Cursuri de pregatire Testarea Securității Web - Securanța și Testarea Aplicațiilor Web folosind OWASP

Android este o platfornă deschisă pentru dispozitive mobile precum telefoanele și tabletele. Are o varietate vastă de caracteristici de securitate care facilită dezvoltarea unui software sigur; totuși, lipsește anumite aspecte de securitate care sunt prezente în alte platforme portabile. Cursul oferă o perspectivă completă a acestor caracteristici și evidențiază cele mai critice deficiențe cu care trebuie să fim conștienți, legate de Linux subiacent, sistemul de fișiere și mediul în general, precum și privind utilizarea permisiunilor și alte componente ale dezvoltării software-ului Android.

Sunt descrise atât pit-fallele de securitate tipice, cât și vulnerabilitățile pentru codul nativ și aplicațiile Java, împreună cu recomandări și practici bune pentru a evita și mitiga acestea. În numeroase cazuri, problemele discutate sunt susținute de exemple din viața reală și studii de caz. În cele din urmă, oferim o perspectivă scurtă asupra modului în care să folosim instrumentele de testare a securității pentru a descoperi orice greseli programatorice relevante cu securitate.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, a securității IT și a codării sigure
• Afla soluțiile de securitate pe Android
• Învața să utilizeze diferite caracteristici de securitate ale platformei Android
• Obține informații despre anumite vulnerabilități recente în Java pe Android
• Învața despre greșelile tipice de codare și cum să le evităm
• Obține înțelegerea vulnerabilităților codului nativ pe Android
• Realizeze consecințele severe ale gestionării nepotrivite a buffer-elor în codul nativ
• Înțelege tehniciile de protecție arhitecturale și slăbiciunile acestora
• Obține surse și citiri suplimentare despre practicile bune ale codării sigure

Public țintă

Profesioniști

Implementarea unei aplicații securizate în rețea poate fi dificilă, chiar și pentru dezvoltatorii care au utilizat în prealabil diverse elemente criptografice de bază (cum ar fi criptarea și semnăturile digitale). Pentru a-i face pe participanți să înțeleagă rolul și utilizarea acestor primitive criptografice, se oferă mai întâi o bază solidă privind principalele cerințe ale comunicării securizate - confirmare securizată, integritate, confidențialitate, identificare la distanță și anonimat - prezentând, în același timp, problemele tipice care pot afecta aceste cerințe, împreună cu soluții din lumea reală.

Deoarece un aspect critic al securității rețelelor este criptografia, sunt discutați și cei mai importanți algoritmi criptografici în criptografia simetrică, hashing, criptografia asimetrică și acordul de chei. În loc să prezinte un fundal matematic aprofundat, aceste elemente sunt discutate din perspectiva unui dezvoltator, prezentând exemple tipice de cazuri de utilizare și considerații practice legate de utilizarea criptografiei, cum ar fi infrastructurile cu cheie publică. Sunt prezentate protocoalele de securitate în multe domenii ale comunicării securizate, cu o discuție aprofundată asupra celor mai utilizate familii de protocoale, cum ar fi IPSEC și SSL/TLS.

Vulnerabilitățile criptografice tipice sunt discutate atât în legătură cu anumiți algoritmi criptografici, cât și cu protocoale criptografice, cum ar fi BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE și altele similare, precum și atacul de sincronizare RSA. În fiecare caz, considerațiile practice și consecințele potențiale sunt descrise pentru fiecare problemă, din nou, fără a intra în detalii matematice profunde.

În cele din urmă, având în vedere că tehnologia XML este esențială pentru schimbul de date prin aplicații în rețea, sunt descrise aspectele de securitate ale XML. Acestea includ utilizarea XML în cadrul serviciilor web și al mesajelor SOAP, alături de măsuri de protecție precum semnătura XML și criptarea XML - precum și punctele slabe ale acestor măsuri de protecție și problemele de securitate specifice XML, precum injectarea XML, atacurile XML cu entități externe (XXE), bombele XML și injectarea XPath.

Participanții la acest curs vor

• înțeleg conceptele de bază ale securității, securității IT și codării sigure
• să înțeleagă cerințele unei comunicări sigure
• Să învețe despre atacurile de rețea și apărarea la diferite niveluri OSI
• Vor avea o înțelegere practică a criptografiei
• Înțelegerea protocoalelor de securitate esențiale
• Înțelegerea unor atacuri recente împotriva criptosistemelor
• Obțineți informații despre unele vulnerabilități recente aferente
• Înțelegerea conceptelor de securitate ale serviciilor web
• Obțineți surse și lecturi suplimentare privind practicile de codare sigură

Audiență

Dezvoltatori, profesioniști

Această curs de trei zile acoperă bazele securizării codului C/C++ împotriva utilizatorilor malicioși care ar putea explota multe vulnerabilități din cod, legate de gestionarea memoriei și de procesarea intrărilor. Cursul abordează principiile scrierii codului securizat.

