Secure Code Opplæringskurs

Kombinert SDL-kjerneopplæring gir et innblikk i sikker programvaredesign, utvikling og testing gjennom Microsoft Secure Development Lifecycle (SDL). Den gir en oversikt på nivå 100 av de grunnleggende byggesteinene til SDL, etterfulgt av designteknikker for å oppdage og fikse feil i tidlige stadier av utviklingsprosessen. Under behandling med utviklingsfasen gir kurset en oversikt over de typiske sikkerhetsrelevante programmeringsfeilene til både administrert og native code. Angrepsmetoder presenteres for de diskuterte sårbarhetene sammen med tilhørende avbøtningsteknikker, alt forklart gjennom en rekke praktiske øvelser som gir live hacking moro for deltakerne. Innføring av forskjellige sikkerhetstestingmetoder blir fulgt av å demonstrere effektiviteten til forskjellige testverktøy. Deltakerne kan forstå bruken av disse verktøyene gjennom en rekke praktiske øvelser ved å bruke verktøyene på den allerede omtalte sårbare koden. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Bli kjent med de viktige trinnene i Microsoft Secure Development Lifecycle
• Lær sikker design og utviklingspraksis
• Lær om sikre implementeringsprinsipper
• Forstå sikkerhetstesting metodikk
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere, ledere

Dette tredagers kurset dekker det grunnleggende om å sikre C / C++ -koden mot ondsinnede brukere som kan utnytte mange sårbarheter i koden med minnehåndtering og inputhåndtering, og kurset dekker prinsippene for å skrive sikker kode.

Beskrivelse Java språket og Runtime Environment (JRE) ble designet for å være fri fra de mest problematiske vanlige sikkerhetsproblemene som oppleves på andre språk, som C / C++ . Likevel bør programvareutviklere og arkitekter ikke bare vite hvordan de skal bruke de forskjellige sikkerhetsfunksjonene i Java miljøet (positiv sikkerhet), men også være klar over de mange sårbarhetene som fremdeles er relevante for Java utvikling (negativ sikkerhet). Innføringen av sikkerhetstjenester går foran med en kort oversikt over grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet med og bruken av de aktuelle komponentene. Bruken av disse komponentene presenteres gjennom flere praktiske øvelser, der deltakerne kan prøve ut de diskuterte APIene for seg selv. Kurset går også gjennom og forklarer de mest hyppige og alvorlige programmeringsfeilene på Java språket og plattformen, og dekker både de typiske feilene begått av Java programmerere og de språk- og miljøspesifikke problemstillingene. Alle sårbarheter og de relevante angrepene demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige avbøtningsteknikker. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær å bruke forskjellige sikkerhetsfunksjoner i Java utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i Java rammen
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere

Beskrivelse Utover solid kunnskap om bruk av Java komponenter, selv for erfarne Java programmerere, er det viktig å ha en dyp kunnskap om nettrelaterte sårbarheter både på server- og klientsiden, de forskjellige sårbarhetene som er relevante for webapplikasjoner skrevet i Java , og konsekvensene av de forskjellige risikoene. Generelle nettbaserte sårbarheter demonstreres ved å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtelsesmetodene blir forklart i sammenheng med Java med det viktigste målet å unngå de tilknyttede problemene. I tillegg gis det et spesielt fokus på sikkerhet på klientsiden som takler sikkerhetsproblemer med Java Script, Ajax og HTML 5. Kurset introduserer sikkerhetskomponenter i Standard Java Edition, som er forutgående med grunnlaget for kryptografi, og gir en felles grunnlinje for å forstå formålet og driften av de aktuelle komponentene. Bruken av alle komponentene presenteres gjennom praktiske øvelser, der deltakerne kan prøve ut de diskuterte APIene og verktøyene for seg selv. Til slutt forklarer kurset de mest hyppige og alvorlige programmeringsfeilene på Java språket og plattformen. Foruten de typiske bugs begått av Java programmerere, dekker de introduserte sikkerhetssårbarhetene både språkspesifikke problemer og problemer som stammer fra runtime-miljøet. Alle sårbarheter og de relevante angrepene demonstreres gjennom lettforståelige øvelser, fulgt av anbefalte kodingsretningslinjer og mulige avbøtningsteknikker. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Lær å bruke forskjellige sikkerhetsfunksjoner i Java utviklingsmiljøet
• Ha en praktisk forståelse av kryptografi
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i Java rammen
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere

Even experienced Java programmers are not mastering by all means the various security services offered by Java, and are likewise not aware of the different vulnerabilities that are relevant for web applications written in Java. The course – besides introducing security components of Standard Java Edition – deals with security issues of Java Enterprise Edition (JEE) and web services. Discussion of specific services is preceded with the foundations of cryptography and secure communication. Various exercises deal with declarative and programmatic security techniques in JEE, while both transport-layer and end-to-end security of web services is discussed. The use of all components is presented through several practical exercises, where participants can try out the discussed APIs and tools for themselves. The course also goes through and explains the most frequent and severe programming flaws of the Java language and platform and web-related vulnerabilities. Besides the typical bugs committed by Java programmers, the introduced security vulnerabilities cover both language-specific issues and problems stemming from the runtime environment. All vulnerabilities and the relevant attacks are demonstrated through easy-to-understand exercises, followed by the recommended coding guidelines and the possible mitigation techniques. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Understand security concepts of Web services
• Learn to use various security features of the Java development environment
• Have a practical understanding of cryptography
• Understand security solutions of Java EE
• Learn about typical coding mistakes and how to avoid them
• Get information about some recent vulnerabilities in the Java framework
• Get practical knowledge in using security testing tools
• Get sources and further readings on secure coding practices

