Application Security Kurs i Norge

Denne instruktørledede, liveopplæringen i Norge (online eller på stedet) er rettet mot utviklere på middels til avansert nivå som ønsker å forstå og bruke sikker kodingspraksis, identifisere sikkerhetsrisikoer i programvare og implementere forsvar mot cybertrusler.

Ved slutten av denne opplæringen vil deltakerne kunne:

• Forstå vanlige sikkerhetssårbarheter i web- og programvareapplikasjoner.
• Analyser sikkerhetstrusler og utnytte teknikker som brukes av angripere.
• Implementer sikker kodingspraksis for å redusere sikkerhetsrisikoer.
• Bruk sikkerhetstestingsverktøy for å identifisere og fikse sårbarheter.

EC-Council Certified DevSecOps Engineer (ECDE) er en praktisk kurs som er designet for å utstyre fagpersoner med ferdigheter til å innlemme sikkerhet gjennom DevOps livssyklusen, slik at sikker programvareutvikling blir mulig fra planlegging til utplasserings.

Denne instruktørledede, direkte treningen (online eller på sted) er rettet mot mellomnivå software- og DevOps fagpersoner som ønsker å integrere sikkerhetspraksiser i CI/CD-pipelines, og sikre sikker og samsvarende kodeleveranser.

Ved slutten av denne treningen vil deltakerne kunne:

• Forstå prinsippene og praksisene i DevSecOps.
• Sikre hver fase i CI/CD-pipeline ved hjelp av automatiserte verktøy.
• Implementere sikre kodingspraksiser og sårbarhetsskanning.
• Forberede seg på ECDE-sertifiseringen med praktiske laboratorier og gjennomgang.

Format på kurset

• Interaktiv forelesning og diskusjon.
• Håndtering av DevSecOps-verktøy i simulerte pipelines.
• Veiledede øvelser som fokuserer på sikker utvikling og utplasserings.

Kursets tilpassingsmuligheter

• For å be om en tilpasset trening for dette kurset basert på ditt teams arbeidsflyt eller verktøykjede, vennligst kontakt oss for å avtale.

Android er en åpen plattform for mobile enheter som smarte telefoner og nettbrett. Den har et bredt utvalg av sikkerhetsfunksjoner for å gjøre utviklingen av sikker programvare lettere. Imidlertid mangler den visse sikkerhetsaspekter som finnes i andre håndholdte plattformer. Kurset gir en grundig oversikt over disse funksjonene og peker på de mest kritiske manglene man bør være oppmerksom på, relatert til underliggende Linux, filsystemet og miljøet i det hele tatt, samt bruk av tillatelser og andre Android programmeringskomponenter.

Typiske sikkerhetsfellestegn og sårbarheter beskrives for både native kode og Java applikasjoner, sammen med anbefalinger og beste praksis for å unngå og redusere dem. I mange av de diskuterte tilfeller støttes problemene med eksempler fra virkeligheten og case-studier. Til slutt gir vi en kort oversikt over hvordan man bruker sikkerhetstestverktøy for å avsløre programmeringsfeil som er relevante for sikkerhet.

Deltakere som følger dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og sikker kodeutvikling
• Lære om sikkerhetsløsninger på Android
• Lære å bruke ulike sikkerhetsfunksjoner på Android plattformen
• Få informasjon om noen nylige sårbarheter i Java på Android
• Lære om typiske kodingfeil og hvordan man unngår dem
• Forstå sårbarheter i native kode på Android
• Forstå de alvorlige konsekvensene av usikker buffertbehandling i native kode
• Forstå arkitekturbeskyttelsesteknikker og deres svakheter
• Få kilder og videre lesning om sikker kodeutvikling

Målgruppe

Fagfolk

En rekke programmeringsspråk er tilgjengelige i dag for å kompilere kode til .NET- og ASP.NET-rammeverk. Miljøet gir kraftige midler for sikkerhetsutvikling, men utviklere bør vite hvordan de skal bruke programmeringsteknikker på arkitektur- og kodingsnivå for å implementere ønsket sikkerhetsfunksjonalitet og unngå sårbarheter eller begrense utnyttelsen av dem.

Målet med dette kurset er å lære utviklere gjennom en rekke praktiske øvelser hvordan man forhindrer uklarert kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisasjon, gi eksterne prosedyrekall, håndtere økter, introdusere forskjellige implementeringer for visse funksjoner, og mange flere. En spesiell seksjon er viet til konfigurasjon og herding av .NET- og ASP.NET-miljøene for sikkerhet.

En kort introduksjon til grunnlaget for kryptografi gir en felles praktisk grunnlinje for å forstå formålet og virkemåten til ulike algoritmer, basert på hvilke kurset presenterer de kryptografiske funksjonene som kan brukes i .NET. Dette etterfølges av introduksjonen av noen nylige kryptosårbarheter både relatert til visse kryptoalgoritmer og kryptografiske protokoller, samt sidekanalangrep.

