Secure Developer .NET (Inc OWASP) Kurzusok

A Kombinált SDL alapképzés betekintést nyújt a biztonságos szoftvertervezésbe, fejlesztésbe és tesztelésbe a Microsoft Secure Development Lifecycle (SDL) segítségével. Ez egy 100-as szintű áttekintést nyújt az SDL alapvető építőköveiről, ezt követi a tervezési technikák, amelyek a fejlesztési folyamat korai szakaszában lévő hibák észlelésére és javítására szolgálnak.

A fejlesztés fázisában a kurzus áttekintést ad a kezelt és a natív kód jellemző biztonsági programozási hibáiról. A támadási módszereket a szóban forgó sérülékenységekkel együtt a kapcsolódó enyhítő technikákkal mutatjuk be, amelyek mindegyike számos gyakorlati gyakorlattal magyarázható, amely a résztvevők számára élő hacker szórakozást kínál. Különböző biztonsági vizsgálati módszerek bevezetését követi a különböző vizsgálati eszközök hatékonyságának bemutatása. A résztvevők számos gyakorlati gyakorlaton keresztül megérthetik ezen eszközök működését, az eszközöket a már tárgyalt sérülékeny kódok alkalmazásával.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit

• Ismerje meg a Microsoft Secure Development Lifecycle lényeges lépéseit

• Ismerje meg a biztonságos tervezési és fejlesztési gyakorlatokat

• Ismerje meg a biztonságos végrehajtási elveket

• Ismerje meg a biztonsági tesztelési módszertant

• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők, menedzserek

Ez a háromnapos kurzus a C / C++ kód biztosításának alapjait tartalmazza a rosszindulatú felhasználók ellen, akik a kód kezelésében számos biztonsági rést használhatnak memóriakezeléssel és bemeneti kezeléssel, a kurzus a biztonságos kód írásának alapelveit tartalmazza.

Leírás

A Java nyelvet és a Runtime Environment (JRE) -et úgy tervezték, hogy mentesüljenek a leginkább problémás közös biztonsági résekről, amelyek más nyelveken tapasztaltak, mint a C / C++ . Ugyanakkor a szoftverfejlesztőknek és az építészeknek nemcsak a Java környezet különböző biztonsági jellemzőinek (pozitív biztonság) használatát kell tudniuk, hanem tisztában kell lenniük a Java fejlesztéssel (negatív biztonság) még mindig fontos sebezhetőséggel.

A biztonsági szolgáltatások bevezetését megelőzően rövid áttekintést ad a kriptográfia alapjairól, amely közös alapvonalat biztosít az alkalmazandó komponensek céljának és működésének megértéséhez. Ezeknek az összetevőknek a használatát számos gyakorlati gyakorlaton keresztül mutatjuk be, ahol a résztvevők saját maguk próbálhatják ki a megvitatott API-kat.

A kurzus a Java nyelv és a platform leggyakoribb és leggyakoribb programozási hibáit is megmagyarázza, amely a Java programozók által elkövetett tipikus hibákat, valamint a nyelvi és környezet-specifikus problémákat fedi le. Minden sebezhetőséget és a megfelelő támadásokat könnyen érthető gyakorlatokon keresztül mutatnak be, majd az ajánlott kódolási irányelvek és a lehetséges mérséklési technikák.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg a Java fejlesztői környezet különböző biztonsági funkcióinak használatát
• Gyakorlati megértése a kriptográfiáról
• Ismerje meg a tipikus kódolási hibákat, és hogyan lehet őket elkerülni
• Tájékozódjon a Java keretrendszer néhány legújabb biztonsági Java
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők

Leírás

A Java komponensek használatán túlmenően, még a tapasztalt Java programozók számára is elengedhetetlen, hogy mélyreható ismereteket szerezzen a webes biztonsági résekben mind a szerver, mind az ügyfél oldalán, a Java ban írt webalkalmazásokra vonatkozó különböző sebezhetőségekről és a következményekről a különböző kockázatokat.