Audience Developers

Beyond solid knowledge in using Java components, even for experienced Java programmers it is essential to have a deep knowledge in web-related vulnerabilities both on server and client side, the different vulnerabilities that are relevant for web applications written in Java, and the consequences of the various risks. General web-based vulnerabilities are demonstrated through presenting the relevant attacks, while the recommended coding techniques and mitigation methods are explained in the context of Java with the most important aim to avoid the associated problems. In addition, a special focus is given to client-side security tackling security issues of JavaScript, Ajax and HTML5. The course introduces security components of Standard Java Edition, which is preceded with the foundations of cryptography, providing a common baseline for understanding the purpose and the operation of the applicable components. Security issues of Java Enterprise Edition are presented through various exercises explaining both declarative and programmatic security techniques in JEE. Finally, the course explains the most frequent and severe programming flaws of the Java language and platform. Besides the typical bugs committed by Java programmers, the introduced security vulnerabilities cover both language-specific issues and problems stemming from the runtime environment. All vulnerabilities and the relevant attacks are demonstrated through easy-to-understand exercises, followed by the recommended coding guidelines and the possible mitigation techniques. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Learn to use various security features of the Java development environment
• Have a practical understanding of cryptography
• Understand security concepts of Web services
• Understand security solutions of Java EE
• Learn about typical coding mistakes and how to avoid them
• Get information about some recent vulnerabilities in the Java framework
• Get practical knowledge in using security testing tools
• Get sources and further readings on secure coding practices

Audience Developers

En rekke programmeringsspråk er tilgjengelig i dag for å kompilere kode til .NET- og ASP.NET-rammer. Miljøet gir kraftige virkemidler for sikkerhetsutvikling, men utviklere bør vite hvordan de skal bruke programmeringsteknikker for arkitektur- og kodingsnivå for å implementere ønsket sikkerhetsfunksjonalitet og unngå sårbarheter eller begrense utnyttelsen av dem. Målet med dette kurset er å lære utviklere gjennom en rekke praktiske øvelser hvordan man kan forhindre at ikke-tillitskode utfører privilegerte handlinger, beskytter ressurser gjennom sterk autentisering og autorisasjon, gir eksterne prosedyresamtaler, håndterer økter, introduserer forskjellige implementeringer for viss funksjonalitet, og mange mer. Innføring av forskjellige sårbarheter starter med å presentere noen typiske programmeringsproblemer begått når du bruker .NET, mens diskusjonen om sårbarheter i ASP.NET også omhandler forskjellige miljøinnstillinger og deres effekter. Til slutt behandler emnet ASP.NET-spesifikke sårbarheter ikke bare noen generelle sikkerhetsutfordringer for nettapplikasjoner, men også med spesielle problemer og angrepsmetoder som å angripe ViewState eller angrep av strengavslutninger. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær å bruke forskjellige sikkerhetsfunksjoner i .NET-utviklingsmiljøet
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få informasjon om noen nylige sårbarheter i .NET og ASP.NET
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere

A number of programming languages are available today to compile code to .NET and ASP.NET frameworks. The environment provides powerful means for security development, but developers should know how to apply the architecture- and coding-level programming techniques in order to implement the desired security functionality and avoid vulnerabilities or limit their exploitation. The aim of this course is to teach developers through numerous hands-on exercises how to prevent untrusted code from performing privileged actions, protect resources through strong authentication and authorization, provide remote procedure calls, handle sessions, introduce different implementations for certain functionality, and many more. A special section is devoted to configuration and hardening of the .NET and ASP.NET environment for security. A brief introduction to the foundations of cryptography provides a common practical baseline for understanding the purpose and the operation of various algorithms, based on which the course presents the cryptographic features that can be used in .NET. This is followed by the introduction of some recent crypto vulnerabilities both related to certain crypto algorithms and cryptographic protocols, as well as side-channel attacks. Introduction of different vulnerabilities starts with presenting some typical programming problems committed when using .NET, including bug categories of input validation, error handling or race conditions. A special focus is given to XML security, while the topic of ASP.NET-specific vulnerabilities tackles some special issues and attack methods: like attacking the ViewState, or the string termination attacks. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn to use various security features of the .NET development environment
• Have a practical understanding of cryptography
• Understand some recent attacks against cryptosystems
• Get information about some recent vulnerabilities in .NET and ASP.NET
• Learn about typical coding mistakes and how to avoid them
• Get practical knowledge in using security testing tools
• Get sources and further readings on secure coding practices