Introduksjon av forskjellige sårbarheter starter med å presentere noen typiske programmeringsproblemer som oppstår ved bruk av .NET, inkludert feilkategorier for inndatavalidering, feilhåndtering eller raseforhold. Et spesielt fokus er gitt til XML sikkerhet, mens temaet ASP.NET-spesifikke sårbarheter takler noen spesielle problemer og angrepsmetoder: som å angripe ViewState eller strengtermineringsangrepene.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lær å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå noen nylige angrep mot kryptosystemer
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Lær om typiske kodefeil og hvordan du unngår dem
• Få praktisk kunnskap i bruk av verktøy for sikkerhetstesting
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Implementering av en sikker nettverksapplikasjon kan være vanskelig, selv for utviklere som kan ha brukt ulike kryptografiske byggeblokker (som kryptering og digitale signaturer) på forhånd. For å få deltakerne til å forstå rollen og bruken av disse kryptografiske primitivene, gis først et solid grunnlag på hovedkravene til sikker kommunikasjon – sikker anerkjennelse, integritet, konfidensialitet, fjernidentifikasjon og anonymitet – samtidig som det presenteres de typiske problemene som kan skade disse kravene sammen med virkelige løsninger.

Siden et kritisk aspekt ved nettverkssikkerhet er kryptografi, diskuteres også de viktigste kryptografiske algoritmene innen symmetrisk kryptografi, hashing, asymmetrisk kryptografi og nøkkelavtale. I stedet for å presentere en utdypende matematisk bakgrunn, diskuteres disse elementene fra en utviklers perspektiv, og viser typiske use-case eksempler og praktiske betraktninger knyttet til bruk av krypto, for eksempel offentlige nøkkelinfrastrukturer. Sikkerhetsprotokoller i mange områder av sikker kommunikasjon introduseres, med en grundig diskusjon om de mest brukte protokollfamiliene som IPSEC og SSL/TLS.

Typiske kryptosårbarheter diskuteres både relatert til visse kryptoalgoritmer og kryptografiske protokoller, som BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE og lignende, samt RSA-timingangrepet. I hvert tilfelle beskrives de praktiske hensyn og potensielle konsekvenser for hvert problem, igjen, uten å gå inn i dype matematiske detaljer.

Til slutt, siden XML-teknologi er sentral for datautveksling med nettverksapplikasjoner, er sikkerhetsaspektene ved XML beskrevet. Dette inkluderer bruken av XML i nettjenester og SOAP-meldinger sammen med beskyttelsestiltak som XML signatur og XML kryptering – samt svakheter i disse beskyttelsestiltakene og XML-spesifikke sikkerhetsproblemer som XML injeksjon, XML ekstern enhet (XXE) angrep, XML bomber og XPath injeksjon.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper innen sikkerhet, IT-sikkerhet og sikker koding
• Forstå kravene til sikker kommunikasjon
• Lær om nettverksangrep og forsvar på forskjellige OSI-lag
• Ha en praktisk forståelse av kryptografi
• Forstå viktige sikkerhetsprotokoller
• Forstå noen nylige angrep mot kryptosystemer
• Få informasjon om noen nylige relaterte sårbarheter
• Forstå sikkerhetskonsepter for webtjenester
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere, fagfolk

Denne kurset gir ekspertise innen sikkerhetskoding på tverrs av plattformer ved å kombinere C/C++, Java og webapplikasjonssikkerhet i én integrert opplæringspakke. Deltakerne lærer om moderne sårbarheter, angrepsmetoder og sikker utviklingspraksis overfor heterogene miljøer.

Dette kurset ledet av en instruktør (online eller på stedet) er rettet mot mellomnivå- til avanserte utviklere som ønsker å styrke sine sikkerhetskodingpraksiser for bedrifts- og webapplikasjoner.

Ved avslutningen av dette kurset vil deltakerne kunne:

• Anvende sikkerhetskodingprinsipper i C/C++- og Java-utviklingsmiljøer.
• Identifisere og redusere vanlige sårbarheter som buffer overflow, SQL-injeksjon og XSS.
• Implementere og konfigurere Java-sikkerhetsytelser og APIer effektivt.
• Forstå OWASP Top Ten og mer, inkludert klientside-sikkerhetsrisiko.
• Bruke kryptografi på en sikker måte for databeskyttelse og kommunikasjon.
• Analysere kode for arkitektoniske svakheter og anvende defensive kodingstrategier.
• Holdes oppdatert om de siste sårbarheter i plattformer, rammeverk og biblioteker.

Kursets format

• Interaktiv forelesning og diskusjon.
• Hånd-på sikkerhetskoding-lab og demonstrasjoner av utnyttelser.
• Sakshåndtering og analyse av virkelige sårbarheter.

Tilpassningsmuligheter for kurset

• For å bestille et tilpasset kurs, vennligst kontakt oss for å avtale.

Skyadoptering endrer hvordan applikasjoner bygges, distribueres og driftsettes — med et ansvarsslitas mellom leverandør og kunde, samtidig som det introduceres sky-nativer platformer (containere, serverless, administerte tjenester) som krever tilpassede sikkerhetskontroller. Sikkerhet må derfor adressere infrastrukturforstøyring, identitets- og akses administration, dataskjutning, sikre utviklingspraksiser, og sky-spesifikke truslemål.