Az általános webalapú sebezhetőségeket a megfelelő támadások bemutatásával mutatják be, míg az ajánlott kódolási technikák és a mérséklési módszerek a Java összefüggésében a legfontosabb célokat szolgálják a kapcsolódó problémák elkerülése érdekében. Ezenkívül különös figyelmet fordítanak a kliensoldali biztonságra a Java Script, Ajax és HTML 5 biztonsági kérdéseivel.

A kurzus bemutatja a Standard Java Edition biztonsági összetevőit, amelyek a kriptográfia alapjait megelőzően nyújtanak közös alapvonalat az alkalmazandó komponensek céljának és működésének megértéséhez. Az összes komponens használatát gyakorlati gyakorlatokon keresztül mutatjuk be, ahol a résztvevők kipróbálhatják a tárgyalt API-kat és eszközöket.

Végül a kurzus magyarázza a Java nyelv és a platform leggyakoribb programozási hibáit. A Java programozók által elkövetett tipikus hibák mellett a bevezetett biztonsági rések a nyelvspecifikus problémákat és a futási környezetből eredő problémákat is magukban foglalják. Minden sebezhetőséget és a megfelelő támadásokat könnyen érthető gyakorlatokon keresztül mutatnak be, majd az ajánlott kódolási irányelvek és a lehetséges mérséklési technikák.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatot
• Ismerje meg a Java fejlesztői környezet különböző biztonsági funkcióinak használatát
• Gyakorlati megértése a kriptográfiáról
• Ismerje meg a tipikus kódolási hibákat, és hogyan lehet őket elkerülni
• Tájékozódjon a Java keretrendszer néhány legújabb biztonsági Java
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési eszközök használatában
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők

Még a tapasztalt Java programozók sem minden esetben képesek a Java által kínált különféle biztonsági szolgáltatásokra, és nem is ismerik a Java-ban írt webes alkalmazások szempontjából releváns különböző sebezhetőségeket A tanfolyam - a szabványos Java Edition biztonsági összetevőinek bevezetése mellett - a Java Enterprise Edition (JEE) és a webes szolgáltatások biztonsági kérdéseivel foglalkozik Az egyes szolgáltatások megvitatását megelőzően a kriptográfia és a biztonságos kommunikáció alapjaira kerül sor Különféle gyakorlatok foglalkoznak a deklaratív és programozott biztonsági technikákkal a JEE-ban, miközben a webszolgáltatások mind a transportlayer, mind a endtoend biztonságát vitatják meg Az összes komponens használatát gyakorlati gyakorlatokon keresztül mutatják be, ahol a résztvevők kipróbálhatják a megvitatott API-kat és eszközöket maguk számára A kurzus is megy keresztül, és elmagyarázza a Java nyelv és platform leggyakoribb és legsúlyosabb programozási hibáit, valamint a webrelált sebezhetőségeket A Java programozók által elkövetett tipikus hibákon túl a bevezetett biztonsági rések mind a nyelvi specifikus problémákra, mind a futási környezetből eredő problémákra vonatkoznak Minden sérülékenységet és a vonatkozó támadásokat az easytounderstand gyakorlatokon keresztül mutatják be, amelyet követnek az ajánlott kódolási irányelvek és az esetleges enyhítő technikák A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket A webszolgáltatások biztonsági koncepcióinak megértése Tanulja meg a Java fejlesztői környezet különféle biztonsági szolgáltatásainak használatát Legyen gyakorlati megértése a titkosításról A Java EE biztonsági megoldásainak megértése Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Információk a Java-keretrendszer néhány legutóbbi sérülékenységéről Gyakorolj gyakorlati ismereteket a biztonsági tesztelési eszközök használatával kapcsolatban Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