Audience Developers

Beyond solid knowledge in using various security features of .NET and ASP.NET, even for experienced programmers it is essential to have a deep knowledge in web-related vulnerabilities both on server and client side along with the consequences of the various risks. In this course the general web-based vulnerabilities are demonstrated through presenting the relevant attacks, while the recommended coding techniques and mitigation methods are explained in the context of ASP.NET. A special focus is given to client-side security tackling security issues of JavaScript, Ajax and HTML5. The course also deals with the security architecture and components of the .NET framework, including code- and role based access control, permission declaration and checking mechanisms and the transparency model. A brief introduction to the foundations of cryptography provides a common practical baseline for understanding the purpose and the operation of various algorithms, based on which the course presents the cryptographic features that can be used in .NET. Introduction of different security bugs follows the well-established vulnerability categories, tackling input validation, security features, error handling, time- and state-related problems, the group of general code quality issues, and a special section on ASP.NET-specific vulnerabilities. These topics are concluded with an overview on testing tools that can be used to automatically reveal some of the learnt bugs. Topics are presented through practical exercises where participants can try out the consequences of certain vulnerabilities, the mitigations, as well as the discussed APIs and tools for themselves. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Learn to use various security features of the .NET development environment
• Have a practical understanding of cryptography
• Get information about some recent vulnerabilities in .NET and ASP.NET
• Get practical knowledge in using security testing tools
• Learn about typical coding mistakes and how to avoid them
• Get sources and further readings on secure coding practices

Audience Developers

Å beskytte applikasjoner som er tilgjengelige via nettet krever godt forberedt sikkerhetspersonell som til enhver tid er klar over gjeldende angrepsmetoder og trender. Det finnes en mengde teknologier og miljøer som tillater komfortabel utvikling av webapplikasjoner (som Java , ASP.NET eller PHP , samt Java skript eller Ajax på klientsiden). Man skal ikke bare være klar over sikkerhetsproblemene som er relevante for disse plattformene, men også om alle generelle sårbarheter som gjelder uavhengig av de brukte utviklingsverktøyene. Kurset gir en oversikt over gjeldende sikkerhetsløsninger i webapplikasjoner, med fokus på de viktigste teknologiene som sikker kommunikasjon og webtjenester, takling av både transportlags sikkerhet og end-to-end sikkerhetsløsninger og standarder som Web Services Security og XML . Det gir også en kort oversikt over de typiske programmeringsfeilene, fremfor alt knyttet til manglende eller feil inngangsvalidering. De nettbaserte sårbarhetene demonstreres ved å presentere de relevante angrepene, mens de anbefalte kodeteknikkene og avbøtelsesmetodene blir forklart for å unngå de tilknyttede problemene. Øvelser kan enkelt følges av programmerere som bruker forskjellige programmeringsspråk, og dermed kan de webapplikasjonsrelaterte emnene lett kombineres med andre sikre kodingsfag, og kan dermed effektivt tilfredsstille behovene til bedriftsutviklingsgrupper, som vanligvis tar for seg forskjellige språk og utviklingsplattformer. å utvikle nettapplikasjoner. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Ha en praktisk forståelse av kryptografi
• Forstå sikkerhetskonsepter for nettjenester
• Få praktisk kunnskap om bruk av sikkerhetstestingverktøy
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere

After getting familiar with the vulnerabilities and the attack methods, participants learn about the general approach and the methodology for security testing, and the techniques that can be applied to reveal specific vulnerabilities. Security testing should start with information gathering about the system (ToC, i.e. Target of Evaluation), then a thorough threat modeling should reveal and rate all threats, arriving to the most appropriate risk analysis-driven test plan. Security evaluations can happen at various steps of the SDLC, and so we discuss design review, code review, reconnaissance and information gathering about the system, testing the implementation and the testing and hardening the environment for secure deployment. Many security testing techniques are introduced in details, like taint analysis and heuristics-based code review, static code analysis, dynamic web vulnerability testing or fuzzing. Various types of tools are introduced that can be applied in order to automate security evaluation of software products, which is also supported by a number of exercises, where we execute these tools to analyze the already discussed vulnerable code. Many real life case studies support better understanding of various vulnerabilities. This course prepares testers and QA staff to adequately plan and precisely execute security tests, select and use the most appropriate tools and techniques to find even hidden security flaws, and thus gives essential practical skills that can be applied on the next day working day. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Understand security testing approaches and methodologies
• Get practical knowledge in using security testing techniques and tools
• Get sources and further readings on secure coding practices

Audience Developers, Testers

Å beskytte applikasjoner som er tilgjengelige via nettet krever godt forberedt sikkerhetspersonell som til enhver tid er klar over gjeldende angrepsmetoder og trender. Det finnes en mengde teknologier og miljøer som tillater komfortabel utvikling av webapplikasjoner. Man skal ikke bare være klar over sikkerhetsproblemene som er relevante for disse plattformene, men også om alle generelle sårbarheter som gjelder uavhengig av de brukte utviklingsverktøyene. Kurset gir en oversikt over gjeldende sikkerhetsløsninger i webapplikasjoner, med et spesielt fokus på å forstå de viktigste kryptografiske løsningene som skal brukes. De forskjellige sårbarhetene for webapplikasjoner blir presentert både på serversiden (følger OWASP Top Ten) og klientsiden, demonstrert gjennom de relevante angrepene, og fulgt av anbefalte kodingsteknikker og avbøtende metoder for å unngå tilknyttede problemer. Emnet for sikker koding blir pakket sammen ved å diskutere noen typiske sikkerhetsrelevante programmeringsfeil innen domene for inndatavalidering, feil bruk av sikkerhetsfunksjoner og kodekvalitet. Testing spiller en veldig viktig rolle i å sikre sikkerhet og robusthet av webapplikasjoner. Ulike tilnærminger - fra revisjon på høyt nivå gjennom penetrasjonstesting til etisk hacking - kan brukes for å finne sårbarheter av forskjellige typer. Imidlertid, hvis du vil gå utover de lett å finne fruktene med lite hengning, bør sikkerhetstesting planlegges og utføres riktig. Husk: sikkerhetstestere bør ideelt sett finne alle feil for å beskytte et system, mens for motstandere er det nok å finne en utnyttbar sårbarhet for å trenge inn i det. Praktiske øvelser vil hjelpe deg med å forstå sårbarheter på nettet, programmeringsfeil og viktigst av dempningsteknikker, sammen med praktiske studier av forskjellige testverktøy, fra sikkerhetsskannere, gjennom sniffere, proxy-servere, fuzzing-verktøy til statiske kildekodeanalysatorer. Dette kurset gir essensielle praktiske ferdigheter som kan brukes neste dag på arbeidsplassen. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Ha en praktisk forståelse av kryptografi
• Forstå tilnærminger og metodologier for sikkerhetstesting
• Få praktisk kunnskap i bruk av sikkerhetstestingsteknikker og verktøy
• Bli informert om nylige sårbarheter i forskjellige plattformer, rammer og biblioteker
• Få kilder og videre informasjon om sikker koding

