Kursplan
IT-sikkerhet og Secure Coding
- Oversikt over prinsipper for informasjonssikkerhet
- CIA-trekanter: Konfidensialitet, integritet, tilgjengelighet
- Vanlige trusler og trusselmodellering
- Best practices for sikker programvareutviklingslivssyklus (SSDLC)
Web Application Security
- Forståelse av OWASP Topp Ti og mer
- Sikkerhetsfeil i autentisering og sessjonshåndtering
- Injeksjonssårbarheter (SQL, Kommando, LDAP, osv.)
- Cross-Site Scripting (XSS) og Cross-Site Request Forgery (CSRF)
Klient-sikkerhet
- DOM-baserte angrep og JavaScript-spesifikke risikoer
- Utrygg bruk av AJAX og nettleserlagring
- Clickjacking og UI-redressing
- Implementering av Content Security Policy (CSP)
Pratisk Cryptografi
- Grundleggende begreper: hashing, kryptering, digitale signaturer
- Offentlig nøkkel vs. symmetrisk nøkkel kryptering
- Grunnleggende prinsipper for Transport Layer Security (TLS)
- Nøkkelhåndtering og vanlige krypteringsfeil
Sikkerhet for Web Services
- Sikkerhetsvurderinger for SOAP og REST
- Autentiseringsmekanismer: OAuth, JWT, API-nøkler
- Vanlige angrep og forsvar for webtjenester
- Inndatavalidering i tjeneste-last
XML Sikkerhet
- XML injeksjon og parsing angrep
- Entitetsekspansjon og XXE-sårbarheter
- Sikre parsing-teknikker og biblioteker
- Bruk av XML Sikkerhetsstandarder (XML-DSig, XML-Enc)
Kunnskapskilder og sikkerhetsverktøy
- Anbefalte verktøy for sikkerhetstesting (e.g., OWASP ZAP, Burp Suite)
- Verktøy for kodeskanning og analyse
- Online-ressurser og sikkerhetsretningslinjer
- Hvordan holde seg oppdatert med nye trusler
Sammenfattning og neste steg
Krav
- Forståelse av grunnleggende webapplikasjonsarkitektur
- Erfaring med et programmeringsspråk som Java, C#, PHP, eller JavaScript
- Kjennskap med klient-serverkommunikasjon og HTTP
Målgruppe
- Utviklere
- Webapplikasjonsarkitekter
- Sikkerhetsbevisste tekniske team
Testimonials (5)
Overview of most among important topics related to software architecture. This training inspired me to learn some of them in depth ;)
Konrad Fuchsig - EY GDS
Kurs - Web Application Security
Explanation of the concepts I had no knowledge about. Tutors calm and kind attitude and also his very vast knowledge.
Michal Kowalczyk - EY GDS
Kurs - Web Application Security
Practical examples and possibility to try how web injections are functioning from the other side - not user but attacker side.
Jessica Wierzbicka - EY GDS
Kurs - Web Application Security
The hands-on labs were excellent.
Dr. Farhan Hassan Khan - TDM GROUP
Kurs - Web Application Security
Trainers command in his field