A Java-komponensek használatának szilárd ismerete mellett, még a tapasztalt Java programozók számára is fontos, hogy mélyreható ismeretekkel rendelkezzen a webbel okozott sérülékenységekre mind a szerver, mind az ügyfél oldalán, a Java-ban írt webes alkalmazásokhoz kapcsolódó különböző sebezhetőségeket és a különböző kockázatok Az általános webbes sebezhetőségeket a releváns támadások bemutatásával mutatják be, míg az ajánlott kódolási technikák és enyhítési módszerek a Java kontextusában kerülnek ismertetésre, a legfontosabb cél a kapcsolódó problémák elkerülése Ezenkívül különös figyelmet fordítanak az ügyfelek biztonságára a JavaScript, az Ajax és a HTML5 biztonsági kérdéseire A kurzus bemutatja a szabványos Java Edition biztonsági összetevőit, melyeket a kriptográfia alapjai követnek, és közös alapvonalat biztosítanak az alkalmazandó összetevők céljának és működésének megértéséhez A Java Enterprise Edition biztonsági kérdései különböző gyakorlatokon keresztül mutatnak be, amelyek mind a deklaratív, mind a programozott biztonsági technikákat magyarázzák a JEE-ben Végül a kurzus magyarázza a Java nyelv és platform leggyakoribb és legsúlyosabb programozási hibáit A Java programozók által elkövetett tipikus hibákon túl a bevezetett biztonsági rések mind a nyelvi specifikus problémákra, mind a futási környezetből eredő problémákra vonatkoznak Minden sérülékenységet és a vonatkozó támadásokat az easytounderstand gyakorlatokon keresztül mutatják be, amelyet követnek az ajánlott kódolási irányelvek és az esetleges enyhítő technikák A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket Ismerje meg az ügyfelek sérülékenységeit és a biztonságos kódolási gyakorlatokat Tanulja meg a Java fejlesztői környezet különféle biztonsági szolgáltatásainak használatát Legyen gyakorlati megértése a titkosításról A webszolgáltatások biztonsági koncepcióinak megértése A Java EE biztonsági megoldásainak megértése Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Információk a Java-keretrendszer néhány legutóbbi sérülékenységéről Gyakorolj gyakorlati ismereteket a biztonsági tesztelési eszközök használatával kapcsolatban Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

Számos programozási nyelv áll rendelkezésre ma a .NET és ASP.NET keretek kódjának összeállításához. A környezet hatékony eszközöket biztosít a biztonság fejlesztéséhez, de a fejlesztőknek tudniuk kell, hogyan kell alkalmazni az architektúra- és kódolási szintű programozási technikákat a kívánt biztonsági funkciók megvalósítása és a sérülékenységek elkerülése vagy a kiaknázás korlátozása érdekében.

A kurzus célja, hogy a fejlesztőknek számos gyakorlati gyakorlattal tanítsák meg, hogyan akadályozzák meg a megbízhatatlan kódot a kiváltságos akciók végrehajtásában, az erőforrások erős hitelesítés és engedélyezés révén történő védelmében, távoli eljáráshívások kezdeményezésében, munkamenetek kezelésében, különböző funkciók bevezetésében, és sok több.

A különböző sebezhetőségek bevezetése a tipikus programozási problémák bemutatásával kezdődik, amikor a .NET használata során elkötelezett, míg az ASP.NET sebezhetőségének megbeszélése különböző környezeti beállításokkal és azok hatásával foglalkozik. Végül az ASP.NET-specifikus biztonsági rések témája nemcsak néhány általános webes alkalmazásbiztonsági kihívással foglalkozik, hanem speciális problémákkal és támadási módszerekkel is, mint például a ViewState támadásával vagy a karakterlánc-befejezési támadásokkal.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg a .NET fejlesztési környezet különböző biztonsági funkcióinak használatát
• Gyakorlati ismereteket szerezhet a biztonsági tesztelési eszközök használatában
• Ismerje meg a tipikus kódolási hibákat, és hogyan lehet őket elkerülni
• Tudjon meg többet a .NET és az ASP.NET legújabb biztonsági réseiről
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők

Számos programozási nyelv áll rendelkezésre ma, hogy kódot fordítsanak aNET és az ASPNET keretrendszerekre A környezet hatékony eszköze a biztonsági fejlesztésnek, de a fejlesztőknek tudniuk kell, hogyan alkalmazzák az architektúrát és a kódolási szinttel rendelkező programozási technikákat a kívánt biztonsági funkciók megvalósítása és a sebezhetőségek elkerülése vagy a kizsákmányolásuk korlátozása érdekében Ennek a kurzusnak az a célja, hogy a fejlesztőket számos kéziratos gyakorlaton keresztül tanítsa meg, hogyan lehet megakadályozni a megbízhatatlan kódot a kiváltságos cselekmények végrehajtásában, az erőforrások védelme erős hitelesítéssel és engedélyezéssel, távoli eljáráshívások, kezelési munkák, különböző megvalósítások bevezetése bizonyos funkciókhoz és még sok más Egy speciális szakasz aNET és az ASPNET környezet biztonságának megteremtésére és megerősítésére szolgál A kriptográfia alapjaira való rövid bevezetés közös gyakorlati alapot nyújt a különböző algoritmusok céljának és működésének megértéséhez, amely alapján a kurzus bemutatja aNET-ben használható kriptográfiai jellemzőket Ezt követi néhány legújabb kriptográfiai sebezhetőség, amelyek mindegyike kapcsolódik bizonyos kriptográfiai algoritmusokhoz és kriptográfiai protokollokhoz, valamint sidechannel támadásokhoz A különböző sebezhetőségek bevezetése néhány, aNET használatával elkövetett jellemző programozási problémákat ismertet, beleértve a bemeneti érvényesítés, a hibakezelés vagy a verseny feltételeinek hibakategóriáit Különös figyelmet fordítanak az XML biztonságra, míg az ASPNETspecifikus biztonsági rések témája néhány speciális problémát és támadási módot kezel mint például a ViewState támadása vagy a sztring megszüntetése A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Tanulja meg aNET fejlesztői környezet különféle biztonsági szolgáltatásainak használatát Legyen gyakorlati megértése a titkosításról Értsd meg a közelmúltbeli támadásokat a kriptoszisztémák ellen Információk aNET és az ASPNET legutóbbi biztonsági réseiről Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Gyakorolj gyakorlati ismereteket a biztonsági tesztelési eszközök használatával kapcsolatban Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

ANET és az ASPNET különféle biztonsági szolgáltatásainak szilárd ismerete mellett még a tapasztalt programozók számára is alapvető fontosságú, hogy mind a szerver, mind az ügyfél oldalán mélyen ismerjük a webrelált sebezhetőségeket, valamint a különböző kockázatok következményeit Ebben a kurzusban az általános webbes sebezhetőségeket mutatják be a megfelelő támadások bemutatásával, míg az ajánlott kódolási technikák és az enyhítő módszerek az ASPNET kontextusában magyarázhatók Különös figyelmet fordítanak az ügyfelek biztonságára a JavaScript, az Ajax és a HTML5 biztonsági problémáival A kurzus aNET keretrendszer biztonsági architektúrájával és komponenseivel is foglalkozik, beleértve a kód- és szerepalapú hozzáférés-ellenőrzési, engedélyezési és ellenőrzési mechanizmusokat és az átláthatósági modellt A kriptográfia alapjaira való rövid bevezetés közös gyakorlati alapot nyújt a különböző algoritmusok céljának és működésének megértéséhez, amely alapján a kurzus bemutatja aNET-ben használható kriptográfiai jellemzőket Különböző biztonsági hibák bevezetése követi a jól definiált sebezhetőségi kategóriákat, kezeli a bemeneti érvényesítést, a biztonsági jellemzőket, a hibakezelést, az idő és a staterelált problémákat, az általános kódminőséggel kapcsolatos kérdéseket és az ASPNETspecifikus biztonsági rések speciális szakaszát Ezeket a témákat olyan teszteszközök áttekintésével zárják le, amelyek segítségével fel tudják fedni a megtanult hibákat A témákat gyakorlati gyakorlatokon keresztül mutatják be, ahol a résztvevők kipróbálhatják egyes sérülékenységek, enyhítések, megvitatott API-k és eszközök következményeit A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket Ismerje meg az ügyfelek sérülékenységeit és a biztonságos kódolási gyakorlatokat Tanulja meg aNET fejlesztői környezet különféle biztonsági szolgáltatásainak használatát Legyen gyakorlati megértése a titkosításról Információk aNET és az ASPNET legutóbbi sebezhetőségeiről Gyakorolj gyakorlati ismereteket a biztonsági tesztelési eszközök használatával kapcsolatban Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

Az interneten elérhető alkalmazások védelmére jól felkészített biztonsági szakemberekre van szükség, akik mindig ismerik a jelenlegi támadási módszereket és trendeket. Rengeteg olyan technológia és környezet létezik, amelyek lehetővé teszik a webes alkalmazások kényelmes fejlesztését (mint például a Java , ASP.NET vagy PHP , valamint a Java parancsfájl vagy az Ajax az ügyfél oldalon). Nemcsak tisztában kell lennie az ezen platformokkal kapcsolatos biztonsági kérdésekkel, hanem az összes általános sebezhetőséggel is, amelyek a használt fejlesztőeszközöktől függetlenül érvényesek.