Publikum Utviklere, testere

The course provides essential skills for PHP developers necessary to make their applications resistant to contemporary attacks through the Internet. Web vulnerabilities are discussed through PHP-based examples going beyond the OWASP top ten, tackling various injection attacks, script injections, attacks against session handling of PHP, insecure direct object references, issues with file upload, and many others. PHP-related vulnerabilities are introduced grouped into the standard vulnerability types of missing or improper input validation, incorrect error and exception handling, improper use of security features and time- and state-related problems. For this latter we discuss attacks like the open_basedir circumvention, denial-of-service through magic float or the hash table collision attack. In all cases participants will get familiar with the most important techniques and functions to be used to mitigate the enlisted risks. A special focus is given to client-side security tackling security issues of JavaScript, Ajax and HTML5. A number of security-related extensions to PHP are introduced like hash, mcrypt and OpenSSL for cryptography, or Ctype, ext/filter and HTML Purifier for input validation. The best hardening practices are given in connection with PHP configuration (setting php.ini), Apache and the server in general. Finally, an overview is given to various security testing tools and techniques which developers and testers can use, including security scanners, penetration testing and exploit packs, sniffers, proxy servers, fuzzing tools and static source code analyzers. Both the introduction of vulnerabilities and the configuration practices are supported by a number of hands-on exercises demonstrating the consequences of successful attacks, showing how to apply mitigation techniques and introducing the use of various extensions and tools. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Have a practical understanding of cryptography
• Learn to use various security features of PHP
• Learn about typical coding mistakes and how to avoid them
• Be informed about recent vulnerabilities of the PHP framework
• Get practical knowledge in using security testing tools
• Get sources and further readings on secure coding practices

Audience Developers

To serve in the best way heterogeneous development groups that are using various platforms simultaneously during their everyday work, we have merged various topics into a combined course that presents diverse secure coding subjects in didactic manner on a single training event. This course combines C/C++ and Java platform security to provide an extensive, cross-platform secure coding expertise. Concerning C/C++, common security vulnerabilities are discussed, backed by practical exercises about the attacking methods that exploit these vulnerabilities, with the focus on the mitigation techniques that can be applied to prevent the occurrences of these dangerous bugs, detect them before market launch or prevent their exploitation. Security components and service of Java are discussed by presenting the different APIs and tools through a number of practical exercises where participants can gain hands-on experience in using them. The course also covers security issues of web services and the related Java services that can be applied to prevent the most aching threats of the Internet based services. Finally, web- and Java-related security vulnerabilities are demonstrated by easy-to-understand exercises, which not only show the root cause of the problems, but also demonstrate the attack methods along with the recommended mitigation and coding techniques in order to avoid the associated security problems. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Learn to use various security features of the Java development environment
• Have a practical understanding of cryptography
• Realize the severe consequences of unsecure buffer handling
• Understand the architectural protection techniques and their weaknesses
• Learn about typical coding mistakes and how to avoid them
• Be informed about recent vulnerabilities in various platforms, frameworks and libraries
• Get sources and further readings on secure coding practices

Audience Developers

Serving teams that use managed code (.NET and ASP.NET typically written in C#) together with native code development (typically C/C++), this training gives a comprehensive overview of the security issues in both environments. Concerning C/C++, common security vulnerabilities are discussed, backed by practical exercises about the attacking methods that exploit these vulnerabilities, with the focus on the mitigation techniques that can be applied to prevent the occurrences of these dangerous bugs, detect them before market launch or prevent their exploitation. The course also covers both the various general (like web services) and specific security solutions and tools, and the most frequent and severe security flaws of managed code, dealing with both language-specific issues and the problems stemming from the runtime environment. The vulnerabilities relevant to the ASP.NET platform are detailed along with the general web-related vulnerabilities following the OWASP Top Ten list. The course consists of a number of exercises through which attendees can easily understand and execute attacks and protection methods. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Learn to use various security features of the .NET development environment
• Have a practical understanding of cryptography
• Get information about some recent vulnerabilities in .NET and ASP.NET
• Realize the severe consequences of unsecure buffer handling in native code
• Understand the architectural protection techniques and their weaknesses
• Learn about typical coding mistakes and how to avoid them
• Get practical knowledge in using security testing tools
• Get sources and further readings on secure coding practices

