Application Security for Developers Treningskurs

Kombinert SDL-kjerneopplæring gir et innblikk i sikker programvaredesign, utvikling og testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en oversikt på nivå 100 av de grunnleggende byggesteinene til SDL, etterfulgt av designteknikker for å oppdage og fikse feil i tidlige stadier av utviklingsprosessen.

Under behandling med utviklingsfasen gir kurset en oversikt over de typiske sikkerhetsrelevante programmeringsfeilene til både administrert og native code. Angrepsmetoder presenteres for de diskuterte sårbarhetene sammen med tilhørende avbøtningsteknikker, alt forklart gjennom en rekke praktiske øvelser som gir live hacking moro for deltakerne. Innføring av forskjellige sikkerhetstestingmetoder blir fulgt av å demonstrere effektiviteten til forskjellige testverktøy. Deltakerne kan forstå bruken av disse verktøyene gjennom en rekke praktiske øvelser ved å bruke verktøyene på den allerede omtalte sårbare koden.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding

• Bli kjent med de viktige trinnene i Microsoft Secure Development Lifecycle

• Lær sikker design og utviklingspraksis

• Lær om sikre implementeringsprinsipper

• Forstå sikkerhetstesting metodikk

• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere, ledere

Dette tredagers kurset dekker det grunnleggende om å sikre C / C++ -koden mot ondsinnede brukere som kan utnytte mange sårbarheter i koden med minnehåndtering og inputhåndtering, og kurset dekker prinsippene for å skrive sikker kode.

Beskrivelse

Java språket og Runtime Environment (JRE) ble designet for å være fri fra de mest problematiske vanlige sikkerhetsproblemene som oppleves på andre språk, som C / C++ . Likevel bør programvareutviklere og arkitekter ikke bare vite hvordan de skal bruke de forskjellige sikkerhetsfunksjonene i Java miljøet (positiv sikkerhet), men også være klar over de mange sårbarhetene som fremdeles er relevante for Java utvikling (negativ sikkerhet).

Innføringen av sikkerhetstjenester går foran med en kort oversikt over grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet med og bruken av de aktuelle komponentene. Bruken av disse komponentene presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte APIene for seg selv.

Kurset går også gjennom og forklarer de mest hyppige og alvorlige programmeringsfeilene på Java språket og plattformen, og dekker både de typiske feilene begått av Java programmerere og de språk- og miljøspesifikke problemstillingene. Alle sårbarheter og de relevante angrepene demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige avbøtningsteknikker.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær å bruke forskjellige sikkerhetsfunksjoner i Java utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i Java rammen
• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere

Beskrivelse

Utover solid kunnskap om bruk av Java komponenter, selv for erfarne Java programmerere, er det viktig å ha en dyp kunnskap om nettrelaterte sårbarheter både på server- og klientsiden, de forskjellige sårbarhetene som er relevante for webapplikasjoner skrevet i Java , og konsekvensene av de forskjellige risikoene.

Generelle nettbaserte sårbarheter demonstreres ved å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtelsesmetodene blir forklart i sammenheng med Java med det viktigste målet å unngå de tilknyttede problemene. I tillegg gis det et spesielt fokus på sikkerhet på klientsiden som takler sikkerhetsproblemer med Java Script, Ajax og HTML 5.

Kurset introduserer sikkerhetskomponenter i Standard Java Edition, som er forutgående med grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet og driften av de aktuelle komponentene. Bruken av alle komponentene presenteres gjennom praktiske øvelser, der deltakerne kan prøve ut de diskuterte APIene og verktøyene for seg selv.

Til slutt forklarer kurset de mest hyppige og alvorlige programmeringsfeilene på Java språket og plattformen. Foruten de typiske bugs begått av Java programmerere, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra runtime-miljøet. Alle sårbarheter og de relevante angrepene demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige avbøtningsteknikker.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Lær å bruke forskjellige sikkerhetsfunksjoner i Java utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i Java rammen
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere

Selv erfarne Java programmerere mestrer ikke på alle måter de forskjellige sikkerhetstjenestene som tilbys av Java, og er heller ikke klar over de forskjellige sårbarhetene som er relevante for nettapplikasjoner skrevet i Java.

