security Development Lifecycle (SDL) bemutatása
- Napirend
- Támadás alatt álló alkalmazások...
- Kiberbűnözés evolúciója
- A támadások az alkalmazásokra összpontosulnak
- A legtöbb sebezhetőség a kisebb ISV-alkalmazásokban található
- Az Microsoft SDL eredete...
- Biztonsági idővonal: Microsoft...
- Mely alkalmazások szükségesek az SDL követéséhez?
- Microsoft Biztonságfejlesztési életciklus (SDL)
- Microsoft Biztonságfejlesztési életciklus (SDL)
- SDL előtti követelmények: Biztonsági képzés
- Első fázis: Követelmények
- Második fázis: Tervezés
- Harmadik fázis: Megvalósítás
- Negyedik fázis: Ellenőrzés
- Ötödik fázis: Kiadás – Választerv
- Ötödik fázis: Kiadás – Végső biztonsági felülvizsgálat
- Ötödik fázis: kiadás – archívum
- SDL utáni követelmény: Válasz
- SDL folyamatútmutató LOB-alkalmazásokhoz
- SDL útmutató a Agile módszertanokhoz
- A biztonságos szoftverfejlesztés folyamatfejlesztést igényel
- Biztonságos tervezési elvek
- Támadási felület
- Támadási felület csökkentése
- Támadási felület – példa
- Támadási felület elemzése
- Támadási felület csökkentése – példák
- Magánélet
- Magánélet
- Az alkalmazások viselkedésének és aggályainak megértése
- Mélyreható védekezés
- Az SDL alapelve: Mélységes védelem
- Mélyreható védekezés – példa
- A legkisebb kiváltság elve
- A legkisebb kiváltság – példa
- Biztonságos alapértelmezések
- Biztonságos alapértelmezések – példák
- Támadási felület
- Biztonságos megvalósítási elvek
- Napirend
- Microsoft Biztonságfejlesztési életciklus (SDL)
- Puffer túlcsordulás alapjai
- Intel 80x86 processzorok – fő regiszterek
- A memóriacím-elrendezés
- A függvényhívási mechanizmus a C/C++-ben x86-on
- A lokális változók és a veremkeret
- Verem túlcsordulás
- Puffer túlcsordulás a veremben
- Gyakorlatok – bevezetés
- BOFIntro gyakorlat
- BOFIntro gyakorlat – határozza meg a verem elrendezését
- BOFIntro gyakorlat – egyszerű kizsákmányolás
- Bemenet érvényesítése
- Bemeneti érvényesítési koncepciók
- Integer problémák
- Negatív egész számok ábrázolása
- Egész szám túlcsordulás
- Aritmetikai túlcsordulás – tippeld meg a kimenetet!
- IntOverflow gyakorlat
- Mi a Math.Abs(int.MinValue) értéke?
- Integer probléma enyhítése
- Integer probléma enyhítése
- Az aritmetikai túlcsordulás elkerülése – összeadás
- Az aritmetikai túlcsordulás elkerülése – szorzás
- Túlcsordulás észlelése a bejelölt kulcsszóval itt: C#
- Gyakorlat – A bejelölt kulcsszó használata az C#-ben
- Túlcsordulás által kiváltott kivételek a következőben: C#
- Esettanulmány – Egész számok túlcsordulása .NET-ben
- Valós egész számok túlcsordulási sebezhetősége
- Az egész számok túlcsordulási sebezhetőségének kihasználása
- Útvonal bejárásának sebezhetősége
- Út bejárás mérséklése
2. nap
- Biztonságos megvalósítási elvek
- Injekció
- Tipikus SQL Injekciós támadási módszerek
- Vak és időalapú SQL injekció
- SQL Injekció elleni védekezési módszerek
- Parancs injekció
- Törött hitelesítés - jelszókezelés
- Gyakorlat – A kivonatolt jelszavak gyengesége
- Jelszókezelés és tárolás
- Speciális célú hash algoritmusok jelszavak tárolására
- Cross-site Scripting (XSS)
- Cross-site Scripting (XSS)
- CSS injekció
- Kihasználás: injekció más HTML címkén keresztül
- XSS megelőzés
- Hiányzik a funkciószintű hozzáférés-vezérlés
- Fájlfeltöltések szűrése
- Gyakorlati kriptográfia
- Titoktartás biztosítása szimmetrikus titkosítással
- Szimmetrikus titkosítási algoritmusok
- Blokk titkosítások – működési módok
- Kivonat vagy üzenet kivonat
- Hash algoritmusok
- Üzenet hitelesítési kód (MAC)
- Integritás és hitelesség biztosítása szimmetrikus kulccsal
- Titoktartás biztosítása nyilvános kulcsú titkosítással
- Ökölszabály – a privát kulcs birtoklása
- Tipikus hibák a jelszókezelésben