Audience Developers

Selv erfarne programmerere mestre ikke på alle måter de ulike sikkerhetstjenester som deres utviklingsplattformer tilbyr, og er heller ikke klar over de forskjellige sårbarhetene som er relevante for deres utvikling. Dette kurset tar sikte på utviklere som bruker både Java og PHP, og gir dem grunnleggende ferdigheter som er nødvendige for å gjøre sine applikasjoner motstandsdyktige mot moderne angrep gjennom Internett. Nivåene av Java sikkerhetsarkitektur går gjennom ved å takle tilgangskontroll, autentisering og autorisering, sikker kommunikasjon og ulike kryptografiske funksjoner. Forskjellige APIs er også introdusert som kan brukes til å sikre koden din i PHP, for eksempel OpenSSL for kryptografi eller HTML Purifier for input validering. På serversiden er de beste praksisene gitt for hardening og konfigurering av operativsystemet, webkonteineren, filsystemet, serveren SQL og selve PHP, mens et spesielt fokus er gitt på klient-side sikkerhet gjennom sikkerhetsproblemer av JavaScript, Ajax og HTML5. Generelle nett sårbarheter er diskutert av eksempler som er i linje med OWASP Top Ten, som viser ulike injeksjonsangrep, skript injeksjoner, angrep mot sesonghåndtering, usikre direkte objekt referanser, problemer med filopptak, og mange andre. De ulike Java- og PHP-spesifikke språkproblemer og problemer som stammer fra arbeidstidsmiljøet er innført i de standard sårbarhetstyper av manglende eller feil input validasjon, feil bruk av sikkerhetsfunksjoner, feil feil og unntak håndtering, tid- og stat-relaterte problemer, kodekvalitetsproblemer og mobile kode-relaterte sårbarheter. Deltakerne kan prøve ut de omtalt APIs, verktøy og effekter av konfigurasjoner for seg selv, mens introduksjonen av sårbarheter er alle støttet av en rekke praktiske øvelser som demonstrerer konsekvensene av vellykkede angrep, viser hvordan å korrigere feilen og bruke lindringsteknikker, og introdusere bruken av ulike utvidelser og verktøy. Deltakerne som deltar i kurset vil

Forstå grunnleggende konsepter av sikkerhet, IT-sikkerhet og sikker koding Lær nett sårbarheter utover OWASP Top Ten og vet hvordan du unngår dem Lær kunden-side sårbarheter og sikre koding praksis Lær å bruke ulike sikkerhetsfunksjoner i utviklingsmiljøet Java Har en praktisk forståelse av kryptografi Lær å bruke ulike sikkerhetsfunksjoner av PHP Forstå sikkerhetskonseptene for webtjenester Få praktisk kunnskap i bruk av sikkerhetstestingsverktøy Lær om typiske kodingsfeil og hvordan å unngå dem Bli informert om nylige sårbarheter i Java og PHP rammer og biblioteker Få kilder og mer lesing om sikker koding praksis

Publikum Utviklere

Beyond solid knowledge in using security solutions of the applied technologies, even for experienced programmers it is essential to have a deep understanding of the typical attack techniques that are possible due the various vulnerabilities, i.e. security-relevant programming mistakes. This course approaches secure coding from the standpoint of attack techniques to learn software security best practices. General web-based vulnerabilities are demonstrated through presenting the relevant attacks, while the recommended coding techniques and mitigation methods are explained with the most important aim to avoid the associated problems. Besides server side issues (basically following the OWASP Top Ten), a special focus is given to client-side security tackling security issues of JavaScript, Ajax and HTML5, which is followed by discussing web services and XML security. A brief introduction to the foundations of cryptography provides a common practical baseline for understanding the purpose and the operation of various algorithms. Specifically for C and C++, we go into more details regarding the exploitation of buffer overflows on the stack and on the heap. After showing the attack techniques, we give an overview of practical protection methods that can be applied at different levels (hardware components, the operating system, programming languages, the compiler, the source code or in production) to prevent the occurrence of the various bugs, to detect them during development and before market launch, or to prevent their exploitation during system operation. Finally, we discuss counter attacks, and then counter-protection measures, highlighting the cat-and-mouse nature of hacking and protection. Finally, the course explains the most frequent and severe programming flaws in general, by bringing examples in Java, .NET, C and C++ languages and platforms. Besides the typical bugs committed by the programmers, the introduced security vulnerabilities cover both language-specific issues and problems stemming from the runtime environment or the used libraries. All vulnerabilities and the relevant attacks are demonstrated through easy-to-understand exercises, followed by the recommended coding guidelines and the possible mitigation techniques. Finally, we present security testing techniques and tools that can be applied to reveal the discussed vulnerabilities, along with the various techniques for reconnaissance, configuration and hardening of the environment. Participants attending this course will

• Understand basic concepts of security, IT security and secure coding
• Learn Web vulnerabilities beyond OWASP Top Ten and know how to avoid them
• Learn client-side vulnerabilities and secure coding practices
• Understand security concepts of Web services
• Have a practical understanding of cryptography
• Realize the severe consequences of unsecure buffer handling
• Understand the architectural protection techniques and their weaknesses
• Learn about typical coding mistakes and how to exploit them
• Be informed about recent vulnerabilities in various platforms, frameworks and libraries
• Learn essential vulnerability analysis and testing techniques and tools
• Get sources and further readings on secure coding practices