A tanfolyam áttekintést nyújt a webes alkalmazásokban alkalmazható biztonsági megoldásokról, összpontosítva a legfontosabb technológiákra, például a biztonságos kommunikációra és a webszolgáltatásokra, a szállítási réteg biztonságára és a végpontok közötti biztonsági megoldásokra és olyan szabványokra, mint például a Web Services Security és az XML . Röviden áttekintést ad a tipikus programozási hibákról is, amelyek mindenekelőtt a hiányzó vagy nem megfelelő bemeneti ellenőrzéshez kapcsolódnak.

A web alapú sebezhetőségeket a megfelelő támadások bemutatásával mutatják be, miközben az ajánlott kódolási technikákat és az enyhítő módszereket ismertetik a kapcsolódó problémák elkerülése érdekében. A gyakorlatokat a programozók könnyen követhetik, különféle programozási nyelveket használva, így a webes alkalmazásokkal kapcsolatos témák könnyen kombinálhatók más biztonságos kódolási témákkal, és így hatékonyan kielégíthetik a vállalati fejlesztési csoportok igényeit, akik általában különféle nyelvekkel és fejlesztési platformokkal foglalkoznak. webes alkalmazások fejlesztésére.

A tanfolyamon részt vevő résztvevők megteszik

• Megérteni a biztonság, az IT biztonság és a biztonságos kódolás alapelveit
• Ismerje meg az OWASP Top Ten túllépő webes sebezhetőségeit, és tudja, hogyan lehet ezeket elkerülni
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• A kriptográfia gyakorlati ismerete
• Ismerje meg a webszolgáltatások biztonsági koncepcióit
• Szerezzen gyakorlati ismereteket a biztonsági tesztelő eszközök használatában
• Szerezzen forrásokat és további információkat a biztonságos kódolási gyakorlatokról

Közönség

Fejlesztők

Miután megismerkedett a sérülékenységgel és a támadási módszerekkel, a résztvevők megismerkednek az általános megközelítéssel és a biztonsági tesztelés módszertanával, valamint a konkrét sebezhetőségek feltárására alkalmazható technikákkal A biztonsági tesztelésnek a rendszerre vonatkozó információk összegyűjtésével kell kezdődnie (ToC, azaz az értékelési cél), majd egy alapos fenyegetésmodellezésnek fel kell fednie és meg kell becsülnie az összes fenyegetést, és a legmegfelelőbb kockázatelemzést tartalmazó teszttervbe érkeznie kell Biztonsági értékelések történhetnek az SDLC különböző lépésein, így megbeszéljük a rendszer tervezésével kapcsolatos felülvizsgálatot, kódfelmérést, felderítést és információgyűjtést, a végrehajtás tesztelését és a környezet tesztelését és keményítését a biztonságos telepítés érdekében Számos különböző biztonsági tesztelési technikát vezettek be részletesen, mint például a töréselemzés és a heurisztikus alapú kódfigyelés, a statikus kódelemzés, a dinamikus web sebezhetőség tesztelése vagy a fuzzing Különféle típusú eszközök kerülnek bevezetésre, amelyek alkalmazhatók a szoftver termékek biztonsági értékelésének automatizálása érdekében, amelyet számos feladat is támogat, ahol ezeket az eszközöket végrehajtjuk a már tárgyalt sérülékeny kód elemzéséhez Sok valódi esettanulmány támogatja a különböző sebezhetőségek jobb megértését Ez a kurzus felkészíti a tesztelőket és a minőségbiztosítási személyzetet a biztonsági tesztek megfelelő tervezésére és pontosítására, a legmegfelelőbb eszközöket és technikákat, valamint rejtett biztonsági hibákat, és így a következő munkanapon alkalmazható alapvető gyakorlati készségeket A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket Ismerje meg az ügyfelek sérülékenységeit és a biztonságos kódolási gyakorlatokat Értsd meg a biztonsági tesztelési módszereket és módszereket Gyakorolj gyakorlati tudást a biztonsági tesztelési technikák és eszközök használatáról Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők, tesztelők .