Denne instruktørledede, live-træningen (online eller på stedet) er rettet mot mellomnivå-utviklere, sikkerhetsingeniører og IT-ledere som ønsker å oppnå praktiske, håndgripelige ferdigheter for å sikre skyapplikasjoner og deres underliggende infrastruktur, samtidig som de lærer gjentakbare kontroller og vurderingsteknikker som avspeglere nåværende bransjestandarder og skyleverandørs råd.

Ved slutten av denne træningen vil deltakerne kunne:

• Forklare den felles ansvarslitas modellen for skyen og anvende den i beslutninger rundt applikasjonssikkerhet.
• Forstyrre skyinfrastruktur (IaaS), sikre plattformservices (PaaS) og vurdere SaaS-konfigurasjoner.
• Anvende sikker koding og OWASP-baserte mitigeringsskjemalag for skyhostede applikasjoner.
• Integrasjon av sikkerhetstøyling i CI/CD-pipliner (SAST/DAST/IAST/RASP) og adopter skifte-til-høyre praksis.

Kursets format

• Interaktiv forelesning og diskusjon knyttet til live demonstrasjoner.
• Håndig praksis i laboratorier med skykonsoller, containere, serverless funksjoner og CI/CD-pipliner.
• Praktiske øvelser: sikker konfigurasjon, sårbarhets scanning, angreps simulering og remsningsplanlegging.

Kursendringsoptjoner

• For å be om en tilpasset træning for dette kurset, vennligst kontakt oss for å arrangere.

Denne tre-dagers kurset dekker grunnleggende sikkerhet for C/C++ kode mot skadelige brukere som kan utnytte mange svakheter i koden vedrørende minnehåndtering og innhenting av inndata. Kurset dekker prinsippene for å skrive sikker kode.

Engang erfarne Java-programmerer mestrer ikke nødvendigvis alle de ulike sikkerhetstjenestene som tilbys av Java, og er heller ikke klar over de forskjellige sårbarhetene som er relevante for webapplikasjoner skrevet i Java.

Kurset – i tillegg til å introdusere sikkerhetskomponentene i Standard Java Edition – behandler sikkerhetsproblemer i Java Enterprise Edition (JEE) og webtjenester. Diskusjon av spesifikke tjenester forutgås av grunnleggende kryptografi og sikker kommunikasjon. Ulike øvelser omhandler deklarativ og programmerbar sikkerhetsteknikk i JEE, mens både transportlag- og ende-til-ende-sikkerheten til webtjenester diskuteres. Bruk av alle komponenter presenteres gjennom flere praktiske øvelser, hvor deltakerne kan prøve ut de diskuterte APIene og verktøyene selv.

Kurset går også gjennom og forklarer de vanligste og alvorligste programmeringsfeilene i Java-språket og plattformen og web-relaterte sårbarheter. I tillegg til typiske feil som Java-programmerer gjør, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra køringsmiljøet. Alle sårbarheter og relevante angrep demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodeveiledninger og mulige metoder for å redusere risikoen.

Deltakere som følger dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og sikker kodeteknikk
• Lære om web-sårbarheter utenfor OWASP Topp Ti og hvordan unngå dem
• Forstå sikkerhetsbegreper for webtjenester
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetsløsninger i Java EE
• Lære om typiske kodefeil og hvordan unngå dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikker kodeteknikk

Målgruppe

Utviklere

Selv erfarne programmerere mestrer ikke på alle måter de ulike sikkerhetstjenestene som tilbys av deres utviklingsplattformer, og er heller ikke klar over de ulike sårbarhetene som er relevante for deres utvikling. Dette kurset retter seg mot utviklere som bruker både Java og PHP, og gir dem viktige ferdigheter som er nødvendige for å gjøre applikasjonene deres motstandsdyktige mot moderne angrep via Internett.

Nivåer av Java sikkerhetsarkitektur går gjennom ved å takle tilgangskontroll, autentisering og autorisasjon, sikker kommunikasjon og ulike kryptografiske funksjoner. Ulike APIer er også introdusert som kan brukes til å sikre koden din i PHP, som OpenSSL for kryptografi eller HTML Purifier for inputvalidering. På serversiden er de beste fremgangsmåtene gitt for herding og konfigurering av operativsystemet, webcontaineren, filsystemet, SQL serveren og PHP selv, mens et spesielt fokus er gitt til klientsidesikkerhet gjennom sikkerhet utgaver av JavaScript, Ajax og HTML5.

Generelle nettsårbarheter blir diskutert av eksempler på linje med OWASP Topp ti, som viser ulike injeksjonsangrep, skriptinjeksjoner, angrep mot økthåndtering, usikre direkte objektreferanser, problemer med filopplastinger og mange andre. De forskjellige Java- og PHP-spesifikke språkproblemene og problemene som stammer fra kjøretidsmiljøet er introdusert gruppert i standard sårbarhetstyper som manglende eller feilaktig inndatavalidering, feil bruk av sikkerhetsfunksjoner, feil- og unntakshåndtering, tid- og statsrelaterte problemer, kodekvalitetsproblemer og mobilkoderelaterte sårbarheter.