Chiar și programatorii cu experiență în Java nu stăpânesc prin toate mijloacele diferitele servicii de securitate oferite de Java și, de asemenea, nu sunt conștienți de diferitele vulnerabilități care sunt relevante pentru aplicațiile web scrise în Java.

Cursul - pe lângă introducerea componentelor de securitate ale ediției standard Java - abordează problemele de securitate ale ediției Java Enterprise (JEE) și ale serviciilor web. Discutarea serviciilor specifice este precedată de bazele criptografiei și ale comunicării sigure. Diverse exerciții tratează tehnici de securitate declarative și programatice în JEE, în timp ce se discută atât securitatea stratului de transport, cât și securitatea end-to-end a serviciilor web. Utilizarea tuturor componentelor este prezentată prin intermediul mai multor exerciții practice, în cadrul cărora participanții pot încerca ei înșiși API-urile și instrumentele discutate.

De asemenea, cursul trece în revistă și explică cele mai frecvente și grave erori de programare ale limbajului și platformei Java și vulnerabilitățile legate de web. Pe lângă erorile tipice comise de programatorii Java, vulnerabilitățile de securitate introduse acoperă atât probleme specifice limbajului, cât și probleme care decurg din mediul de execuție. Toate vulnerabilitățile și atacurile relevante sunt demonstrate prin exerciții ușor de înțeles, urmate de liniile directoare de codare recomandate și de posibilele tehnici de atenuare.

Participanții la acest curs vor

• Înțeleagă conceptele de bază ale securității, securității IT și codării sigure
• Să cunoască vulnerabilitățile Web dincolo de OWASP Top Ten și să știe cum să le evite
• Să înțeleagă conceptele de securitate ale serviciilor Web
• Să învețe să utilizeze diverse caracteristici de securitate ale mediului de dezvoltare Java
• Să aveți o înțelegere practică a criptografiei
• Să înțelegeți soluțiile de securitate ale Java EE
• Aflați despre greșelile tipice de codare și cum să le evitați
• Obțineți informații despre unele vulnerabilități recente din cadrul Java
• Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obțineți surse și lecturi suplimentare privind practicile de codare sigură

Audiență

Dezvoltatori

Descriere

Limbajul Java și Mediu de Execuție Runtim (JRE) au fost concepute pentru a fi libere de cele mai frecvente vulnerabilități securitare întâlnite în alte limbaje, cum ar fi C/C++. Cu toate acestea, dezvoltatorii de software și arhitecții ar trebui să cunoască nu doar modul de utilizare a celor diverse funcții de securitate ale mediului Java (securitate pozitivă), ci și să fie conștienți de numeroasele vulnerabilități care rămân relevante pentru dezvoltarea în Java (securitate negativă).

Introducerea serviciilor de securitate este precedată de o prezentare succintă a fundamentelor criptografiei, oferind un punct comun de referință pentru înțelegerea scopului și modului de funcționare al componentelor aplicabile. Utilizarea acestor componente este prezentată prin mai multe exerciții practice, unde participanții pot încerca API-urile discutate pe cont propriu.

Cursul abordează și explică cele mai frecvente și grave defecte de programare ale limbajului Java și a platformei, acoperind atât erorile tipice comise de dezvoltatorii Java, cât și problemele specifice limbajului și mediului. Toate vulnerabilitățile și atacurile relevante sunt demonstrative prin exerciții ușor de înțeles, urmate de directivile de cod recomandate și tehniciile posibile de mitigare.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, a securității IT și a codificării sigure
• Afla despre vulnerabilitățile Web dincolo de OWASP Top Ten și cum să le evite
• Învața să folosească diversele funcții de securitate ale mediului de dezvoltare Java
• Avea o înțelegere practică a criptografiei
• Afla despre erorile tipice de codificare și cum să le evite
• Obține informații despre unele vulnerabilități recente din cadrul Java
• Primește surse și lecturi suplimentare privind practicile de codificare sigură

Audiență

Dezvoltatori

Azi există o serie de limbaje de programare disponibile pentru a compila cod în framework-urile .NET și ASP.NET. Mediul oferă mijloace puternice pentru dezvoltarea securității, dar dezvoltatorii ar trebui să știe cum să aplice tehniciile de programare la nivel de arhitectură și codare pentru a implementa funcționalitatea dorită de securitate și pentru a evita vulnerabilități sau limita exploatarea acestora.