Kurset – i tillegg til å introdusere sikkerhetskomponenter i Standard Java Edition – tar for seg sikkerhetsproblemer for Java Enterprise Edition (JEE) og webtjenester. Diskusjon om spesifikke tjenester innledes med grunnlaget for kryptografi og sikker kommunikasjon. Ulike øvelser omhandler deklarative og programmatiske sikkerhetsteknikker i JEE, mens både transportlags- og ende-til-ende-sikkerhet av webtjenester diskuteres. Bruken av alle komponentene presenteres gjennom flere praktiske øvelser, hvor deltakerne selv kan prøve ut de diskuterte APIene og verktøyene.

Kurset går også gjennom og forklarer de hyppigste og alvorligste programmeringsfeilene ved Java språket og plattformen og nettrelaterte sårbarheter. I tillegg til de typiske feilene begått av Java programmerere, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene demonstreres gjennom enkle øvelser, etterfulgt av anbefalte retningslinjer for koding og mulige avbøtende teknikker.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Forstå sikkerhetskonsepter for webtjenester Lær å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet Ha en praktisk forståelse av kryptografi Forstå sikkerhetsløsninger til Java EE Lær om typiske kodefeil og hvordan du unngår dem Få informasjon om noen nylige sårbarheter i Java-rammeverket Få praktisk kunnskap i bruk av sikkerhetstestingsverktøy Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Utover solid kunnskap i bruk av Java komponenter, selv for erfarne Java programmerere er det viktig å ha dyp kunnskap om nettrelaterte sårbarheter både på server- og klientsiden, de ulike sårbarhetene som er relevante for webapplikasjoner skrevet i Java ], og konsekvensene av de ulike risikoene.

Generelle nettbaserte sårbarheter demonstreres gjennom å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtende metodene er forklart i sammenheng med Java med det viktigste målet å unngå de tilhørende problemene. I tillegg er det gitt et spesielt fokus på sikkerhet på klientsiden som håndterer sikkerhetsproblemer i JavaScript, Ajax og HTML5.

Kurset introduserer sikkerhetskomponenter i Standard Java Edition, som er innledet med grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet og virkemåten til de aktuelle komponentene. Sikkerhetsproblemer for Java Enterprise Edition presenteres gjennom ulike øvelser som forklarer både deklarative og programmatiske sikkerhetsteknikker i JEE.

Til slutt forklarer kurset de hyppigste og mest alvorlige programmeringsfeilene ved Java språket og plattformen. Foruten de typiske feilene begått av Java programmerere, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene demonstreres gjennom enkle øvelser, etterfulgt av anbefalte retningslinjer for koding og mulige avbøtende teknikker.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Lær sårbarheter på klientsiden og sikker kodingspraksis Lær å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet Ha en praktisk forståelse av kryptografi Forstå sikkerhetskonsepter for webtjenester Forstå sikkerhetsløsninger for Java EE Lær om typiske kodefeil og hvordan du unngår dem Få informasjon om noen nylige sårbarheter i Java-rammeverket Få praktisk kunnskap i bruk av sikkerhetstestingsverktøy Få kilder og videre lesninger om sikker koding praksis

Publikum

Utviklere

En rekke programmeringsspråk er tilgjengelig i dag for å kompilere kode til .NET- og ASP.NET-rammer. Miljøet gir kraftige virkemidler for sikkerhetsutvikling, men utviklere bør vite hvordan de skal bruke programmeringsteknikker for arkitektur- og kodingsnivå for å implementere ønsket sikkerhetsfunksjonalitet og unngå sårbarheter eller begrense utnyttelsen av dem.

Målet med dette kurset er å lære utviklere gjennom en rekke praktiske øvelser hvordan man kan forhindre at ikke-tillitskode utfører privilegerte handlinger, beskytter ressurser gjennom sterk autentisering og autorisasjon, gir eksterne prosedyresamtaler, håndterer økter, introduserer forskjellige implementeringer for viss funksjonalitet, og mange mer.

Innføring av forskjellige sårbarheter starter med å presentere noen typiske programmeringsproblemer begått når du bruker .NET, mens diskusjonen om sårbarheter i ASP.NET også omhandler forskjellige miljøinnstillinger og deres effekter. Til slutt behandler emnet ASP.NET-spesifikke sårbarheter ikke bare noen generelle sikkerhetsutfordringer for nettapplikasjoner, men også med spesielle problemer og angrepsmetoder som å angripe ViewState eller angrep av strengavslutninger.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær å bruke forskjellige sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere

En rekke programmeringsspråk er tilgjengelige i dag for å kompilere kode til .NET- og ASP.NET-rammeverk. Miljøet gir kraftige midler for sikkerhetsutvikling, men utviklere bør vite hvordan de skal bruke programmeringsteknikker på arkitektur- og kodingsnivå for å implementere ønsket sikkerhetsfunksjonalitet og unngå sårbarheter eller begrense utnyttelsen av dem.