Deltakerne kan prøve ut de diskuterte APIene, verktøyene og effektene av konfigurasjoner for seg selv, mens introduksjonen av sårbarheter støttes av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan man kan korrigere feilene og bruke avbøtende teknikker , og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem
• Lær sårbarheter på klientsiden og sikker kodingspraksis
• Lær å bruke ulike sikkerhetsfunksjoner i utviklingsmiljøet Java
• Ha en praktisk forståelse av kryptografi
• Lær å bruke ulike sikkerhetsfunksjoner i PHP
• Forstå sikkerhetskonsepter for webtjenester
• Få praktisk kunnskap i bruk av verktøy for sikkerhetstesting
• Lær om typiske kodefeil og hvordan du unngår dem
• Bli informert om nylige sårbarheter i Java og PHP rammeverk og biblioteker
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Beskrivelse

Java-språket og Runtime Environment (JRE) ble designet for å være fri for de mest problematiske vanlige sikkerhets-svikt som oppleves i andre språk, som C/C++. Likevel bør softwareutviklere og arkitekter ikke bare kjenne til hvordan man bruker de ulike sikkerhetsfunksjonene i Java-miljøet (positiv sikkerhet), men de bør også være klar over de mange svikt som fremdeles er relevante for Java-utvikling (negativ sikkerhet).

Innføringen av sikkerhetstjenester forutsetter en kort oversikt over grunnleggende kryptering, som gir en felles basis for å forstå hensikten og funksjonen til de relevante komponentene. Bruken av disse komponentene presenteres gjennom flere praktiske øvelser, hvor deltakerne kan prøve ut de diskuterte APIene selv.

Kurset går også gjennom og forklarer de vanligste og alvorligste programmeringsfeilene i Java-språket og -plattformen, og dekker både typiske feil som Java-programmerere gjør og språk- og miljøspesifikke problemer. Alle svikt og relevante angrep demonstreres gjennom lett-forståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige dempningsmetoder.

Deltakere på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker kodering
• Lære om web-svikt utenfor OWASP Topp Ti og hvordan unngå dem
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptering
• Lære om typiske kodingsfeil og hvordan unngå dem
• Få informasjon om noen nylige svikt i Java-rammeverket
• Få kilder og videre lesing om sikker kodering

Målgruppe

Utviklere

Beskrivelse

Utover solid kunnskap i bruk av Java komponenter, selv for erfarne Java programmerere er det viktig å ha dyp kunnskap om nettrelaterte sårbarheter både på server- og klientsiden, de ulike sårbarhetene som er relevante for webapplikasjoner skrevet i Java ], og konsekvensene av de ulike risikoene.

Generelle nettbaserte sårbarheter demonstreres gjennom å presentere de relevante angrepene, mens anbefalte kodeteknikker og avbøtende metoder er forklart i sammenheng med Java med det viktigste målet å unngå de tilhørende problemene. I tillegg er det gitt et spesielt fokus på sikkerhet på klientsiden som håndterer sikkerhetsproblemer med JavaScript, Ajax og HTML5.

Kurset introduserer sikkerhetskomponenter i Standard Java Edition, som er innledet med grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet og virkemåten til de aktuelle komponentene. Bruken av alle komponentene presenteres gjennom praktiske øvelser, hvor deltakerne selv kan prøve ut de diskuterte APIene og verktøyene.

Til slutt forklarer kurset de hyppigste og mest alvorlige programmeringsfeilene ved Java språket og plattformen. Foruten de typiske feilene begått av Java programmerere, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene demonstreres gjennom enkle øvelser, etterfulgt av anbefalte retningslinjer for koding og mulige avbøtende teknikker.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem
• Lær sårbarheter på klientsiden og sikker kodingspraksis
• Lær å bruke ulike sikkerhetsfunksjoner i utviklingsmiljøet Java
• Ha en praktisk forståelse av kryptografi
• Lær om typiske kodefeil og hvordan du unngår dem
• Få informasjon om noen nylige sårbarheter i rammeverket Java
• Få praktisk kunnskap i bruk av verktøy for sikkerhetstesting
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Deltakere som deltar på dette kurset i Norge vil

• Forstå grunnleggende konsepter innen sikkerhet, IT-sikkerhet og sikker kodingspraksis
• Lære om web-sårbarheter over OWASP Topp Ti og hvordan man unngår dem
• Lære om klientside-sårbarheter og sikre kodingspraksis
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetskonsepter for webtjenester
• Forstå sikkerhetsløsninger for Java EE
• Lære om typiske kodingsfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap om bruk av sikkerhetstestverktøy
• Få kilder og ytterligere lesestoff om sikker kodingspraksis

Som utvikler er din plikt å skrive skuddsikker kode.