Scopul acestui curs este să învețe dezvoltatorii, prin numeroase exerciții practice, cum să prevină codul neîncredere de a efectua acțiuni privilegiate, cum să protejeze resursele prin autentificare și autorizare robuste, cum să ofere apeluri de procedură la distanță, cum să gestioneze sesiunile, cum să introducă implementări diferite pentru anumită funcționalitate și multe altele.

Prezentarea vulnerabilităților diferite începe cu prezentarea unor probleme de programare tipice comise atunci când se folosește .NET, în timp ce discuția despre vulnerabilitățile ASP.NET abordează și diversele setări ale mediului și efectele lor. În final, tema vulnerabilităților specifice ASP.NET nu numai că abordează unele provocări generale de securitate pentru aplicațiile web, dar și probleme speciale și metode de atac precum atacarea ViewState-ului sau atacurile cu terminare a șirurilor.

Participanții care urmează acest curs vor

• Înțelege conceptele de bază ale securității, IT securității și codificării sigure
• Aflați despre vulnerabilitățile web dincolo de OWASP Top Ten și cum să le evitați
• Învațați să folosiți diversele caracteristici de securitate ale mediului de dezvoltare .NET
• Obțineți cunoștințe practice în utilizarea unor instrumente de testare a securității
• Aflați despre greșelile tipice de codificare și cum să le evitați
• Obțineți informații despre vulnerabilitățile recente în .NET și ASP.NET
• Aflați sursele și lecturile suplimentare privind practicile de codificare sigură

Public țintă

Dezvoltatori

Cursul introduce unele concepte de securitate comune, oferă o panoramă despre natura vulnerabilităților indiferent de limbajele de programare și platformele utilizate și explică cum să gestionezi riscurile care se aplică în ceea ce privește securitatea software-ului în diversele faze ale ciclului de viață al dezvoltării software-ului. Fără a intra în detalii tehnice profunde, evidențiază câteva dintre cele mai interesante și dureri vulnerabilități din diferite tehnologii de dezvoltare software și prezintă provocările testării securității, precum și câteva tehniqi și instrumente care poți aplica pentru a găsi orice probleme existente în codul tău.

Participanții care urmează acest curs vor

• Comprende conceptele de bază ale securității, a securității IT și a codării sigure
• Comprende vulnerabilitățile Web atât la nivel de server cât și client
• Realizează consecințele severe ale gestionării nesigure a buffer-elor
• Sunt informați despre câteva vulnerabilități recente din mediile de dezvoltare și framework-uri
• Învăță despre greșelile comune de codare și cum să le evite
• Comprende abordările și metodologii ale testării securității

Publicul-țintă

Manageri

Cursul oferă dezvoltatorilor PHP competențele esențiale necesare pentru a face aplicațiile lor rezistente la atacurile contemporane prin intermediul internetului. Vulnerabilitățile web sunt discutate prin exemple bazate pe PHP care depășesc OWASP primele zece, abordând diverse atacuri prin injectare, injecții de script, atacuri împotriva gestionării sesiunii de PHP, referințe directe nesigure la obiecte, probleme cu încărcarea fișierelor și multe altele. Vulnerabilitățile legate de PHP sunt introduse grupate în tipurile standard de vulnerabilități: validarea de intrare lipsă sau necorespunzătoare, gestionarea incorectă a erorilor și excepțiilor, utilizarea necorespunzătoare a funcțiilor de securitate și problemele legate de timp și de stare. Pentru acestea din urmă, discutăm atacuri precum eludarea open_basedir, refuzul serviciului prin magic float sau atacul de coliziune a tabelelor hash. În toate cazurile, participanții se vor familiariza cu cele mai importante tehnici și funcții care trebuie utilizate pentru a atenua riscurile enumerate.

O atenție specială este acordată securității pe partea de client, abordând problemele de securitate din JavaScript, Ajax și HTML5. Sunt introduse o serie de extensii legate de securitate la PHP, cum ar fi hash, mcrypt și OpenSSL pentru criptografie, sau Ctype, ext/filter și HTML Purifier pentru validarea intrărilor. Cele mai bune practici de întărire sunt oferite în legătură cu configurarea PHP (setarea php.ini), Apache și serverul în general. În cele din urmă, se oferă o prezentare generală a diferitelor instrumente și tehnici de testare a securității pe care le pot utiliza dezvoltatorii și testerii, inclusiv scanere de securitate, teste de penetrare și pachete de exploatări, sniffere, servere proxy, instrumente de fuzzing și analizoare statice de cod sursă.