Målet med dette kurset er å lære utviklere gjennom en rekke praktiske øvelser hvordan man forhindrer uklarert kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisasjon, gi eksterne prosedyrekall, håndtere økter, introdusere forskjellige implementeringer for visse funksjoner, og mange mer. En spesiell seksjon er viet til konfigurasjon og herding av .NET- og ASP.NET-miljøene for sikkerhet.

En kort introduksjon til grunnlaget for kryptografi gir en felles praktisk grunnlinje for å forstå formålet og virkemåten til ulike algoritmer, basert på hvilke kurset presenterer de kryptografiske funksjonene som kan brukes i .NET. Dette etterfølges av introduksjonen av noen nylige kryptosårbarheter både relatert til visse kryptoalgoritmer og kryptografiske protokoller, samt sidekanalangrep.

Introduksjon av forskjellige sårbarheter starter med å presentere noen typiske programmeringsproblemer som oppstår ved bruk av .NET, inkludert feilkategorier for inndatavalidering, feilhåndtering eller raseforhold. Et spesielt fokus er gitt til XML sikkerhet, mens temaet ASP.NET-spesifikke sårbarheter takler noen spesielle problemer og angrepsmetoder: som å angripe ViewState eller strengtermineringsangrepene.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet Ha en praktisk forståelse av kryptografi Forstå noen nylige angrep mot kryptosystemer Få informasjon om noen nylige sårbarheter i .NET og ASP.NET Lær om typiske kodefeil og hvordan du unngår dem Få praktisk kunnskap om bruk av sikkerhetstestingsverktøy Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Utover solid kunnskap om bruk av ulike sikkerhetsfunksjoner i .NET og ASP.NET, selv for erfarne programmerere er det viktig å ha dyp kunnskap om nettrelaterte sårbarheter både på server- og klientsiden sammen med konsekvensene av de ulike risikoene.

I dette kurset blir de generelle nettbaserte sårbarhetene demonstrert gjennom å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtende metodene blir forklart i sammenheng med ASP.NET. Et spesielt fokus er gitt til sikkerhet på klientsiden som takler sikkerhetsproblemer i JavaScript, Ajax og HTML5.

Kurset tar også for seg sikkerhetsarkitekturen og komponenter i .NET-rammeverket, inkludert kode- og rollebasert tilgangskontroll, tillatelseserklæring og kontrollmekanismer og transparensmodellen. En kort introduksjon til grunnlaget for kryptografi gir en felles praktisk grunnlinje for å forstå formålet og virkemåten til ulike algoritmer, basert på hvilke kurset presenterer de kryptografiske funksjonene som kan brukes i .NET.

Introduksjon av forskjellige sikkerhetsfeil følger de veletablerte sårbarhetskategoriene, takler inndatavalidering, sikkerhetsfunksjoner, feilhåndtering, tids- og tilstandsrelaterte problemer, gruppen av generelle kodekvalitetsproblemer og en spesiell seksjon om ASP.NET-spesifikke sårbarheter . Disse emnene avsluttes med en oversikt over testverktøy som kan brukes til automatisk å avsløre noen av de lærte feilene.

Emner presenteres gjennom praktiske øvelser der deltakerne kan prøve ut konsekvensene av visse sårbarheter, avbøtningene, samt de diskuterte APIene og verktøyene for seg selv.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Lær sårbarheter på klientsiden og sikker kodingspraksis Lær å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet Ha en praktisk forståelse av kryptografi Få informasjon om noen nylige sårbarheter i .NET og ASP.NET Få praktisk kunnskap om bruk av sikkerhetstestingsverktøy Lær om typiske kodefeil og hvordan du unngår dem Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Å beskytte applikasjoner som er tilgjengelige via nettet krever godt forberedt sikkerhetspersonell som til enhver tid er klar over gjeldende angrepsmetoder og trender. Det finnes en mengde teknologier og miljøer som tillater komfortabel utvikling av webapplikasjoner (som Java , ASP.NET eller PHP , samt Java skript eller Ajax på klientsiden). Man skal ikke bare være klar over sikkerhetsproblemene som er relevante for disse plattformene, men også om alle generelle sårbarheter som gjelder uavhengig av de brukte utviklingsverktøyene.