Hva om vi fortalte deg at til tross for all din innsats, er koden du har skrevet hele din karriere full av svakheter du aldri visste eksisterte? Hva om hackere prøvde å bryte seg inn i koden din mens du leser dette? Hvor sannsynlig ville de være for å lykkes? Hva om de kunne stjele databasen din og selge den på det svarte markedet?

Dette nettapplikasjonssikkerhetskurset vil endre måten du ser på kode. En praktisk trening der vi vil lære deg alle angripernes triks og hvordan du kan dempe dem, slik at du ikke har noen annen følelse enn ønsket om å vite mer.

Det er ditt valg å være i forkant av flokken, og bli sett på som en game changer i kampen mot nettkriminalitet.

Delegater som deltar vil:

• Forstå grunnleggende begreper innen sikkerhet, IT-sikkerhet og sikker koding
• Lær nettsårbarheter utover OWASP Topp ti og vet hvordan du unngår dem
• Lær sårbarheter på klientsiden og sikker kodingspraksis
• Lær om Node.js sikkerhet
• Lær om MongoDB sikkerhet
• Ha en praktisk forståelse av kryptografi
• Forstå viktige sikkerhetsprotokoller
• Forstå sikkerhetskonsepter for webtjenester
• Lær om JSON-sikkerhet
• Få praktisk kunnskap i bruk av teknikker og verktøy for sikkerhetstesting
• Lær hvordan du håndterer sårbarheter i brukte plattformer, rammeverk og biblioteker
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Det finnes flere programmeringsspråk tilgjengelig i dag for å kompilere kode til .NET- og ASP.NET-rammeverkene. Miljøet gir kraftfulle midler for sikkerhetsutvikling, men utviklere bør kjenne til hvordan de kan anvende arkitektur- og kodningsnivåprogrammeringsteknikker for å implementere den ønskede sikkerhetsfunksjonaliteten og unngå sårbarheter eller begrense deres utnyttelse.

Målet med dette kurset er å lære utviklere gjennom mange praktiske øvelser hvordan de kan forhindre ikke-tiltrodd kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisering, gi fjernprosedurkall, håndtere sesjoner, introdusere forskjellige implementasjoner for bestemte funksjoner, og mye mer.

Introduksjon av ulike sårbarheter begynner med å presentere noen typiske programmeringsutfordringer som oppstår når man bruker .NET, mens diskusjonen om ASP.NET-sårbarheter også tar for seg forskjellige miljøinnstillinger og deres effekter. Til slutt, emnet om ASP.NET-spesifikke sårbarheter tar ikke bare for seg noen generelle sikkerhetshensyn ved webapplikasjoner, men også spesielle problemstillinger og angrepmetoder som angrep på ViewState eller strengavslutningsangrep.

Deltakerne i dette kurset vil

• Få en forståelse av grunnleggende konsepter vedrørende sikkerhet, IT-sikkerhet og sikkert koding
• Lære om webvulnerabiliteter over og utover OWASP Top Ten og hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av sikkerhetstestverktøy
• Lære om typiske kodingfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kildeforklaringer og videre lesing om sikre kodingspraksiser

Målgruppe

Utviklere

Bortsett fra solid kunnskap om å bruke ulike sikkerhetsfunksjoner i .NET og ASP.NET, er det også viktig for opplevde programmerere å ha dyp kunnskap om webrelaterte sårbarheter både på serversiden og klientsiden, samt konsekvensene av de ulike risikoene.

I dette kurset vises generelle webbaserte sårbarheter ved å presentere relevante angrep, mens anbefalte programmeringsteknikker og mitigasjonsmetoder forklares i sammenhengen med ASP.NET. En spesiell fokus legges på klientside-sikkerhet, som dekker sikkerhetsproblemer ved JavaScript, Ajax og HTML5.

Kurset omhandler også sikkerhetsarkitekturen og -komponentene i .NET-rammeverket, inkludert kodebasert og rollebasert tilgangskontroll, tillatelsederklareringer og kontrollmekanismer, samt transparensmodellen. En kort innføring i grunnleggende kryptografi gir en felles praktisk basis for å forstå formålet og virkemåten ved ulike algoritmer, basert på hvilke kurset presenterer de kryptografiske funksjonene som kan brukes i .NET.

Innføringen av ulike sikkerhetshull følger et vel-etablert sårbarhetskategoriseringssystem, med fokus på inn- og utdatavalidering, sikkerhetsfunksjoner, feilhåndtering, tids- og tilstandrelaterte problemer, generelle kodekvalitetsproblemer, samt en spesiell sektion om ASP.NET-spesifikke sårbarheter. Disse emnene avsluttes med en oversikt over testingverktøy som kan brukes for å automatisk avdekke noen av de lænte feil.

Emner presentert gjennom praktiske øvelser hvor deltakerne kan prøve ut konsekvensene av visse sårbarheter, mitigasjonsmetoder, samt de diskuterte API-er og verktøyene selv.