A weben keresztül elérhető alkalmazások védelme jól felkészült biztonsági szakembert igényel, akik mindenkor tisztában vannak az aktuális támadási módszerekkel és trendekkel. Létezik olyan technológia és környezet létezése, amely lehetővé teszi a webes alkalmazások kényelmes fejlesztését. Nemcsak tisztában kell lennie az ezen platformokra vonatkozó biztonsági kérdésekkel, hanem az általánosan használt biztonsági résekkel is, amelyek a használt fejlesztési eszközöktől függetlenül érvényesek.

A kurzus áttekintést ad a webalkalmazásokban alkalmazott biztonsági megoldásokról, különös tekintettel az alkalmazandó legfontosabb kriptográfiai megoldások megértésére. A különböző webalkalmazás-sérülékenységeket a szerver oldalon (az OWASP Top Ten-t követve) és az ügyféloldali oldalon mutatják be, a vonatkozó támadásokkal bizonyítva, és a hozzá kapcsolódó problémák elkerülése érdekében az ajánlott kódolási technikák és az enyhítő módszerek követik. A biztonságos kódolás tárgya a tipikus biztonsági szempontból releváns programozási hibák megvitatása a bemeneti validálás, a biztonsági elemek nem megfelelő használata és a kódminőség területén.

A tesztelés nagyon fontos szerepet játszik a webes alkalmazások biztonságának és robusztusságának biztosításában. Különböző megközelítések - a magas szintű auditálástól a penetráció tesztelésig az etikus hackelésig - alkalmazhatók különböző típusú biztonsági rések megtalálására. Azonban, ha túlmutat a könnyen megtalálható, alacsony lógású gyümölcsökön, a biztonsági teszteket jól meg kell tervezni és megfelelően végrehajtani. Ne feledje: a biztonsági tesztelőknek ideális esetben meg kell találniuk a hibákat a rendszer védelme érdekében, míg az ellenfelek számára elegendő egy kihasználható sebezhetőség megtalálása a behatoláshoz.

A gyakorlati gyakorlatok segítenek megérteni a webalkalmazások sebezhetőségeit, a programozási hibákat, és ami a legfontosabb, hogy csökkentse a mérési technikákat, valamint a különböző vizsgálati eszközök biztonsági szkennerekből, szippantás, proxy szerverek, fosztogató eszközök és statikus forráskódelemzők segítségével történő gyakorlati kísérleteivel, ez a kurzus a olyan alapvető gyakorlati készségek, amelyeket a következő napon a munkahelyen lehet alkalmazni.

A résztvevők részt vesznek a tanfolyamon

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapelveit
• Ismerje meg a web sebezhetőségeit az OWASP Top Ten-n kívül, és tudja, hogyan kerülje el őket
• Ismerje meg az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatot
• Gyakorlati megértése a kriptográfiáról
• A biztonsági tesztelési megközelítések és módszerek megértése
• Gyere gyakorlati ismereteket a biztonsági tesztelési technikák és eszközök használatára
• Tájékozódjon a különböző platformok, keretek és könyvtárak legújabb biztonsági réseiről
• Szerezzen forrásokat és további olvasásokat a biztonságos kódolási gyakorlatról

