Sikkerhetsprogrammering for Utviklere Treningskurs

Implementering av en sikker nettverksapplikasjon kan være vanskelig, selv for utviklere som kan ha brukt ulike kryptografiske byggeblokker (som kryptering og digitale signaturer) på forhånd. For å få deltakerne til å forstå rollen og bruken av disse kryptografiske primitivene, gis først et solid grunnlag på hovedkravene til sikker kommunikasjon – sikker anerkjennelse, integritet, konfidensialitet, fjernidentifikasjon og anonymitet – samtidig som det presenteres de typiske problemene som kan skade disse kravene sammen med virkelige løsninger.

Siden et kritisk aspekt ved nettverkssikkerhet er kryptografi, diskuteres også de viktigste kryptografiske algoritmene innen symmetrisk kryptografi, hashing, asymmetrisk kryptografi og nøkkelavtale. I stedet for å presentere en utdypende matematisk bakgrunn, diskuteres disse elementene fra en utviklers perspektiv, og viser typiske use-case eksempler og praktiske betraktninger knyttet til bruk av krypto, for eksempel offentlige nøkkelinfrastrukturer. Sikkerhetsprotokoller i mange områder av sikker kommunikasjon introduseres, med en grundig diskusjon om de mest brukte protokollfamiliene som IPSEC og SSL/TLS.

Typiske kryptosårbarheter diskuteres både relatert til visse kryptoalgoritmer og kryptografiske protokoller, som BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE og lignende, samt RSA-timingangrepet. I hvert tilfelle beskrives de praktiske hensyn og potensielle konsekvenser for hvert problem, igjen, uten å gå inn i dype matematiske detaljer.

Til slutt, siden XML-teknologi er sentral for datautveksling med nettverksapplikasjoner, er sikkerhetsaspektene ved XML beskrevet. Dette inkluderer bruken av XML i nettjenester og SOAP-meldinger sammen med beskyttelsestiltak som XML signatur og XML kryptering – samt svakheter i disse beskyttelsestiltakene og XML-spesifikke sikkerhetsproblemer som XML injeksjon, XML ekstern enhet (XXE) angrep, XML bomber og XPath injeksjon.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper innen sikkerhet, IT-sikkerhet og sikker koding
• Forstå kravene til sikker kommunikasjon
• Lær om nettverksangrep og forsvar på forskjellige OSI-lag
• Ha en praktisk forståelse av kryptografi
• Forstå viktige sikkerhetsprotokoller
• Forstå noen nylige angrep mot kryptosystemer
• Få informasjon om noen nylige relaterte sårbarheter
• Forstå sikkerhetskonsepter for webtjenester
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere, fagfolk

Å skrive sikker C- og C++-kode krever streng forsvar mot malitsøs utnytting, minnekorrasjon og bypass av inndatavalidering. Dette programmet undersøker sårbarhetsmønstre, inkludert bufferoverflyt, use-after-free, heltalls-overflyt og typeforveksling. Deltakerne anvender retningslinjer for sikker koding, statiske analyseverktøy og defensive programmeringsteknikker for å eliminere svakheter, håndheve inndatarensing og levere forsterket programvare som er motstandsdyktig mot cyberangrep.

Også erfarne Java-programmerere behersker ikke nødvendigvis de ulike sikkerhetstjenestene som tilbys av Java, og er heller ikke oppmerksomme på de ulike sårbarhetene som er relevante for webapplikasjoner skrevet i Java.

Kurset – ut over å introdusere sikkerhetskomponentene i Standard Java Edition – handler om sikkerhetsproblemer i Java Enterprise Edition (JEE) og webtjenester. Diskusjonen av spesifikke tjenester forutsettes av grunnleggende prinsipper for kryptografi og sikker kommunikasjon. Diverse øvelser håndterer deklarativ og programmeringssikkerhetsteknikker i JEE, mens transportlag-sikkerhet og ende-til-ende-sikkerhet for webtjenester diskuteres. Bruken av alle komponenter presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte API-ene og verktøyene selv.