Atât introducerea vulnerabilităților, cât și practicile de configurare sunt susținute de o serie de exerciții practice care demonstrează consecințele atacurilor reușite, arată cum să se aplice tehnici de atenuare și introduc utilizarea diferitelor extensii și instrumente.

Participanții la acest curs vor

• Înțeleagă conceptele de bază ale securității, securității IT și codării sigure
• Să învețe vulnerabilitățile web dincolo de OWASP Top Ten și să știe cum să le evite
• Să învețe vulnerabilitățile din partea clientului și practicile de codare sigură
• Vor avea o înțelegere practică a criptografiei
• Învățați să utilizați diverse caracteristici de securitate ale PHP
• Învățați despre greșelile tipice de codare și cum să le evitați
• Să fiți informați cu privire la vulnerabilitățile recente ale cadrului PHP
• Obțineți cunoștințe practice în utilizarea instrumentelor de testare a securității
• Obțineți surse și lecturi suplimentare privind practicile de codare sigură

Audiență

Dezvoltatori

Instruirea combinată SDL core oferă o perspectivă asupra proiectării, dezvoltării și testării software-ului securizat prin intermediul Microsoft Secure Development Lifecycle (SDL). Acesta oferă o imagine de ansamblu la nivel 100 a blocurilor fundamentale ale SDL, urmate de tehnicile de proiectare care se aplică pentru detectarea și remedierea defectelor în stadiile incipiente ale procesului de dezvoltare.

În ceea ce privește faza de dezvoltare, cursul oferă o imagine de ansamblu a programelor tipice de securitate relevante atât pentru codurile de administrare, cât și pentru codurile native. Metodele de atac sunt prezentate pentru vulnerabilitățile discutate împreună cu tehnicile asociate de atenuare, toate explicate printr-o serie de exerciții practice care oferă distracție live hacking pentru participanți. Introducerea diferitelor metode de testare a securității este urmată de demonstrarea eficacității diferitelor instrumente de testare. Participanții pot înțelege funcționarea acestor instrumente printr-o serie de exerciții practice prin aplicarea instrumentelor la codul vulnerabil deja discutat.

Participantii care urmează această cursă vor

Înțelege conceptele de bază ale securității, securității IT și a codării securizate

Fi fiindcunoscuți cu pașii esențiali ai Microsoft Secure Development Lifecycle

Află despre practici de proiectare și dezvoltare secure

Află despre principii ale implementării securizate

Înțelege metodologia testării securității

• Poată obține surse și citiri suplimentare privind practicile de codificare securizată

Public

Dezvoltatori, Manageri

După ce se familiarizează cu vulnerabilitățile și metodele de atac, participanții învață despre abordarea generală și metodologia testelor de securitate, precum și despre tehnicile care pot fi aplicate pentru a descoperi vulnerabilități specifice. Testarea securității ar trebui să înceapă cu colectarea de informații despre sistem (ToC, adică ținta evaluării), apoi o modelare completă a amenințărilor ar trebui să dezvăluie și să evalueze toate amenințările, ajungând la cel mai adecvat plan de testare bazat pe analiza riscurilor.

Evaluările de securitate pot avea loc în diferite etape ale SDLC și, prin urmare, discutăm despre revizuirea proiectării, revizuirea codului, recunoașterea și colectarea informațiilor despre sistem, testarea implementării și testarea și întărirea mediului pentru o implementare sigură. Sunt prezentate în detaliu numeroase tehnici de testare a securității, cum ar fi analiza contaminării și revizuirea codului bazată pe euristică, analiza codului static, testarea vulnerabilității web dinamice sau fuzzing. Sunt prezentate diferite tipuri de instrumente care pot fi aplicate pentru a automatiza evaluarea securității produselor software, care este, de asemenea, susținută de o serie de exerciții, în care executăm aceste instrumente pentru a analiza codul vulnerabil deja discutat. Numeroase studii de caz din viața reală sprijină o mai bună înțelegere a diferitelor vulnerabilități.

Acest curs pregătește testerii și personalul QA să planifice în mod adecvat și să execute cu precizie testele de securitate, să selecteze și să utilizeze cele mai adecvate instrumente și tehnici pentru a găsi chiar și defecte de securitate ascunse și, astfel, oferă abilități practice esențiale care pot fi aplicate în următoarea zi de lucru.