Közönség

Fejlesztők, tesztelők

A kurzus alapvető készségeket nyújt a PHP fejlesztőknek, amelyek az alkalmazásoknak az interneten keresztül történő kortárs támadásokkal szemben ellenállóvá tételéhez szükségesek A web sérülékenységeket a PHP-alapú példákon túlmutatják az OWASP első tízen túl, különböző injekciós támadások, szkriptinjekciók, támadások a PHP munkamenet-kezelésével szemben, nem biztonságos közvetlen objektum-hivatkozások, fájl-feltöltési problémák és még sokan mások A PHPrel kapcsolatos sérülékenységeket a hiányzó vagy helytelen bemeneti érvényesítés, a helytelen hibák és kivételkezelés, a biztonsági funkciók helytelen használata, valamint az idő és a problémák elhárítása miatt csoportosítják Ez utóbbi esetben olyan támadásokról beszélünk, mint a nyílt forráskódú kijátszás, a mágia úszó vagy a hasistáblázat ütközéses támadása Minden esetben a résztvevők megismerkednek a legfontosabb technikákkal és funkcióikkal, amelyeket az enlistált kockázatok enyhítésére használnak Különös figyelmet fordítanak az ügyfelek biztonságára a JavaScript, az Ajax és a HTML5 biztonsági problémáival A PHP-hez számos biztonsággal kapcsolatos kiterjesztés kerül bevezetésre, mint a hash, az mcrypt és az OpenSSL a titkosításhoz, vagy a Ctype, ext / filter és a HTML Purifier a bemeneti érvényesítéshez A legjobb gyakorlatok megkönnyítése a PHP konfiguráció (phpini beállítás), az Apache és általában a szerver kapcsolatával történik Végül áttekintést kap a különféle biztonsági tesztelési eszközök és technikák, amelyeket a fejlesztők és a tesztelők használhatnak, beleértve a biztonsági szkennereket, a penetrációs tesztelést és a csomagok, snifferek, proxy szerverek, fuzzing eszközök és statikus forráskód-elemzők kihasználását Mind a sebezhetőségek bevezetését, mind a konfigurációs gyakorlatokat számos kéziratos gyakorlat támogatja, amelyek bemutatják a sikeres támadások következményeit, bemutatva, hogyan alkalmazzák az enyhítő technikákat és bevezetik a különböző kiterjesztések és eszközök használatát A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket Ismerje meg az ügyfelek sérülékenységeit és a biztonságos kódolási gyakorlatokat Legyen gyakorlati megértése a titkosításról Tanulja meg a PHP különböző biztonsági szolgáltatásait Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Legyen tájékozott a PHP keret legfrissebb sebezhetőségeiről Gyakorolj gyakorlati ismereteket a biztonsági tesztelési eszközök használatával kapcsolatban Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

A legjobb mód arra, hogy heterogén fejlesztési csoportokat használjunk, amelyek mindennapi munkájuk során egyidejűleg különféle platformokat használnak, különböző témákat egyesítettünk egy kombinált tanfolyamra, amely didaktikus módon jeleníti meg a különféle, biztonságos kódolási témákat egyetlen képzési eseményen Ez a kurzus egyesíti a C / C ++ és a Java platform biztonságát, hogy kiterjedt, keresztplatformos, biztonságos kódolási szakértelmet biztosítson A C / C ++ -re vonatkozóan a közös biztonsági résekkel foglalkoznak, amelyeket gyakorlati feladatokkal támasztanak alá a támadási módszerek, amelyek kihasználják ezeket a sebezhetőségeket, különös tekintettel az ilyen veszélyes hibák előfordulásának megelőzésére alkalmazható enyhítő technikákra, megakadályozzák azok kiaknázását A Java biztonsági elemeit és szolgáltatásait a különböző API-k és eszközök bemutatásával vitatják meg olyan gyakorlati gyakorlatokon keresztül, amelyekben a résztvevők kézműves tapasztalatokat szerezhetnek a használatuk során A kurzus magában foglalja a webes szolgáltatások biztonsági kérdéseit és a kapcsolódó Java szolgáltatásokat is, amelyek az internetalapú szolgáltatások legsúlyosabb fenyegetéseinek megelőzésére alkalmazhatók Végül, a webes és a javarelated biztonsági réseket bizonyítják az easytounderstand gyakorlatok, amelyek nemcsak a problémák legfőbb okait mutatják, hanem bemutatják a támadási módszereket, valamint az ajánlott enyhítő és kódolási technikákat a kapcsolódó biztonsági problémák elkerülése érdekében A tanfolyamon résztvevők részt vehetnek Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát Ismerje meg a webes sérülékenységeket az OWASP Top Ten oldalán, és tudja, hogyan kerülheti el őket Ismerje meg az ügyfelek sérülékenységeit és a biztonságos kódolási gyakorlatokat Tanulja meg a Java fejlesztői környezet különféle biztonsági szolgáltatásainak használatát Legyen gyakorlati megértése a titkosításról Ismerje meg a nem biztonságos puffer kezelés súlyos következményeit Ismerje meg az építészeti védelmi technikákat és azok gyengeségeit Ismerje meg a tipikus kódolási hibákat, és hogyan kerülheti el őket Legyen tájékozott a különböző platformok, keretek és könyvtárak legutóbbi sebezhetőségeiről Forrásokat és további olvasmányokat szerezzen a biztonságos kódolási gyakorlatokról Közönség Fejlesztők .

