Avansert Java, JEE og sikkerhet for webapplikasjoner Treningskurs

Implementering av en sikker nettverksapplikasjon kan være vanskelig, selv for utviklere som kan ha brukt ulike kryptografiske byggeblokker (som kryptering og digitale signaturer) på forhånd. For å få deltakerne til å forstå rollen og bruken av disse kryptografiske primitivene, gis først et solid grunnlag på hovedkravene til sikker kommunikasjon – sikker anerkjennelse, integritet, konfidensialitet, fjernidentifikasjon og anonymitet – samtidig som det presenteres de typiske problemene som kan skade disse kravene sammen med virkelige løsninger.

Siden et kritisk aspekt ved nettverkssikkerhet er kryptografi, diskuteres også de viktigste kryptografiske algoritmene innen symmetrisk kryptografi, hashing, asymmetrisk kryptografi og nøkkelavtale. I stedet for å presentere en utdypende matematisk bakgrunn, diskuteres disse elementene fra en utviklers perspektiv, og viser typiske use-case eksempler og praktiske betraktninger knyttet til bruk av krypto, for eksempel offentlige nøkkelinfrastrukturer. Sikkerhetsprotokoller i mange områder av sikker kommunikasjon introduseres, med en grundig diskusjon om de mest brukte protokollfamiliene som IPSEC og SSL/TLS.

Typiske kryptosårbarheter diskuteres både relatert til visse kryptoalgoritmer og kryptografiske protokoller, som BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE og lignende, samt RSA-timingangrepet. I hvert tilfelle beskrives de praktiske hensyn og potensielle konsekvenser for hvert problem, igjen, uten å gå inn i dype matematiske detaljer.

Til slutt, siden XML-teknologi er sentral for datautveksling med nettverksapplikasjoner, er sikkerhetsaspektene ved XML beskrevet. Dette inkluderer bruken av XML i nettjenester og SOAP-meldinger sammen med beskyttelsestiltak som XML signatur og XML kryptering – samt svakheter i disse beskyttelsestiltakene og XML-spesifikke sikkerhetsproblemer som XML injeksjon, XML ekstern enhet (XXE) angrep, XML bomber og XPath injeksjon.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende begreper innen sikkerhet, IT-sikkerhet og sikker koding
• Forstå kravene til sikker kommunikasjon
• Lær om nettverksangrep og forsvar på forskjellige OSI-lag
• Ha en praktisk forståelse av kryptografi
• Forstå viktige sikkerhetsprotokoller
• Forstå noen nylige angrep mot kryptosystemer
• Få informasjon om noen nylige relaterte sårbarheter
• Forstå sikkerhetskonsepter for webtjenester
• Få kilder og ytterligere lesninger om sikker kodingspraksis

Publikum

Utviklere, fagfolk

Denne tre-dagers kurset dekker grunnleggende sikkerhet for C/C++ kode mot skadelige brukere som kan utnytte mange svakheter i koden vedrørende minnehåndtering og innhenting av inndata. Kurset dekker prinsippene for å skrive sikker kode.

Også erfarne Java-programmerere behersker ikke nødvendigvis de ulike sikkerhetstjenestene som tilbys av Java, og er heller ikke oppmerksomme på de ulike sårbarhetene som er relevante for webapplikasjoner skrevet i Java.

Kurset – ut over å introdusere sikkerhetskomponentene i Standard Java Edition – handler om sikkerhetsproblemer i Java Enterprise Edition (JEE) og webtjenester. Diskusjonen av spesifikke tjenester forutsettes av grunnleggende prinsipper for kryptografi og sikker kommunikasjon. Diverse øvelser håndterer deklarativ og programmeringssikkerhetsteknikker i JEE, mens transportlag-sikkerhet og ende-til-ende-sikkerhet for webtjenester diskuteres. Bruken av alle komponenter presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte API-ene og verktøyene selv.

Kurset gjennomgår også og forklarer de mest hyppige og alvorlige programmeringsfeilene i Java-språket og plattformen samt web-relaterte sårbarheter. I tillegg til de typiske feilene som begås av Java-programmerere, dekket de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra kjøretidsmiljøet. Alle sårbarheter og de relevante angrepene blir demonstrert gjennom lettfattelige øvelser, etterfulgt av anbefalte kodegeneringsretningslinjer og mulige avbøtningsteknikker.