Kurset gir en oversikt over gjeldende sikkerhetsløsninger i webapplikasjoner, med fokus på de viktigste teknologiene som sikker kommunikasjon og webtjenester, takling av både transportlags sikkerhet og end-to-end sikkerhetsløsninger og standarder som Web Services Security og XML . Det gir også en kort oversikt over de typiske programmeringsfeilene, fremfor alt knyttet til manglende eller feil inngangsvalidering.

De nettbaserte sårbarhetene demonstreres ved å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtelsesmetodene blir forklart for å unngå de tilknyttede problemene. Øvelser kan enkelt følges av programmerere som bruker forskjellige programmeringsspråk, og dermed kan de webapplikasjonsrelaterte emnene lett kombineres med andre sikre kodingsfag, og kan dermed effektivt tilfredsstille behovene til bedriftsutviklingsgrupper, som vanligvis tar for seg forskjellige språk og utviklingsplattformer. å utvikle nettapplikasjoner.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetskonsepter for nettjenester
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere

Etter å ha blitt kjent med sårbarhetene og angrepsmetodene lærer deltakerne om den generelle tilnærmingen og metodikken for sikkerhetstesting, og teknikkene som kan brukes for å avsløre spesifikke sårbarheter. Sikkerhetstesting bør starte med informasjonsinnsamling om systemet (ToC, dvs. Target of Evaluation), deretter bør en grundig trusselmodellering avsløre og vurdere alle trusler, og komme frem til den mest passende risikoanalysedrevne testplanen.

Sikkerhetsevalueringer kan skje i ulike trinn av SDLC, og derfor diskuterer vi designgjennomgang, kodegjennomgang, rekognosering og informasjonsinnsamling om systemet, testing av implementeringen og testing og herding av miljøet for sikker distribusjon. Mange teknikker for sikkerhetstesting er introdusert i detaljer, som feilanalyse og heuristikkbasert kodegjennomgang, statisk kodeanalyse, dynamisk testing av nettsårbarhet eller fuzzing. Det introduseres ulike typer verktøy som kan brukes for å automatisere sikkerhetsevaluering av programvareprodukter, som også støttes av en rekke øvelser, hvor vi utfører disse verktøyene for å analysere den allerede diskuterte sårbare koden. Mange kasusstudier fra det virkelige livet støtter bedre forståelse av ulike sårbarheter.

Dette kurset forbereder testere og QA-medarbeidere til å planlegge og nøyaktig utføre sikkerhetstester, velge og bruke de mest passende verktøyene og teknikkene for å finne selv skjulte sikkerhetsfeil, og gir dermed viktige praktiske ferdigheter som kan brukes på neste arbeidsdag.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Lær sårbarheter på klientsiden og sikker kodingspraksis Forstå tilnærminger og metoder for sikkerhetstesting Få praktisk kunnskap om bruk av sikkerhetstestingsteknikker og verktøy Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere, testere

Å beskytte applikasjoner som er tilgjengelige via nettet krever godt forberedt sikkerhetspersonell som til enhver tid er klar over gjeldende angrepsmetoder og trender. Det finnes en mengde teknologier og miljøer som tillater komfortabel utvikling av webapplikasjoner. Man skal ikke bare være klar over sikkerhetsproblemene som er relevante for disse plattformene, men også om alle generelle sårbarheter som gjelder uavhengig av de brukte utviklingsverktøyene.

Kurset gir en oversikt over gjeldende sikkerhetsløsninger i webapplikasjoner, med et spesielt fokus på å forstå de viktigste kryptografiske løsningene som skal brukes. De forskjellige sårbarhetene for webapplikasjoner blir presentert både på serversiden (følger OWASP Top Ten) og klientsiden, demonstrert gjennom de relevante angrepene, og fulgt av anbefalte kodingsteknikker og avbøtende metoder for å unngå tilknyttede problemer. Emnet for sikker koding blir pakket sammen ved å diskutere noen typiske sikkerhetsrelevante programmeringsfeil innen domene for inndatavalidering, feil bruk av sikkerhetsfunksjoner og kodekvalitet.