Audience Developers

Android er en åpen plattform for mobile enheter som håndsett og nettbrett. Den har et stort utvalg av sikkerhetsfunksjoner for å gjøre det lettere å utvikle sikker programvare; det mangler imidlertid også visse sikkerhetsaspekter som er til stede i andre håndholdte plattformer. Kurset gir en omfattende oversikt over disse funksjonene, og peker på de mest kritiske manglene du må være klar over relatert til det underliggende Linux , filsystemet og miljøet generelt, samt om bruk av tillatelser og andre Android programvareutviklingskomponenter. Typiske sikkerhetsgruver og sårbarheter er beskrevet både for innfødt kode og Java applikasjoner, sammen med anbefalinger og beste fremgangsmåter for å unngå og dempe dem. I mange tilfeller støttes diskuterte spørsmål med virkelige eksempler og case-studier. Til slutt gir vi en kort oversikt over hvordan du bruker sikkerhetstestingverktøy for å avsløre eventuelle sikkerhetsrelevante programmeringsfeil. Deltakere som deltar på dette kurset vil

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær sikkerhetsløsningene på Android
• Lær å bruke forskjellige sikkerhetsfunksjoner på Android plattformen
• Få informasjon om noen nylige sårbarheter i Java på Android
• Lær om typiske kodingsfeil og hvordan du kan unngå dem
• Få forståelse for sårbarheter med innfødt kode på Android
• Innse de alvorlige konsekvensene av usikker bufferstyring i innfødt kode
• Forstå arkitektoniske beskyttelsesteknikker og deres svakheter
• Få kilder og videre informasjon om sikker koding

Publikum Professionals

Migrasjon til skyen gir enorme fordeler for bedrifter og enkeltpersoner når det gjelder effektivitet og kostnader. Når det gjelder sikkerhet, er effektene ganske forskjellige, men det er en vanlig oppfatning at bruk av cloud-tjenester påvirker sikkerheten på en positiv måte. Men synspunktene adskiller seg mange ganger selv om å definere hvem som er ansvarlig for å sikre sikkerheten til skyressurser. Å dekke IaaS, PaaS og SaaS, diskuteres først sikkerheten i infrastrukturen: hardening og konfigurasjonsproblemer samt ulike løsninger for autentisering og autorisering sammen med identitetsstyring som bør være i hjertet av all sikkerhetsarkitektur. Dette er etterfulgt av noen grunnleggende spørsmål vedrørende juridiske og kontraktsmessige spørsmål, nemlig hvordan tillit er etablert og styrt i skyen. Reisen gjennom cloud-sikkerhet fortsetter med forståelse av cloud-spesifikke trusler og angriperens mål og motivasjoner, samt typiske angrepsteg tatt mot cloud-løsninger. Spesiell fokus er også gitt på å auditere skyen og gi sikkerhetsvurdering av skyen løsninger på alle nivåer, inkludert penetrasjonstesting og sårbarhetsanalyse. Fokuset på kurset er på applikasjonssikkerhetsproblemer, som omhandler både datasikkerhet og sikkerheten til applikasjonene selv. Fra synspunktet for appsikkerhet er cloud computing sikkerhet ikke vesentlig forskjellig fra generell programvaresikkerhet, og derfor er i utgangspunktet alle OWASP-listede sårbarheter relevante i dette feltet også. Det er settet av trusler og risikoer som gjør forskjellen, og dermed opplæringen avsluttes med listen over ulike sky-spesifikke angrep vektorer knyttet til de svakhetene diskutert i forveien. Deltakerne som deltar i kurset vil

Forstå grunnleggende konsepter av sikkerhet, IT-sikkerhet og sikker koding Forstå store trusler og risikoer i cloud-domenet Lær om grunnleggende cloud-sikkerhetsløsninger Få informasjon om tillit og styring i forbindelse med skyen Har en praktisk forståelse av kryptografi Få omfattende kunnskap om applikasjonssikkerhet i skyen Lær nett sårbarheter utenfor OWASP Top Ten og vet hvordan du unngår dem Forstå utfordringene med revisjon og evaluering av cloud-systemer for sikkerhet Lær hvordan du sikrer cloud-miljøet og infrastrukturen Få kilder og mer lesing om sikker koding praksis