Deltakere som går dette kurset vil

• Forstå grunnleggende sikkerhetsbegreper, IT-sikkerhet og secure coding
• Lære om web-sårbarheter utover OWASP Top Ten og vite hvordan man unngår dem
• Forstå sikkerhetskonsepter for webtjenester
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetsløsninger i Java EE
• Lære om vanlige kodingsfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om secure coding-praksis

Målgruppe

Utviklere

Beskrivelse

Java-språket og Runtime-miljøet (JRE) var designet for å være fritt fra de mest problematiske vanlige sikkerhetssårbarhetene som oppleves i andre språk, som C/C++. Likevel bør programvareutviklere og arkitekter ikke bare vite hvordan man bruker de ulike sikkerhetsfunksjonene i Java-miljøet (positiv sikkerhet), men også være oppmerksom på de mange sårbarhetene som fortsatt er relevante for Java-utvikling (negativ sikkerhet).

Introduksjonen av sikkerhetstjenester innledes med et kort overblikk over kryptografiens grunnlag, som gir en felles baselinje for å forstå formålet og driften til de aktuelle komponentene. Bruken av disse komponentene presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte API-ene selv.

Kursene gjennomgår også og forklarer de mest forekommende og alvorlige programmeringsfeilene i Java-språket og plattformen, og dekker både typiske feil begått av Java-programmerere og språk- og miljøspesifikke problemer. Alle sårbarheter og relevante angrep demonstreres gjennom lettfattelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige mottiltak.

Deltakere på dette kurset vil

• Få forståelse for grunnleggende begreper innen sikkerhet, IT-sikkerhet og sikker koding
• Lære om websårbarheter utover OWASP Top Ten og vite hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i Java-utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Lære om typiske kodingsfeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i Java-rammeverket
• Få kilder og videre lesning om sikre kodingspraksiser

Målgruppe

Utviklere

I dag finnes det flere programmeringsspråk som kan kompilere kode til .NET- og ASP.NET-miljøene. Dette miljøet tilbyr kraftige verktøy for sikkerhetsutvikling, men utviklere bør vite hvordan de anvender programmeteknikker på arkitektur- og kodningsnivå for å implementere ønsket sikkerhetsfunksjonalitet, unngå sårbarheter eller begrense utnyttelse av disse.

Målet med dette kurset er å undervise utviklere i hvordan man forhindrer upålitelig kode fra å utføre privilegerte handlinger, beskytte ressurser gjennom sterk autentisering og autorisasjon, tilby eksterne prosedyreanrop, håndtere økter, introdusere ulike implementeringer for bestemt funksjonalitet, og mye mer, gjennom mange praktiske øvelser.

Introduksjonen av ulike sårbarheter begynner med å presentere typiske programmeringsfeil begått ved bruk av .NET, mens diskusjonen om sårbarhetene i ASP.NET også tar opp ulike miljøinnstillinger og deres effekter. Til slutt handler emnet med ASP.NET-spesifikke sårbarheter ikke bare om generelle utfordringer innen webapplikasjonssikkerhet, men også om spesielle problemer og angrepsmetoder som å angripe ViewState eller string-termination-angrep.

Deltakere på dette kurset vil

• Forstå grunnleggende begreper om sikkerhet, IT-sikkerhet og sikker koding
• Lære om websårbarheter utover OWASP Top Ten og hvordan man unngår dem
• Lære å bruke ulike sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av verktøy for sikkerhetstesting
• Lære om typiske kodefeil og hvordan man unngår dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kilder og videre lesning om praksiser for sikker koding

Målgruppe

Utviklere

Kurset gir nødvendige ferdigheter for PHP-utviklere som kreves for å gjøre applikasjonene deres motstandsdyktige mot samtidige angrep gjennom Internett. Web-sårbarheter blir diskutert gjennom PHP-baserte eksempler som går utover OWASP Topp Ti, og håndterer ulike injeksjonsangrep, skriptinjeksjoner, angrep mot PHP-sesjonshåndtering, usikre direkte objektreferanser, problemer med filopplasting og mange andre. PHP-relaterte sårbarheter blir introdusert gruppert i standard sårbarhetstyper som manglende eller feilaktig inndatavalidering, feilaktig feil- og unntakshåndtering, feilaktig bruk av sikkerhetsfunksjoner og tids- og tilstandsrelaterte problemer. I sistnevnte diskuterer vi angrep som åpen_basedir-omgåelse, nekting av tjeneste gjennom magic float eller hash-tabell-kollisjonangrep. I alle tilfeller vil deltakerne bli kjent med de viktigste teknikkene og funksjonene som skal brukes for å redusere de oppførte risikoene.