Testing spiller en veldig viktig rolle i å sikre sikkerhet og robusthet av webapplikasjoner. Ulike tilnærminger - fra revisjon på høyt nivå gjennom penetrasjonstesting til etisk hacking - kan brukes for å finne sårbarheter av forskjellige typer. Imidlertid, hvis du vil gå utover de lett å finne fruktene med lite hengning, bør sikkerhetstesting planlegges og utføres riktig. Husk: sikkerhetstestere bør ideelt sett finne alle feil for å beskytte et system, mens for motstandere er det nok å finne en utnyttbar sårbarhet for å trenge inn i det.

Praktiske øvelser vil hjelpe deg med å forstå sårbarheter på nettet, programmeringsfeil og viktigst av dempningsteknikker, sammen med praktiske studier av forskjellige testverktøy, fra sikkerhetsskannere, gjennom sniffere, proxy-servere, fuzzing-verktøy til statiske kildekodeanalysatorer. Dette kurset gir essensielle praktiske ferdigheter som kan brukes neste dag på arbeidsplassen.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Ha en praktisk forståelse av kryptografi
• Forstå tilnærminger og metodologier for sikkerhetstesting
• Få praktisk kunnskap i bruk av sikkerhetstestingsteknikker og verktøy
• Bli informert om nylige sårbarheter i forskjellige plattformer, rammer og biblioteker
• Få kilder og videre informasjon om sikker koding

Publikum

Utviklere, testere

Kurset gir essensielle ferdigheter for PHP utviklere som er nødvendige for å gjøre applikasjonene deres motstandsdyktige mot moderne angrep via Internett. Nettsårbarheter diskuteres gjennom PHP-baserte eksempler som går utover OWASP-topp ti, og takler ulike injeksjonsangrep, skriptinjeksjoner, angrep mot økthåndtering av PHP, usikre direkte objektreferanser, problemer med filopplasting og mange andre. PHP-relaterte sårbarheter introduseres gruppert i standard sårbarhetstyper som manglende eller uriktig inndatavalidering, feil håndtering av feil og unntak, feil bruk av sikkerhetsfunksjoner og tids- og tilstandsrelaterte problemer. For sistnevnte diskuterer vi angrep som open_basedir-omgåelsen, denial-of-service gjennom magic float eller hash-tabellkollisjonsangrepet. I alle tilfeller vil deltakerne bli kjent med de viktigste teknikkene og funksjonene som skal brukes for å redusere risikoen.

Et spesielt fokus er gitt til sikkerhet på klientsiden som takler sikkerhetsproblemer med JavaScript, Ajax og HTML5. En rekke sikkerhetsrelaterte utvidelser til PHP er introdusert som hash, mcrypt og OpenSSL for kryptografi, eller Ctype, ext/filter og HTML Purifier for inputvalidering. Den beste herdingspraksisen er gitt i forbindelse med PHP konfigurasjon (setting php.ini), Apache og serveren generelt. Til slutt gis en oversikt over ulike sikkerhetstestingsverktøy og -teknikker som utviklere og testere kan bruke, inkludert sikkerhetsskannere, penetrasjonstesting og utnyttelsespakker, sniffere, proxy-servere, fuzzing-verktøy og statiske kildekodeanalysatorer.

Både introduksjonen av sårbarheter og konfigurasjonspraksisen støttes av en rekke praktiske øvelser som viser konsekvensene av vellykkede angrep, viser hvordan man bruker avbøtende teknikker og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Lær sårbarheter på klientsiden og sikker kodingspraksis Ha en praktisk forståelse av kryptografi Lær å bruke ulike sikkerhetsfunksjoner i PHP Lær om typiske kodefeil og hvordan du unngår dem Bli informert om nylige sårbarheter i rammeverket PHP Få praktisk kunnskap i bruk av sikkerhetstestingsverktøy Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

For på best mulig måte å betjene heterogene utviklingsgrupper som bruker ulike plattformer samtidig i arbeidshverdagen, har vi slått sammen ulike emner til et kombinert kurs som presenterer ulike sikre kodeemner på didaktisk måte på ett enkelt treningsarrangement. Dette kurset kombinerer C/C++ og Java plattformsikkerhet for å gi en omfattende sikker kodingsekspertise på tvers av plattformer.

Når det gjelder C/C++, diskuteres vanlige sikkerhetssårbarheter, støttet av praktiske øvelser om angrepsmetodene som utnytter disse sårbarhetene, med fokus på avbøtende teknikker som kan brukes for å forhindre forekomsten av disse farlige feilene, oppdage dem før markedet lansere eller forhindre utnyttelse av dem.