- Gyakorlat – Kódolt jelszavak
- Következtetés
- Injekció
- Biztonságos ellenőrzési elvek
- Funkcionális tesztelés kontra biztonsági tesztelés
- Biztonsági sebezhetőségek
- Fontossági sorrend
- Biztonsági tesztelés az SDLC-ben
- A teszttervezés lépései (kockázatelemzés)
- Hatáskör és információgyűjtés
- Az érintettek
- Eszközök
- A támadási felület
- A tesztelés biztonsági céljai
- Fenyegetés modellezés
- Fenyegetés modellezés
- Támadó profilok
- Fenyegetés modellezés támadási fák alapján
- Fenyegetés modellezés visszaélés/visszaélés esetein
- Visszaélési/visszaélési esetek – egy egyszerű webáruház példa
- STRIDE elemenkénti megközelítés a fenyegetésmodellezésben – MS SDL
- A biztonsági célok azonosítása
- Diagramozás – példák DFD elemekre
- Adatfolyam diagram – példa
- Veszélyek felsorolása – az MS SDL STRIDE és DFD elemei
- Kockázatelemzés – a fenyegetések osztályozása
- A DREAD fenyegetés/kockázat rangsorolási modellje
- Biztonsági tesztelési technikák és eszközök
- Általános tesztelési módszerek
- Technikák az SDLC különböző lépéseihez
- Kód felülvizsgálata
- Kód felülvizsgálata a szoftverbiztonság érdekében
- Taint elemzés
- Heurisztika
- Statikus kódelemzés
- Statikus kódelemzés
- Statikus kódelemzés
- Gyakorlat – Statikus kódelemző eszközök használata
- A megvalósítás tesztelése
- Manuális futásidejű ellenőrzés
- Manuális vs. automatizált biztonsági tesztelés
- Penetrációs vizsgálat
- Stressz tesztek
- Elmosódott
- Automatizált biztonsági tesztelés – fuzzing
- A fuzzing kihívásai
- Webes sebezhetőség-ellenőrzők
- Gyakorlat – Sebezhetőségi szkenner használata
- A környezet ellenőrzése, keményítése
- Általános sebezhetőségi pontozási rendszer – CVSS
- Sebezhetőségi szkennerek
- Nyilvános adatbázisok
- Esettanulmány – Forms Authentication Bypass
- NULL bájtlezárással kapcsolatos biztonsági rés
- A kódban található Forms Authentication Bypass biztonsági rése
- Az Űrlap-hitelesítési bypass kihasználása
- Tudásforrások
- Biztonságos kódolási források – kezdőkészlet
- Sebezhetőségi adatbázisok
- .NET biztonságos kódolási irányelvek az MSDN-nél
- .NET biztonságos kódolási csalólapok
- Ajánlott könyvek – .NET és ASP.NET
Vélemények (10)
az előadások és gyakorlatok egyensúlya, a ritmus, az oktatói tudás és a pedagógiai készség
Armando Pinto - EID
Kurzus - C/C++ Secure Coding
Machine Translated
Very good knowledge and character.
Constantinos Michael
Kurzus - Java and Web Application Security
Folyamatosan erőltetve a változtatásokat, amikor a 3. napon kezdtem jobban eltévedni, mint korábban, és nehezebb volt gyorsan észrevenni a hibát, gyorsan meg tudtam nézni a legújabb változásokat és naprakész voltam az anyaggal
Paulina
Kurzus - Advanced Java Security
Machine Translated
Nagyon jó annak megértése, hogy egy hacker hogyan elemzi a webhelyek gyengeségeit és az általuk használt eszközöket.
Roger - OTT Mobile
Kurzus - .NET, C# and ASP.NET Security Development
Machine Translated
Beginning by how to hack to better understand how to secure was very interesting and appreciated.
Raphaël Capocasale - Mikron SA Boudry
Kurzus - Advanced C#, ASP.NET and Web Application Security
Web 的同源策略和跨域的内容,以及XSS 的危害,這個很貼切我們的工作。
Princess Ou - 广东溢达纺织有限公司
Kurzus - Web Application Security
Trainer willing to answer questions and give bunch of examples for us to learn.
Eldrick Ricamara - Human Edge Software Philippines, Inc. (part of Tribal Group)
Kurzus - Security Testing
Új szerszámok használatának elsajátítása. Leginkább a biztonsági tesztek végrehajtásának módja
Jason - Kropman
Kurzus - Secure Web Application Development and Testing
Machine Translated
The real life examples.
Marios Prokopiou
Kurzus - Secure coding in PHP
The Burpe suite i need more training in this