Det legges spesielt vekt på klientside-sikkerhet, og sikkerhetsproblemene til JavaScript, Ajax og HTML5 blir håndtert. En rekke sikkerhetsrelaterte utvidelser til PHP blir introdusert, som hash, mcrypt og OpenSSL for kryptografi, eller Ctype, ext/filter og HTML Purifier for inndatavalidering. De beste hardningspraksisene blir gitt i forbindelse med PHP-konfigurasjon (setting php.ini), Apache og serveren generelt. Til slutt gis det en oversikt over ulike sikkerhetstestverktøy og -teknikker som utviklere og testere kan bruke, inkludert sikkerhetsskannere, penetrasjonstesting og utnyttelsespakker, sniftere, proxyservere, fuzzing-verktøy og statiske kildekodeanalysatorer.

Både introduksjonen av sårbarheter og konfigurasjonspraksisene støttes av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan man kan bruke reduseringsteknikker og introduserer bruken av ulike utvidelser og verktøy.

Deltakere som deltar på dette kurset vil

• Forstå grunnleggende sikkerhetskonsepter, IT-sikkerhet og sikker koding
• Lære web-sårbarheter utover OWASP Topp Ti og vite hvordan man unngår dem
• Lære klientside-sårbarheter og sikre kodingpraksiser
• Ha en praktisk forståelse av kryptografi
• Lære å bruke ulike sikkerhetsfunksjoner i PHP
• Lære om vanlige kodingfeil og hvordan man unngår dem
• Blir informert om nylige sårbarheter i PHP-rammeverket
• Få praktisk kunnskap i bruk av sikkerhetstestverktøy
• Få kilder og videre lesning om sikre kodingpraksiser

Målgruppe

Utviklere

Det kombinerte SDL-kjernen gir innblikk i sikker programvareutforming, -utvikling og -testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en nivå 100-oversikt over de grunnleggende byggesteinene til SDL, fulgt av designmetoder for å oppdage og rette opp i feil på tidlige stadier av utviklingsprosessen.

Når det gjelder utviklingsfasen, gir kurset en oversikt over de typiske sikkerhetsrelevant programmeringsfeilene for både managed og native kode. Angrepsmetoder blir presentert for de diskuterte sårbarhetene, sammen med tilhørende mitigeringsteknikker, alt forklart gjennom et antall praktiske øvelser som gir deltakerne leveleg hacking-fun. Introduksjon av ulike sikkerhetstestingsmetoder følges opp av demonstrasjonen av effektiviteten til ulike testverktøy. Deltakerne kan forstå hvordan disse verktøyene fungerer gjennom et antall praktiske øvelser ved å bruke verktøyene på den allerede diskuterte sårbar kode.

Deltakere som tar dette kurset vil

Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker kodning

Lære de viktigste trinnene i Microsoft Secure Development Lifecycle

Lære sikre design- og utviklingspraksiser

Lære om prinsipper for sikker implementering

Forstå metode for sikkerhetstesting

• Få kildeverk og videre læsestoff om sikre kodningspraksiser

Målgruppe

Utviklere, Lederer

På dette instruktørledede, live-kurset i Norge vil deltakerne lære å formulere den riktige sikkerhetsstrategien for å møte DevOps sikkerhetsutfordringen.

EC-Council Certified DevSecOps Engineer (ECDE) er en praktisk kurs som er designet for å utstyre fagpersoner med ferdigheter til å innlemme sikkerhet gjennom DevOps livssyklusen, slik at sikker programvareutvikling blir mulig fra planlegging til utplasserings.