Publikum Utviklere, ledere, fagfolk

Implementering av en sikker nettverksapplikasjon kan være vanskelig, selv for utviklere som kanskje har brukt ulike kryptografiske byggblokker (som kryptering og digitale signaturer) på forhånd. For å få deltakerne til å forstå rollen og bruken av disse kryptografiske primitivene, er det først gitt en solid grunnlag på de viktigste kravene til sikker kommunikasjon – sikker anerkjennelse, integritet, konfidensialitet, fjern identifisering og anonymitet – samtidig som det presenteres de typiske problemene som kan skade disse kravene sammen med reelle løsninger. Som en kritisk aspekt av nettverkssikkerhet er kryptografi, de viktigste kryptografiske algoritmene i symmetrisk kryptografi, hashing, asymmetrisk kryptografi, og nøkkelavtalen er også diskutert. I stedet for å presentere en dyp matematisk bakgrunn, blir disse elementene diskutert fra en utviklerens perspektiv, som viser typiske brukssaker eksempler og praktiske vurderinger knyttet til bruk av krypto, for eksempel offentlige nøkkelinfrastrukturer. Sikkerhetsprotokoll i mange områder av sikker kommunikasjon er introdusert, med en dyp diskusjon om de mest brukte protokollfamiliene som IPSEC og SSL/TLS. Typiske kryptografiske sårbarheter er diskutert både relatert til visse kryptografiske algoritmer og kryptografiske protokoll, som BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE og lignende, samt RSA timing angrep. I hvert tilfelle beskrives de praktiske vurderinger og potensielle konsekvenser for hvert problem, igjen, uten å gå inn i dype matematiske detaljer. Til slutt, siden XML teknologi er sentral for utveksling av data gjennom nettbaserte applikasjoner, er sikkerhetsaspektene av XML beskrevet. Dette inkluderer bruk av XML innenfor webtjenester og SOAP meldinger sammen med beskyttelsesforanstaltninger som XML signatur og XML kryptering – samt svakheter i disse beskyttelsesforanstaltningene og XML-specifiske sikkerhetsproblemer som XML injeksjon, XML ekstern entitet (XXE) angrep, XML bomber, og XPath injeksjon. Deltakerne som deltar i kurset vil

Forstå grunnleggende konsepter av sikkerhet, IT-sikkerhet og sikker koding Forstå kravene til sikker kommunikasjon Lær om nettverksangrep og forsvar på forskjellige OSI-lag Har en praktisk forståelse av kryptografi Forstå viktige sikkerhetsprotokoll Forstå noen nylige angrep mot kryptosystemer Få informasjon om noen nylige relaterte sårbarheter Forstå sikkerhetskonseptene for webtjenester Få kilder og mer lesing om sikker koding praksis

Publikum Utviklere og fagfolk

Kurset introduserer noen vanlige sikkerhetskonsepter, gir en oversikt over arten av sårbarhetene uavhengig av programmeringsspråk og plattformer, og forklarer hvordan man håndterer risikoene som gjelder med hensyn til programvare sikkerhet i de ulike fasene av programvareutviklingens livssyklus. Uten å gå dypt inn i tekniske detaljer, understreker det noen av de mest interessante og mest oppmerksomme sårbarhetene i ulike programvareutviklingsteknologi, og presenterer utfordringene med sikkerhetstester, sammen med noen teknikker og verktøy som man kan bruke for å finne noen eksisterende problemer i deres kode. Deltagere som deltar i dette kurset vil 

Forstå grunnleggende konsepter av sikkerhet, IT-sikkerhet og sikker koding Forstå web sårbarheter både på server og klient side Opplev de alvorlige konsekvensene av usikkert bufferbehandling Bli informert om noen nylige sårbarheter i utviklingsmiljøer og rammer Lær om typiske kodingsfeil og hvordan å unngå dem Forstå sikkerhetstester tilnærminger og metoder

Publikum Ledere

Som utvikler er din plikt å skrive skuddsikker kode. Hva om vi fortalte deg at til tross for all din innsats, koden du har skrevet hele karrieren din er full av svakheter du aldri visste at eksisterte? Hva hvis hackere prøvde å bryte inn koden din mens du leser dette? Hvor sannsynlig ville de være for å lykkes? Hva om de kunne stjele databasen din og selge den på det svarte markedet? Dette sikkerhetskurset for webapplikasjoner vil endre måten du ser på kode. En praktisk trening der vi lærer deg alle angripernes triks og hvordan du kan dempe dem, slik at du ikke har noen annen følelse enn ønsket om å vite mer. Det er ditt valg å være foran flokken, og bli sett på som en spillveksler i kampen mot nettkriminalitet. Delegater som deltar vil:

• Forstå grunnleggende konsepter om sikkerhet, IT-sikkerhet og sikker koding
• Lær websårbarheter utover OWASP Topp ti og vet hvordan du kan unngå dem
• Lær sårbarheter på klientsiden og sikker koding
• Lær om Node.js sikkerhet
• Lær om MongoDB sikkerhet
• Ha en praktisk forståelse av kryptografi
• Forstå viktige sikkerhetsprotokoller
• Forstå sikkerhetskonsepter for nettjenester
• Lær om JSON-sikkerhet
• Få praktisk kunnskap i bruk av sikkerhetstestingsteknikker og verktøy
• Lær hvordan du håndterer sårbarheter i de brukte plattformene, rammene og bibliotekene
• Få kilder og videre informasjon om sikker koding

Etter de store angrepene mot nasjonal infrastruktur fant Security Professionals at hoveddelen av sårbarhetene som forårsaket angrepene kom fra dårlig og sårbar kode som utviklerne skriver. Utviklere må nå mestre teknikkene for å skrive Secure Code , fordi vi er i en situasjon der alle kan bruke tilgjengelige verktøy for å skrive et skript som effektivt kan deaktivere en stor organisasjons systemer fordi utviklerne har skrevet dårlig kode. Dette kurset tar sikte på å hjelpe i følgende:

1. Hjelp utviklere med å mestre teknikkene for å skrive Secure Code
2. Hjelp programvaretestere å teste sikkerheten til applikasjonen før de publiseres i produksjonsmiljøet
3. Hjelp Software Arkitekter med å forstå risikoen rundt applikasjonene
4. Hjelp teamledere med å sette sikkerhetsbase linjer for utviklerne
5. Hjelp Web Masters med å konfigurere serverne for å unngå feilkonfigurasjoner