Deltakere på dette kurset vil

• Få forståelse for grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker programmering
• Lære om web-sårbarheter over OG TOPPEN av OWASP Top Ten og hvordan unngå dem
• Lære om klientside-sårbarheter og sikre programmeringspraksiser
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk forståelse for kryptografi
• Få informasjon om nylige sårbarheter i .NET og ASP.NET
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Lære om typiske programmeringsfeil og hvordan unngå dem
• Få kilder og videre lesning om sikre programmeringspraksiser

Målgruppe

Utviklere

Kurset introduserer noen vanlige sikkerhetsbegreper, gir en oversikt over typene sårbarheter uansett hvilke programmeringsspråk og plattformer som brukes, og forklarer hvordan man håndterer risikoene som gjelder for programvare-sikkerhet i de ulike fasene av programvareutviklingslivssyklusen. Uten å dykke dypt inn i tekniske detaljer, fremhever det noen av de mest interessante og mest kritiske sårbarhetene i ulike programvareutviklingsteknologier, og presenterer utfordringene ved sikkerhetstesting sammen med noen teknikker og verktøy som kan brukes til å oppdage eksisterende problemer i koden.

Deltakere på dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og sikker kodingspraksis
• Forstå web-sårbarheter både på server- og klientsiden
• Forstå alvorlige konsekvenser av usikker buffer-håndtering
• Få informasjon om noen nylige sårbarheter i utviklingsmiljøer og rammeverk
• Lære om typiske kodingsfeil og hvordan unngå dem
• Forstå sikkerhetstestingstiltak og metodologier

Målgruppe

Ledere

Kurset gir nødvendige ferdigheter for PHP-utviklere som kreves for å gjøre applikasjonene deres motstandsdyktige mot samtidige angrep gjennom Internett. Web-sårbarheter blir diskutert gjennom PHP-baserte eksempler som går utover OWASP Topp Ti, og håndterer ulike injeksjonsangrep, skriptinjeksjoner, angrep mot PHP-sesjonshåndtering, usikre direkte objektreferanser, problemer med filopplasting og mange andre. PHP-relaterte sårbarheter blir introdusert gruppert i standard sårbarhetstyper som manglende eller feilaktig inndatavalidering, feilaktig feil- og unntakshåndtering, feilaktig bruk av sikkerhetsfunksjoner og tids- og tilstandsrelaterte problemer. I sistnevnte diskuterer vi angrep som åpen_basedir-omgåelse, nekting av tjeneste gjennom magic float eller hash-tabell-kollisjonangrep. I alle tilfeller vil deltakerne bli kjent med de viktigste teknikkene og funksjonene som skal brukes for å redusere de oppførte risikoene.

Det legges spesielt vekt på klientside-sikkerhet, og sikkerhetsproblemene til JavaScript, Ajax og HTML5 blir håndtert. En rekke sikkerhetsrelaterte utvidelser til PHP blir introdusert, som hash, mcrypt og OpenSSL for kryptografi, eller Ctype, ext/filter og HTML Purifier for inndatavalidering. De beste hardningspraksisene blir gitt i forbindelse med PHP-konfigurasjon (setting php.ini), Apache og serveren generelt. Til slutt gis det en oversikt over ulike sikkerhetstestverktøy og -teknikker som utviklere og testere kan bruke, inkludert sikkerhetsskannere, penetrasjonstesting og utnyttelsespakker, sniftere, proxyservere, fuzzing-verktøy og statiske kildekodeanalysatorer.

Både introduksjonen av sårbarheter og konfigurasjonspraksisene støttes av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan man kan bruke reduseringsteknikker og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker koding
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klientside-sårbarheter og sikre kodingpraksiser
• Ha en praktisk forståelse av kryptografi
• Lære å bruke ulike sikkerhetsfunksjoner i PHP
• Lære om vanlige kodingfeil og hvordan man unngår dem
• Blir informert om nylige sårbarheter i PHP-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikre kodingpraksiser

Målgruppe

Utviklere

Det kombinerte SDL-kjernen gir innblikk i sikker programvareutforming, -utvikling og -testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en nivå 100-oversikt over de grunnleggende byggesteinene til SDL, fulgt av designmetoder for å oppdage og rette opp i feil på tidlige stadier av utviklingsprosessen.

Når det gjelder utviklingsfasen, gir kurset en oversikt over de typiske sikkerhetsrelevant programmeringsfeilene for både managed og native kode. Angrepsmetoder blir presentert for de diskuterte sårbarhetene, sammen med tilhørende mitigeringsteknikker, alt forklart gjennom et antall praktiske øvelser som gir deltakerne leveleg hacking-fun. Introduksjon av ulike sikkerhetstestingsmetoder følges opp av demonstrasjonen av effektiviteten til ulike testverktøy. Deltakerne kan forstå hvordan disse verktøyene fungerer gjennom et antall praktiske øvelser ved å bruke verktøyene på den allerede diskuterte sårbar kode.