Kurset gjennomgår også og forklarer de mest hyppige og alvorlige programmeringsfeilene i Java-språket og plattformen samt web-relaterte sårbarheter. I tillegg til de typiske feilene som begås av Java-programmerere, dekket de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene blir demonstrert gjennom lettfattelige øvelser, etterfulgt av anbefalte kodegeneringsretningslinjer og mulige avbøtningsteknikker.

Deltakere som går dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og secure coding
• Lære om web-sårbarheter utover OWASP Top Ten og vite hvordan man unngår dem
• Forstå sikkerhetskonsepter for webtjenester
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetsløsninger i Java EE
• Lære om vanlige kodingsfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om secure coding-praksis

Målgruppe

Utviklere

I dag finnes det flere programmeringsspråk som kan kompilere kode til .NET- og ASP.NET-miljøene. Dette miljøet tilbyr kraftige verktøy for sikkerhetsutvikling, men utviklere bør vite hvordan de anvender programmeteknikker på arkitektur- og kodningsnivå for å implementere ønsket sikkerhetsfunksjonalitet, unngå sårbarheter eller begrense utnyttelse av disse.

Målet med dette kurset er å undervise utviklere i hvordan man forhindrer upålitelig kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisasjon, tilby eksterne prosedyreanrop, håndtere økter, introdusere ulike implementeringer for bestemt funksjonalitet, og mye mer, gjennom mange praktiske øvelser.

Introduksjonen av ulike sårbarheter begynner med å presentere typiske programmeringsfeil begått ved bruk av .NET, mens diskusjonen om sårbarhetene i ASP.NET også tar opp ulike miljøinnstillinger og deres effekter. Til slutt handler emnet med ASP.NET-spesifikke sårbarheter ikke bare om generelle utfordringer innen webapplikasjonssikkerhet, men også om spesielle problemer og angrepsmetoder som å angripe ViewState eller string-termination-angrep.

Deltakere på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lære om websårbarheter utover OWASP Top Ten og hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av verktøy for sikkerhetstesting
• Lære om typiske kodefeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kilder og videre lesning om praksiser for sikker koding

Målgruppe

Utviklere

Kurset gir nødvendige ferdigheter for PHP-utviklere som kreves for å gjøre applikasjonene deres motstandsdyktige mot samtidige angrep gjennom Internett. Web-sårbarheter blir diskutert gjennom PHP-baserte eksempler som går utover OWASP Topp Ti, og håndterer ulike injeksjonsangrep, skriptinjeksjoner, angrep mot PHP-sesjonshåndtering, usikre direkte objektreferanser, problemer med filopplasting og mange andre. PHP-relaterte sårbarheter blir introdusert gruppert i standard sårbarhetstyper som manglende eller feilaktig inndatavalidering, feilaktig feil- og unntakshåndtering, feilaktig bruk av sikkerhetsfunksjoner og tids- og tilstandsrelaterte problemer. I sistnevnte diskuterer vi angrep som åpen_basedir-omgåelse, nekting av tjeneste gjennom magic float eller hash-tabell-kollisjonangrep. I alle tilfeller vil deltakerne bli kjent med de viktigste teknikkene og funksjonene som skal brukes for å redusere de oppførte risikoene.

Det legges spesielt vekt på klientside-sikkerhet, og sikkerhetsproblemene til JavaScript, Ajax og HTML5 blir håndtert. En rekke sikkerhetsrelaterte utvidelser til PHP blir introdusert, som hash, mcrypt og OpenSSL for kryptografi, eller Ctype, ext/filter og HTML Purifier for inndatavalidering. De beste hardningspraksisene blir gitt i forbindelse med PHP-konfigurasjon (setting php.ini), Apache og serveren generelt. Til slutt gis det en oversikt over ulike sikkerhetstestverktøy og -teknikker som utviklere og testere kan bruke, inkludert sikkerhetsskannere, penetrasjonstesting og utnyttelsespakker, sniftere, proxyservere, fuzzing-verktøy og statiske kildekodeanalysatorer.

