Nettverksikkerhet og sikker kommunikasjon Treningskurs

Å skrive sikker C- og C++-kode krever streng forsvar mot malitsøs utnytting, minnekorrasjon og bypass av inndatavalidering. Dette programmet undersøker sårbarhetsmønstre, inkludert bufferoverflyt, use-after-free, heltalls-overflyt og typeforveksling. Deltakerne anvender retningslinjer for sikker koding, statiske analyseverktøy og defensive programmeringsteknikker for å eliminere svakheter, håndheve inndatarensing og levere forsterket programvare som er motstandsdyktig mot cyberangrep.

Også erfarne Java-programmerere behersker ikke nødvendigvis de ulike sikkerhetstjenestene som tilbys av Java, og er heller ikke oppmerksomme på de ulike sårbarhetene som er relevante for webapplikasjoner skrevet i Java.

Kurset – ut over å introdusere sikkerhetskomponentene i Standard Java Edition – handler om sikkerhetsproblemer i Java Enterprise Edition (JEE) og webtjenester. Diskusjonen av spesifikke tjenester forutsettes av grunnleggende prinsipper for kryptografi og sikker kommunikasjon. Diverse øvelser håndterer deklarativ og programmeringssikkerhetsteknikker i JEE, mens transportlag-sikkerhet og ende-til-ende-sikkerhet for webtjenester diskuteres. Bruken av alle komponenter presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte API-ene og verktøyene selv.

Kurset gjennomgår også og forklarer de mest hyppige og alvorlige programmeringsfeilene i Java-språket og plattformen samt web-relaterte sårbarheter. I tillegg til de typiske feilene som begås av Java-programmerere, dekket de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene blir demonstrert gjennom lettfattelige øvelser, etterfulgt av anbefalte kodegeneringsretningslinjer og mulige avbøtningsteknikker.

Deltakere som går dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og secure coding
• Lære om web-sårbarheter utover OWASP Top Ten og vite hvordan man unngår dem
• Forstå sikkerhetskonsepter for webtjenester
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetsløsninger i Java EE
• Lære om vanlige kodingsfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om secure coding-praksis

Målgruppe

Utviklere

I dag finnes det flere programmeringsspråk som kan kompilere kode til .NET- og ASP.NET-miljøene. Dette miljøet tilbyr kraftige verktøy for sikkerhetsutvikling, men utviklere bør vite hvordan de anvender programmeteknikker på arkitektur- og kodningsnivå for å implementere ønsket sikkerhetsfunksjonalitet, unngå sårbarheter eller begrense utnyttelse av disse.

Målet med dette kurset er å undervise utviklere i hvordan man forhindrer upålitelig kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisasjon, tilby eksterne prosedyreanrop, håndtere økter, introdusere ulike implementeringer for bestemt funksjonalitet, og mye mer, gjennom mange praktiske øvelser.

Introduksjonen av ulike sårbarheter begynner med å presentere typiske programmeringsfeil begått ved bruk av .NET, mens diskusjonen om sårbarhetene i ASP.NET også tar opp ulike miljøinnstillinger og deres effekter. Til slutt handler emnet med ASP.NET-spesifikke sårbarheter ikke bare om generelle utfordringer innen webapplikasjonssikkerhet, men også om spesielle problemer og angrepsmetoder som å angripe ViewState eller string-termination-angrep.

Deltakere på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lære om websårbarheter utover OWASP Top Ten og hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av verktøy for sikkerhetstesting
• Lære om typiske kodefeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kilder og videre lesning om praksiser for sikker koding

Målgruppe

Utviklere

Kurset gir nødvendige ferdigheter for PHP-utviklere som kreves for å gjøre applikasjonene deres motstandsdyktige mot samtidige angrep gjennom Internett. Web-sårbarheter blir diskutert gjennom PHP-baserte eksempler som går utover OWASP Topp Ti, og håndterer ulike injeksjonsangrep, skriptinjeksjoner, angrep mot PHP-sesjonshåndtering, usikre direkte objektreferanser, problemer med filopplasting og mange andre. PHP-relaterte sårbarheter blir introdusert gruppert i standard sårbarhetstyper som manglende eller feilaktig inndatavalidering, feilaktig feil- og unntakshåndtering, feilaktig bruk av sikkerhetsfunksjoner og tids- og tilstandsrelaterte problemer. I sistnevnte diskuterer vi angrep som åpen_basedir-omgåelse, nekting av tjeneste gjennom magic float eller hash-tabell-kollisjonangrep. I alle tilfeller vil deltakerne bli kjent med de viktigste teknikkene og funksjonene som skal brukes for å redusere de oppførte risikoene.