Deltakere som tar dette kurset vil

Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodning

Lære de viktigste trinnene i Microsoft Secure Development Lifecycle

Lære sikre design- og utviklingspraksiser

Lære om prinsipper for sikker implementering

Forstå metode for sikkerhetstesting

• Få kildeverk og videre læsestoff om sikre kodningspraksiser

Målgruppe

Utviklere, Lederer

Etter å ha blitt kjent med sårbarhetene og angrepsmetodene, lærer deltakerne om den generelle tilnærmingen og metodologien for sikkerhetstesting, samt teknikker som kan brukes for å avdekke spesifikke sårbarheter. Sikkerhetstesting bør starte med informasjonsinnsamling om systemet (ToC, det vil si mål for evaluering), deretter bør en grundig trusselmodellering avdekke og vurdere alle trusler, og til slutt komme frem til den mest hensiktsmessige risikoanalyse-drevne testplanen.

Sikkerhetsvurderinger kan skje i ulike trinn i SDLC, og vi diskuterer derfor designgransking, kodegransking, oppdagelse og informasjonsinnsamling om systemet, testing av implementering, og testing og herding av miljøet for sikker distribusjon. Mange sikkerhetstestingsteknikker introduseres i detalj, som smitteanalyse og heuristikkbasert kodegransking, statisk kodeanalyse, dynamisk web-sårbarhetstesting eller fuzzing. Ulike typer verktøy introduseres som kan brukes for å automatisere sikkerhetsvurdering av programvareprodukter, noe som også støttes av en rekke øvelser der vi utfører disse verktøyene for å analysere den allerede diskutert sårbare koden. Mange virkelige case studies støtter bedre forståelse av ulike sårbarheter.

Dette kurset forbereder testere og QA-personell på å planlegge og nøyaktig utføre sikkerhetstester, velge og bruke de mest hensiktsmessige verktøyene og teknikkene for å finne selv skjulte sikkerhetsfeil, og gir dermed essensielle praktiske ferdigheter som kan brukes på arbeidsdagen etter kurset.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodeutvikling
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klient-side sårbarheter og sikre kodeutviklingspraksis
• Forstå tilnærminger og metodologier for sikkerhetstesting
• Få praktisk kunnskap i bruk av sikkerhetstestingsteknikker og verktøy
• Få kilder og videre lesestoff om sikker kodeutvikling

Målgruppe

Utviklere, Testere

Å sikre applikasjoner som er tilgjengelige via nettet krever velforberedte sikkerhetseksperter som hele tiden er oppdatert på gjeldende angrepsmetoder og trender. Det finnes mange teknologier og miljøer som gjør det komfortabelt å utvikle webapplikasjoner. Man må ikke bare være oppmerksom på sikkerhetsproblemene som er relevante for disse plattformene, men også på alle generelle sårbarheter som gjelder uansett hvilke utviklingverktøy som brukes.

Kurset gir en oversikt over de relevante sikkerhetsløsningene i webapplikasjoner, med særlig fokus på å forstå de viktigste krypteringsløsningene som skal brukes. De ulike webapplikasjonssårbarhetene blir presentert både på serversiden (i henhold til OWASP Top Ten) og på klientsiden, demonstrert gjennom relevante angrep, og fulgt av anbefalte kodeteknikker og metoder for å unngå de forbundne problemene. Emnet trygt koding avsluttes med å diskutere noen typiske sikkerhetsrelevante programmeringsfeil innenfor inputvalidering, feil bruk av sikkerhetsfunksjoner og kodekvalitet.

Testing spiller en veldig viktig rolle for å sikre sikkerhet og robusthet i webapplikasjoner. Ulike tilnærminger – fra høy nivå auditering gjennom penetrasjonstesting til etisk hacking – kan brukes for å finne sårbarheter av ulike typer. Men hvis du vil gå videre enn de enkelt å finne lavhengende fruktene, bør sikkerhetstesting være godt planlagt og riktig utført. Husk: sikkerhetstestere bør ideelt sett finne alle feil for å beskytte et system, mens det er nok for motstandere å finne en utnyttbar sårbarhet for å trenge inn i det.

Praktiske øvelser vil bidra til å forstå webapplikasjonssårbarheter, programmeringsfeil og – mest viktig – metoder for å unngå disse, sammen med hånd på praktiske prøver av ulike testverktøy fra sikkerhetsskannere, gjennom sniffere, proxy-servere, fuzzing-verktøy til statiske kildekodeanalysatorer. Dette kurset gir de essensielle praktiske ferdigheter som kan brukes på arbeidsplassen neste dag.

Deltakere som tar dette kurset vil

• Forstå grunnleggende konsepter innen sikkerhet, IT-sikkerhet og trygt koding
• Lære web-sårbarheter utenfor OWASP Top Ten og hvordan man unngår dem
• Lære klientsidens sårbarheter og trygge kodingspraksis
• Ha en praktisk forståelse av kryptering
• Forstå sikkerhetstestingstilnærminger og metodologier
• Få praktisk kunnskap om bruk av sikkerhetstestingsteknikker og verktøy
• Få informasjon om nye sårbarheter i ulike plattformer, rammeverk og biblioteker
• Få kilder og videre lesing om trygt koding

Målgruppe

Utviklere, Testere

Web Application Security er disiplinen som beskytter nettapplikasjoner mot moderne sikkerhetstrusler og svakheter, inkludert de som er plattformuavhengige og påvirker kjernen av applikasjonsarkitektur og input-håndtering.