Både introduksjonen av sårbarheter og konfigurasjonspraksisene støttes av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan man kan bruke reduseringsteknikker og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker koding
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klientside-sårbarheter og sikre kodingpraksiser
• Ha en praktisk forståelse av kryptografi
• Lære å bruke ulike sikkerhetsfunksjoner i PHP
• Lære om vanlige kodingfeil og hvordan man unngår dem
• Blir informert om nylige sårbarheter i PHP-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikre kodingpraksiser

Målgruppe

Utviklere

Det kombinerte SDL-kjernen gir innblikk i sikker programvareutforming, -utvikling og -testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en nivå 100-oversikt over de grunnleggende byggesteinene til SDL, fulgt av designmetoder for å oppdage og rette opp i feil på tidlige stadier av utviklingsprosessen.

Når det gjelder utviklingsfasen, gir kurset en oversikt over de typiske sikkerhetsrelevant programmeringsfeilene for både managed og native kode. Angrepsmetoder blir presentert for de diskuterte sårbarhetene, sammen med tilhørende mitigeringsteknikker, alt forklart gjennom et antall praktiske øvelser som gir deltakerne leveleg hacking-fun. Introduksjon av ulike sikkerhetstestingsmetoder følges opp av demonstrasjonen av effektiviteten til ulike testverktøy. Deltakerne kan forstå hvordan disse verktøyene fungerer gjennom et antall praktiske øvelser ved å bruke verktøyene på den allerede diskuterte sårbar kode.

Deltakere som tar dette kurset vil

Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodning

Lære de viktigste trinnene i Microsoft Secure Development Lifecycle

Lære sikre design- og utviklingspraksiser

Lære om prinsipper for sikker implementering

Forstå metode for sikkerhetstesting

• Få kildeverk og videre læsestoff om sikre kodningspraksiser

Målgruppe

Utviklere, Lederer

På dette instruktørledede, live-kurset i Norge vil deltakerne lære å formulere den riktige sikkerhetsstrategien for å møte DevOps sikkerhetsutfordringen.

EC-Council Certified DevSecOps Engineer (ECDE) er en praktisk kurs som er designet for å utstyre fagpersoner med ferdigheter til å innlemme sikkerhet gjennom DevOps livssyklusen, slik at sikker programvareutvikling blir mulig fra planlegging til utplasserings.

Denne instruktørledede, direkte treningen (online eller på sted) er rettet mot mellomnivå software- og DevOps fagpersoner som ønsker å integrere sikkerhetspraksiser i CI/CD-pipelines, og sikre sikker og samsvarende kodeleveranser.

Ved slutten av denne treningen vil deltakerne kunne:

• Forstå prinsippene og praksisene i DevSecOps.
• Sikre hver fase i CI/CD-pipeline ved hjelp av automatiserte verktøy.
• Implementere sikre kodingspraksiser og sårbarhetsskanning.
• Forberede seg på ECDE-sertifiseringen med praktiske laboratorier og gjennomgang.

Format på kurset

• Interaktiv forelesning og diskusjon.
• Håndtering av DevSecOps-verktøy i simulerte pipelines.
• Veiledede øvelser som fokuserer på sikker utvikling og utplasserings.

Kursets tilpassingsmuligheter

• For å be om en tilpasset trening for dette kurset basert på ditt teams arbeidsflyt eller verktøykjede, vennligst kontakt oss for å avtale.

Denne Kursen i Norge har som mål å hjelpe med følgende:

1. Hjelpe utviklere med å mestre teknikkene for å skrive sikker kode
2. Hjelpe programvaretestere med å teste sikkerheten i applikasjonen før publisering i produksjonsmiljøet
3. Hjelpe programvarearkitekter med å forstå risikoene knyttet til applikasjonene
4. Hjelpe teamleedere med å sette sikkerhetsgrunnlinjer for utviklere
5. Hjelpe nettverksansvarlige med å konfigurere serverne for å unngå feilkonfigurasjoner

Dette kurset dekker sikre kodingskonsepter og prinsipper med Java gjennom Open Web Application Security Project (OWASP) metoder for testing. Open Web Application Security Project er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet webapplikasjonssikkerhet.

Denne kursen dekker sikker programmeringskonsepter og prinsipper med ASP.net gjennom Open Web Application Security Project (OWASP) metodologien for testing. OWASP er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet for sikkerhet i webapplikasjoner.

Denne kursen utforsker sikkerhetsfunksjonene i Dot Net Framework og hvordan man sikrer webapplikasjoner.