Sikkerhetskomponenter og service av Java diskuteres ved å presentere de forskjellige API-ene og verktøyene gjennom en rekke praktiske øvelser der deltakerne kan få praktisk erfaring med å bruke dem. Kurset dekker også sikkerhetsspørsmål for webtjenester og de relaterte Java tjenestene som kan brukes for å forhindre de mest smertefulle truslene fra de internettbaserte tjenestene. Til slutt demonstreres nett- og Java-relaterte sikkerhetssårbarheter ved hjelp av lettfattelige øvelser, som ikke bare viser grunnårsaken til problemene, men også demonstrerer angrepsmetodene sammen med anbefalte avbøtende og kodingsteknikker for å unngå de tilhørende sikkerhetsproblemene.

Deltakere som deltar på dette kurset vil

Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding Lær websårbarheter utover OWASP Topp ti og vet hvordan du unngår dem Lær sårbarheter på klientsiden og sikker kodingspraksis Lær å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet Ha en praktisk forståelse av kryptografi Innse de alvorlige konsekvensene av usikker bufferhåndtering Forstå de arkitektoniske beskyttelsesteknikkene og deres svakheter Lær om typiske kodefeil og hvordan du unngår dem Bli informert om nylige sårbarheter i ulike plattformer, rammeverk og biblioteker Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere

Selv erfarne programmerere mestre ikke på alle måter de ulike sikkerhetstjenester som deres utviklingsplattformer tilbyr, og er heller ikke klar over de forskjellige sårbarhetene som er relevante for deres utvikling. Dette kurset tar sikte på utviklere som bruker både Java og PHP, og gir dem grunnleggende ferdigheter som er nødvendige for å gjøre sine applikasjoner motstandsdyktige mot moderne angrep gjennom Internett.

Nivåene av Java sikkerhetsarkitektur går gjennom ved å takle tilgangskontroll, autentisering og autorisering, sikker kommunikasjon og ulike kryptografiske funksjoner. Forskjellige APIs er også introdusert som kan brukes til å sikre koden din i PHP, for eksempel OpenSSL for kryptografi eller HTML Purifier for input validering. På serversiden er de beste praksisene gitt for hardening og konfigurering av operativsystemet, webkonteineren, filsystemet, serveren SQL og selve PHP, mens et spesielt fokus er gitt på klient-side sikkerhet gjennom sikkerhetsproblemer av JavaScript, Ajax og HTML5.

Generelle nett sårbarheter er diskutert av eksempler som er i linje med OWASP Top Ten, som viser ulike injeksjonsangrep, skript injeksjoner, angrep mot sesonghåndtering, usikre direkte objekt referanser, problemer med filopptak, og mange andre. De ulike Java- og PHP-spesifikke språkproblemer og problemer som stammer fra arbeidstidsmiljøet er innført i de standard sårbarhetstyper av manglende eller feil input validasjon, feil bruk av sikkerhetsfunksjoner, feil feil og unntak håndtering, tid- og stat-relaterte problemer, kodekvalitetsproblemer og mobile kode-relaterte sårbarheter.

Deltakerne kan prøve ut de omtalt APIs, verktøy og effekter av konfigurasjoner for seg selv, mens introduksjonen av sårbarheter er alle støttet av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan å korrigere feilen og bruke lindringsteknikker, og introdusere bruken av ulike utvidelser og verktøy.

Deltakerne som deltar i kurset vil

• Forstå grunnleggende konsepter av sikkerhet, IT-sikkerhet og sikker koding
• Lær nett sårbarheter utover OWASP Top Ten og vet hvordan du unngår dem
• Lær kunden-side sårbarheter og sikre koding praksis
• Lær å bruke ulike sikkerhetsfunksjoner i utviklingsmiljøet Java
• Har en praktisk forståelse av kryptografi
• Lær å bruke ulike sikkerhetsfunksjoner av PHP
• Forstå sikkerhetskonseptene for webtjenester
• Få praktisk kunnskap i bruk av sikkerhetstestingsverktøy
• Lær om typiske kodingsfeil og hvordan å unngå dem
• Bli informert om nylige sårbarheter i Java og PHP rammer og biblioteker
• Få kilder og mer lesing om sikker koding praksis

Publikum

Utviklere