Denne instruktørledede, direkte treningen (online eller på sted) er rettet mot mellomnivå software- og DevOps fagpersoner som ønsker å integrere sikkerhetspraksiser i CI/CD-pipelines, og sikre sikker og samsvarende kodeleveranser.

Ved slutten av denne treningen vil deltakerne kunne:

• Forstå prinsippene og praksisene i DevSecOps.
• Sikre hver fase i CI/CD-pipeline ved hjelp av automatiserte verktøy.
• Implementere sikre kodingspraksiser og sårbarhetsskanning.
• Forberede seg på ECDE-sertifiseringen med praktiske laboratorier og gjennomgang.

Format på kurset

• Interaktiv forelesning og diskusjon.
• Håndtering av DevSecOps-verktøy i simulerte pipelines.
• Veiledede øvelser som fokuserer på sikker utvikling og utplasserings.

Kursets tilpassingsmuligheter

• For å be om en tilpasset trening for dette kurset basert på ditt teams arbeidsflyt eller verktøykjede, vennligst kontakt oss for å avtale.

Apache Groovy er et dynamisk programmeringsspråk for JVM (Java Virtual Machine). Noen av dets egenskaper inkluderer skriptingsevne, forfatning av Domain-Specific Language, metaprogrammering ved kjøretid og kompileringstid, og funksjonell programmering. Groovy brukes ofte som et supplement til Java.

I denne instruktørledede, live-opplæringen, vil deltakerne lære å programmere i Groovy mens de går gjennom opprettelsen av en prøveapplikasjon.

Målgruppe

• Utviklere

Kursformat

• Del forelesning, del diskusjon, øvelser og mye hånds-on praksis

Dette instruktørledte, live-treningen i Norge (online eller på stedet) er rettet mot utviklere som ønsker å bruke Quarkus til å bygge, teste og distribuere applikasjoner, fulgt utstyr med Java, men med lavere ressursbruk.

Av slutten av denne treningen vil deltakerne kunne:

• Sette opp nødvendig utviklingsmiljø for å begynne å utvikle applikasjoner med Quarkus.
• Bygge, kompiler og kjøre applikasjoner i nativ modus ved hjelp av GraalVM.
• Bruk Quarkus verktøy og eksterninger for å bygge nativapplikasjoner ved hjelp av Maven.
• Kontainerisere, utføre og distribuere applikasjoner med Docker.

Dette instruktørbaserte, live-kurset i Norge (online eller på stedet) er rettet mot mellomnivå- til avansert-nivå utviklere og arkitekter som ønsker å utvikle Java-native applikasjoner og mikrotjenester ved hjelp av Quarkus med optimalisert minnebruk og oppstarts tid.

Ved slutten av dette kurset vil deltakerne kunne:

• Utvikle høyoppløsnings, lette Java-native applikasjoner ved hjelp av Quarkus.
• Bygge og distribuere RESTful tjenester og mikrotjenester-arkitekturer.
• Bruk GraalVM for nativ kompilering og optimalisering av oppstarts- og minneeffektivitet.
• Pakke og containere applikasjoner til Kubernetes og OpenShift-miljøer.

Denne Kursen i Norge har som mål å hjelpe med følgende:

1. Hjelpe utviklere med å mestre teknikkene for å skrive sikker kode
2. Hjelpe programvaretestere med å teste sikkerheten i applikasjonen før publisering i produksjonsmiljøet
3. Hjelpe programvarearkitekter med å forstå risikoene knyttet til applikasjonene
4. Hjelpe teamleedere med å sette sikkerhetsgrunnlinjer for utviklere
5. Hjelpe nettverksansvarlige med å konfigurere serverne for å unngå feilkonfigurasjoner

Dette kurset dekker sikre kodingskonsepter og prinsipper med Java gjennom Open Web Application Security Project (OWASP) metoder for testing. Open Web Application Security Project er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet webapplikasjonssikkerhet.

Denne kursen dekker sikker programmeringskonsepter og prinsipper med ASP.net gjennom Open Web Application Security Project (OWASP) metodologien for testing. OWASP er et online-fellesskap som skaper fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen feltet for sikkerhet i webapplikasjoner.

Denne kursen utforsker sikkerhetsfunksjonene i Dot Net Framework og hvordan man sikrer webapplikasjoner.