Még a tapasztalt programozók sem ismerik a fejlesztési platformjuk által kínált különböző biztonsági szolgáltatásokat, és nem is ismerik a fejlődésük szempontjából releváns különböző sebezhetőségeket. Ez a kurzus célja, hogy a fejlesztők használják mind a Java és PHP, amely biztosítja nekik az alapvető készségek szükségesek, hogy alkalmazásaik ellenállnak a kortárs támadások az interneten keresztül.

A Java biztonsági architektúra szintjeit a hozzáférési ellenőrzés, a hitelesítés és az engedélyezés, a biztonságos kommunikáció és a különböző kriptográfiai funkciók kezelése végzi. Különböző API-k is bevezetik, amelyek használhatók a kód biztonsági PHP, mint például OpenSSL for cryptography vagy HTML Purifier for input validation. A szerver oldalán a legjobb gyakorlatokat az operációs rendszer, a webes tartály, a fájlrendszer, a SQL szerver és maga PHP megerősítésére és konfigurálására adják, míg különös hangsúlyt fektetnek az ügyfél oldalán lévő biztonságra a JavaScript, Ajax és HTML5 biztonsági problémák révén.

Az általános webes sebezhetőségeket a OWASP Top Ten-hoz igazított példákkal vitatják, amelyek a különböző injekciós támadások, a forgatókönyv injekciói, az üléskezelés elleni támadások, a bizonytalan közvetlen objektum-referenciák, a fájlfelvételsel kapcsolatos problémák és még sok más. A különböző Java- és PHP-specifikus nyelvi problémák és problémák, amelyek a munkaidő környezetből származnak, csoportosulnak a hiányzó vagy helytelen beviteli validáció szabványos sebezhetőségtípusaiba, a biztonsági funkciók helytelen használata, a helytelen hibák és kivételek kezelése, az idő- és állapotproblémák, a kódminőségi problémák és a mobil kódhoz kapcsolódó sebezhetőségek.

A résztvevők kipróbálhatják a megvitatott API-ket, az eszközöket és a konfigurációk hatásait maguknak, míg a sebezhetőségek bevezetését számos gyakorlati gyakorlat támogatja, amely a sikeres támadások következményeit mutatja, megmutatja, hogyan kell javítani a hibákat és alkalmazni a enyhítési technikákat, és bevezeti a különböző kiterjesztések és eszközök használatát.

A tanfolyamon részt vevő résztvevők

• Ismerje meg a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmát
• Ismerje meg a webes sebezhetőségeket OWASP Top Tíz és tudja, hogyan lehet elkerülni őket
• Ismerje meg az ügyfél oldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Ismerje meg a fejlesztési környezet különböző biztonsági jellemzőinek használatát Java
• A kriptográfia gyakorlati megértése
• Ismerje meg a különböző biztonsági funkciók használatát PHP
• A webes szolgáltatások biztonsági koncepcióinak megértése
• gyakorlati ismeretek megszerzése a biztonsági tesztelési eszközök használatában
• Ismerje meg a tipikus kódolási hibákat és hogyan lehet elkerülni őket
• Ismerje meg a legutóbbi sebezhetőségeket a Java és PHP keretekben és könyvtárakban
• Hozzon forrásokat és további olvasmányokat a biztonságos kódolási gyakorlatokról

közönség

Fejlesztők