Det legges spesielt vekt på klientside-sikkerhet, og sikkerhetsproblemene til JavaScript, Ajax og HTML5 blir håndtert. En rekke sikkerhetsrelaterte utvidelser til PHP blir introdusert, som hash, mcrypt og OpenSSL for kryptografi, eller Ctype, ext/filter og HTML Purifier for inndatavalidering. De beste hardningspraksisene blir gitt i forbindelse med PHP-konfigurasjon (setting php.ini), Apache og serveren generelt. Til slutt gis det en oversikt over ulike sikkerhetstestverktøy og -teknikker som utviklere og testere kan bruke, inkludert sikkerhetsskannere, penetrasjonstesting og utnyttelsespakker, sniftere, proxyservere, fuzzing-verktøy og statiske kildekodeanalysatorer.

Både introduksjonen av sårbarheter og konfigurasjonspraksisene støttes av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan man kan bruke reduseringsteknikker og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker koding
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klientside-sårbarheter og sikre kodingpraksiser
• Ha en praktisk forståelse av kryptografi
• Lære å bruke ulike sikkerhetsfunksjoner i PHP
• Lære om vanlige kodingfeil og hvordan man unngår dem
• Blir informert om nylige sårbarheter i PHP-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikre kodingpraksiser

Målgruppe

Utviklere

Det kombinerte SDL-kjernen gir innblikk i sikker programvareutforming, -utvikling og -testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en nivå 100-oversikt over de grunnleggende byggesteinene til SDL, fulgt av designmetoder for å oppdage og rette opp i feil på tidlige stadier av utviklingsprosessen.

Når det gjelder utviklingsfasen, gir kurset en oversikt over de typiske sikkerhetsrelevant programmeringsfeilene for både managed og native kode. Angrepsmetoder blir presentert for de diskuterte sårbarhetene, sammen med tilhørende mitigeringsteknikker, alt forklart gjennom et antall praktiske øvelser som gir deltakerne leveleg hacking-fun. Introduksjon av ulike sikkerhetstestingsmetoder følges opp av demonstrasjonen av effektiviteten til ulike testverktøy. Deltakerne kan forstå hvordan disse verktøyene fungerer gjennom et antall praktiske øvelser ved å bruke verktøyene på den allerede diskuterte sårbar kode.

Deltakere som tar dette kurset vil

Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodning

Lære de viktigste trinnene i Microsoft Secure Development Lifecycle

Lære sikre design- og utviklingspraksiser

Lære om prinsipper for sikker implementering

Forstå metode for sikkerhetstesting

• Få kildeverk og videre læsestoff om sikre kodningspraksiser

Målgruppe

Utviklere, Lederer

På dette instruktørledede, live-kurset i Norge vil deltakerne lære å formulere den riktige sikkerhetsstrategien for å møte DevOps sikkerhetsutfordringen.

EC-Council Certified DevSecOps Engineer (ECDE) er en praktisk kurs som er designet for å utstyre fagpersoner med ferdigheter til å innlemme sikkerhet gjennom DevOps livssyklusen, slik at sikker programvareutvikling blir mulig fra planlegging til utplasserings.

Denne instruktørledede, direkte treningen (online eller på sted) er rettet mot mellomnivå software- og DevOps fagpersoner som ønsker å integrere sikkerhetspraksiser i CI/CD-pipelines, og sikre sikker og samsvarende kodeleveranser.

Ved slutten av denne treningen vil deltakerne kunne:

• Forstå prinsippene og praksisene i DevSecOps.
• Sikre hver fase i CI/CD-pipeline ved hjelp av automatiserte verktøy.
• Implementere sikre kodingspraksiser og sårbarhetsskanning.
• Forberede seg på ECDE-sertifiseringen med praktiske laboratorier og gjennomgang.

Format på kurset

• Interaktiv forelesning og diskusjon.
• Håndtering av DevSecOps-verktøy i simulerte pipelines.
• Veiledede øvelser som fokuserer på sikker utvikling og utplasserings.

Kursets tilpassingsmuligheter

• For å be om en tilpasset trening for dette kurset basert på ditt teams arbeidsflyt eller verktøykjede, vennligst kontakt oss for å avtale.

Denne Kursen i Norge har som mål å hjelpe med følgende:

1. Hjelpe utviklere med å mestre teknikkene for å skrive sikker kode
2. Hjelpe programvaretestere med å teste sikkerheten i applikasjonen før publisering i produksjonsmiljøet
3. Hjelpe programvarearkitekter med å forstå risikoene knyttet til applikasjonene
4. Hjelpe teamleedere med å sette sikkerhetsgrunnlinjer for utviklere
5. Hjelpe nettverksansvarlige med å konfigurere serverne for å unngå feilkonfigurasjoner

Dette kurset dekker sikre kodingskonsepter og prinsipper med Java gjennom Open Web Application Security Project (OWASP) metoder for testing. Open Web Application Security Project er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet webapplikasjonssikkerhet.

Denne kursen dekker sikker programmeringskonsepter og prinsipper med ASP.net gjennom Open Web Application Security Project (OWASP) metodologien for testing. OWASP er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet for sikkerhet i webapplikasjoner.

Denne kursen utforsker sikkerhetsfunksjonene i Dot Net Framework og hvordan man sikrer webapplikasjoner.