Participanții la acest curs vor

• Înțeleagă conceptele de bază ale securității, securității IT și codării sigure
• Să învețe vulnerabilitățile web dincolo de OWASP Top Ten și să știe cum să le evite
• Să învețe vulnerabilitățile din partea clientului și practicile de codare sigură
• Înțelegerea abordărilor și metodologiilor de testare a securității
• Obțineți cunoștințe practice în utilizarea tehnicilor și instrumentelor de testare a securității
• Obțineți surse și lecturi suplimentare privind practicile de codare sigură

Audiență

Dezvoltatori, testeri

Protejarea aplicațiilor accesibile prin web necesită profesioniști bine pregătiții în domeniul securității, care să fie mereu la curent cu metodele și tendințele de atac actuale. Există o varietate de tehnologii și medii care permit dezvoltarea confortabilă a aplicațiilor web. În afară de a fi conștienți de problemele de securitate specifice acestor platforme, ar trebui să fie de asemenea familiarizați cu toate vulnerabilitățile generale care se aplică indiferent de instrumentele de dezvoltare utilizate.

În cadrul cursului se oferă o prezentare generală a soluțiilor de securitate aplicabile în aplicațiile web, cu accent pe înțelegerea celor mai importante soluții criptografice care trebuie implementate. Vulnerabilitățile diverse ale aplicațiilor web sunt prezentate atât la nivelul serverului (conform listei OWASP Top Ten) cât și la nivelul clientului, demonstrându-le prin intermediul atacurilor relevante, urmate de tehnici de codificare recomandate și metode de mitigație pentru evitarea problemelor asociate. Subiectul codificării securizate este încheiat prin discutarea unor greșeli tipice de programare cu importanță de securitate din domeniul validării datelor, utilizării incorecte a caracteristicilor de securitate și calității codului.

Testarea joacă un rol foarte important în asigurarea securității și robustei aplicațiilor web. Diverse abordări – de la auditările la nivel ridicat până la testarea de penetrare și hackingul etic – pot fi aplicate pentru a găsi vulnerabilități de tipuri diferite. Cu toate acestea, dacă doriți să mergeți mai departe decât fructele usor de strâns, testarea securității ar trebui bine planificată și executată corect. Amintiți-vă: testerii de securitate ar trebui să găsească ideal toate defectele pentru a proteja un sistem, în timp ce pentru adversari este suficient să găsească o vulnerabilitate utilizabilă pentru a pătrunde în el.

Exercițiile practice vor ajuta la înțelegerea vulnerabilităților aplicațiilor web, greșelilor de programare și, cel mai important, tehnicii de mitigație, împreună cu experimentele practice cu diverse instrumente de testare, de la scannere securizate, trecând prin sniffere, servere proxy, unelte de fuzzing până la analizatoare statice de cod sursă. Acest curs oferă abilitățile practice esențiale care pot fi aplicate în ziua următoare la locul de muncă.

Participanții ce urmează acest curs vor

• Înțelege conceptele de bază ale securității, IT securității și codificării securizate
• Învăța vulnerabilitățile Web dincolo de OWASP Top Ten și cum să le evite
• Învăța vulnerabilitățile la nivelul clientului și practicile de codificare securizată
• Avea o înțelegere practice a criptografiei
• Înțelege abordările și metodologiile testării securității
• Obține cunoștințe practice în utilizarea tehniciilor și uneltelelor de testare a securității
• Fii la curent cu vulnerabilitățile recente din diverse platforme, framework-uri și biblioteci
• Obține surse și lecturi suplimentare privind practicile de codificare securizată

Audiență

Dezvoltatori, Testeri

În acest curs instruit de un formator, live în Moldova, participanții vor învăța cum să elaboreze strategia de securitate potrivită pentru a face față provocărilor de securitate DevOps.

Acest curs în Moldova vizează să ajute la următoarele:

1. Să permită dezvoltatorilor să maitriseze tehniciile de scriere a codului securizat
2. Să ajute testерii software-ului să testeze securitatea aplicației înainte de publicarea în mediul de producție
3. Să permită arhitecților software să înțeleagă riscurile care împresupun aplicațiile
4. Să ajute liderii echipei să stabilească barierele de securitate pentru dezvoltatori
5. Să ajute web master-ii să configureze serverele pentru a evita configurările greșite

Acest curs acoperă conceptele și principiile codificării securizate cu Java prin intermediul metodologiei de testare Open Web Application Security Project (OWASP). Proiectul Open Web Application Security este o comunitate online care creează articole, metodologii, documentație, unelte și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs acoperă conceptele și principiile codării securizate cu ASP.net prin intermediul metodologiei de testare a Open Web Application Security Project (OWASP). OWASP este o comunitate online care creează articole, metodologii, documentații, unelte și tehnologii disponibile gratuit în domeniul securității aplicațiilor web.

Acest curs explorează funcțiile de securitate ale framework-ului .NET și modul de a securiza aplicațiile web.