Denne instruktørledede, live-opplæringen (online eller på sted) er rettet mot mellomnivåutviklere som ønsker å forstå og anvende sikre kodeteknikker for å redusere web-svakheter og implementere robust sikkerhet for nettapplikasjoner.

Ved slutten av denne opplæringen vil deltakerne være i stand til:

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker koding.
• Lære om web-svakheter utenfor OWASP Topp Ti og håndtere dem.
• Lære om klientside-svakheter og sikre kodingspraksiser.
• Ha en praktisk forståelse av kryptering.
• Forstå sikkerhetskonsepter for webtjenester.
• Få praktisk kunnskap om bruk av sikkerhetstestverktøy.
• Få kilder og videre lesestoff om sikre kodingspraksiser.

Kursformat

• Interaktiv forelesning og diskusjon.
• Mange øvelser og praksis.
• Hånds-på implementering i et live-lab-miljø.

Tilpassingsmuligheter for kurs

• For å be om en tilpasset opplæring for dette kurset, vennligst ta kontakt med oss for å avtale.

På dette instruktørledede, live-kurset i Norge vil deltakerne lære å formulere den riktige sikkerhetsstrategien for å møte DevOps sikkerhetsutfordringen.

Denne instruktørledede, liveopplæringen i (online eller på stedet) er rettet mot utviklere, ingeniører og arkitekter som ønsker å sikre nettappene og tjenestene deres.

Ved slutten av denne opplæringen vil deltakerne være i stand til å integrere, teste, beskytte og analysere nettappene og tjenestene sine ved å bruke OWASP testrammeverket og verktøyene

Denne Kursen i Norge har som mål å hjelpe med følgende:

1. Hjelpe utviklere med å mestre teknikkene for å skrive sikker kode
2. Hjelpe programvaretestere med å teste sikkerheten i applikasjonen før publisering i produksjonsmiljøet
3. Hjelpe programvarearkitekter med å forstå risikoene knyttet til applikasjonene
4. Hjelpe teamleedere med å sette sikkerhetsgrunnlinjer for utviklere
5. Hjelpe nettverksansvarlige med å konfigurere serverne for å unngå feilkonfigurasjoner

Dette kurset dekker sikre kodingskonsepter og prinsipper med Java gjennom Open Web Application Security Project (OWASP) metoder for testing. Open Web Application Security Project er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet webapplikasjonssikkerhet.

Denne kursen dekker sikker programmeringskonsepter og prinsipper med ASP.net gjennom Open Web Application Security Project (OWASP) metodologien for testing. OWASP er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet for sikkerhet i webapplikasjoner.

Denne kursen utforsker sikkerhetsfunksjonene i Dot Net Framework og hvordan man sikrer webapplikasjoner.

Beskrivelse:

Dette kurset vil gi deltakerne en grundig forståelse av sikkerhetskonsepter, webapplikasjonskonsepter og rammeverk som brukes av utviklere for å kunne utnytte og beskytte målrettet applikasjon. I dagens verden endrer det seg raskt og dermed endres også alle teknologiene som brukes i et raskt tempo, webapplikasjoner blir utsatt for hackerangrep 24/7. For å beskytte applikasjonene fra eksterne angripere må man kjenne til alle bitene som gjør webapplikasjonen, som rammeverk, språk og teknologier som brukes i webapplikasjonsutvikling, og mye mer enn det. Problemet er at angriperen bare må vite én måte å bryte seg inn i applikasjonen på, og utvikleren (eller systemadministratoren) må kjenne til alle mulige utnyttelser for å forhindre at dette skjer. På grunn av det er det veldig vanskelig å ha en skuddsikker sikret webapplikasjon, og i de fleste tilfeller er webapplikasjon sårbar for noe. Dette utnyttes jevnlig av cyberkriminelle og tilfeldige hackere, og det kan minimeres ved korrekt planlegging, utvikling, testing og konfigurasjon av nettapplikasjoner.

Mål:

For å gi deg ferdighetene og kunnskapen som trengs for å forstå og identifisere mulige utnyttelser i live webapplikasjoner, og for å utnytte identifiserte sårbarheter. På grunn av kunnskapen du oppnår gjennom identifiserings- og utnyttelsesfasen, bør du være i stand til å beskytte nettapplikasjonen mot lignende angrep. Etter dette kurset vil deltakeren være i stand til å forstå og identifisere OWASP topp 10 sårbarheter og inkorporere denne kunnskapen i nettapplikasjonsbeskyttelsesordningen.

Publikum:

Utviklere, politi og annet rettshåndhevelsespersonell, forsvars- og militærpersonell, e-Business-sikkerhetspersonell, systemadministratorer, bank, forsikring og andre fagfolk, Gomyndigheter, IT-sjefer, CISO-er, CTO-er.