På dette kurset vil du også se detaljer om de siste cyberangrepene som er brukt, og de tiltak som brukes for å stoppe og forhindre disse angrepene. Du vil selv se hvordan utviklerfeil førte til katastrofale angrep, og ved å delta i laboratoriene i løpet av kurset vil du kunne utføre sikkerhetskontrollene i praksis og få erfaring og kunnskap for å produsere sikker koding. Hvem bør delta på dette kurset? Denne Secure Code Training er ideell for de som jobber i stillinger som, men ikke begrenset til:

• Nettutviklere
• Mobilutviklere
• Java utviklere
• Dot Net-utviklere
• Programvarearkitekter
• Programvaretester
• Sikkerhetsfagfolk
• Nettmestere

DevOps er en programvareutviklingstilnærming som samkjører applikasjonsutvikling med IT-drift. Noen av verktøyene som har vist seg å støtte DevOps inkluderer: automatiseringsverktøy, containerisering og orkestrasjonsplattformer. Sikkerhet har ikke fulgt med i denne utviklingen. I dette instruktørledede, live-kurset, vil deltakerne lære å formulere riktig sikkerhetsstrategi for å møte DevOps sikkerhetsutfordring. Kursets format

• Interaktiv forelesning og diskusjon.
• Masse øvelser og trening.
• Praktisk implementering i et live-lab-miljø.

Alternativer for tilpasning av kurset

• For å be om en tilpasset opplæring for dette kurset, vennligst kontakt oss for å avtale.

This instructor-led, live training in Norge introduces the system architectures, operating systems, networking, storage, and cryptographic issues that should be considered when designing secure embedded systems. By the end of this course, participants will have a solid understanding of security principles, concerns, and technologies. More importantly, participants will be equipped with the techniques needed for developing safe and secure embedded software.

Interactive Application Security Testing (IAST) er en form for sikkerhetstest som kombinerer Static Application Security Testing (SAST) og Dynamic Application Security Testing (DAST) eller Runtime Application Self-Protection (RASP) teknikker. IAST kan rapportere de spesifikke linjene av koden som er ansvarlige for en sikkerhetsutnyttelse og reprodusere atferd som fører til og følger en slik utnyttelse. I denne instruktørledede, live-trening, vil deltakerne lære hvordan å sikre en applikasjon ved å instrumentere runtime agenter og angrep induktorer for å simulere applikasjon oppførsel under en angrep.   Ved slutten av denne treningen vil deltakerne være i stand til å:

Simulere angrep mot apper og validerer deres oppdagelses- og beskyttelsesfunksjoner Bruk RASP og DAST for å få kodenivå synlighet inn i dataveien tatt av en applikasjon under forskjellige driftstidsscenarier Raskt og nøyaktig rette opp søknaden som er ansvarlig for oppdagede sårbarheter Prioriterer sårbarhetsoppdagelser fra dynamiske skanninger Bruk RASP-varslinger i sanntid for å beskytte applikasjoner i produksjon mot angrep. Redusere sårbarhetsrisikoer ved å opprettholde produksjonsmål Utvikle en integrert strategi for generell sårbarhetsdeteksjon og beskyttelse

Publikum

[ 0 ] Ingeniører Sikkerhetsingeniører Utviklere

Format av kurset

Delvis forelesning, delvis diskusjon, øvelser og tung praksis

Apache Shiro is a powerful Java security framework that performs authentication, authorization, cryptography, and session management. In this instructor-led, live training, participants will learn how to secure a web application with Apache Shiro. By the end of this training, participants will be able to:

• Use Shiro's API to secure various types of applications, including mobile, web and enterprise
• Enable logins from various data sources, including LDAP, JDBC, Active Directory, etc.

Audience

• Developers
• Security engineers

Format of the course

• Part lecture, part discussion, exercises and heavy hands-on practice

Dette kurset dekker sikre kodingskonsepter og oppdragsgivere med Java gjennom OWASP metodikk for testing. Open Web Application Security Project er et online fellesskap som lager fritt tilgjengelige artikler, metodologier, dokumentasjon, verktøy og teknologier innen webapplikasjonssikkerhet.

This course covers the secure coding concepts and principals with ASP.net through the Open Web Application Security Project (OWASP) methodology of testing , OWASP is an online community which creates freely-available articles, methodologies, documentation, tools, and technologies in the field of web application security.  This Course explores the Dot Net Framework Security features and how to secure web applications.   
    
    
    
    
    

Dette kurset vil hjelpe fagfolk til å forstå verdien og grensene for applikasjonssikkerhet. Selv om applikasjonssikkerhetsprinsippene gir verdifull bevissthet rundt noen av de viktigste risikoene i applikasjoner i dag, vil dette kurset fremheve både det gode og ikke så bra. Dette kurset er avgjørende på grunn av det økende behovet for utviklere å kode på en sikker måte. Det er avgjørende å introdusere sikkerhet som en kvalitetskomponent i utviklingssyklusen. Dette kurset tar sikte på å utdanne utviklere om ulike sikkerhetssårbarheter gjennom praktisk praksis ved å bruke vår målrettet utviklede usikre webapplikasjon.