Application Security обучение в Варна

Това обучение с инструктор на живо в Варна (онлайн или на място) е насочено към разработчици на средно и напреднало ниво, които искат да разберат и прилагат практики за сигурно програмиране, да идентифицират рискове за сигурността в софтуера и да внедряват защити срещу кибер заплахи.

До края на това обучение участниците ще могат да:

• Разбират често срещани уязвимости в сигурността на уеб и софтуерни приложения.
• Анализират заплахи за сигурността и техники за експлоатиране, използвани от атакуващи.
• Прилагат практики за сигурно програмиране за намаляване на рисковете за сигурността.
• Използват инструменти за тестване на сигурността, за да идентифицират и отстраняват уязвимости.

EC-Council сертифициран DevSecOps инженер (ECDE) е практически курс, създаден да осигури на професионалистите умения за вграждане на сигурност в целия жизнен цикъл на DevOps, като дава възможност за сигурна софтуерна разработка от планирането до внедряването.

Това обучение, водено от инструктор на живо (онлайн или на място), е насочено към софтуерни и DevOps професионалисти от средно ниво, които желаят да интегрират практики за сигурност в CI/CD конвейрите, осигурявайки сигурно и съответстващо на изискванията доставяне на код.

До края на това обучение участниците ще могат да:

• Разбират принципите и практиките на DevSecOps.
• Осигуряват сигурност на всеки етап от CI/CD конвейра чрез автоматизирани инструменти.
• Прилагат практики за сигурно кодиране и сканиране за уязвимости.
• Подготвят се за ECDE сертификацията чрез практически лабораторни упражнения и преговор.

Формат на курса

• Интерактивна лекция и дискусия.
• Практическо използване на DevSecOps инструменти в симулирани конвейри.
• Насочвани упражнения, фокусирани върху сигурна разработка и внедряване.

Опции за персонализиране на курса

• За да заявите персонализирано обучение за този курс, съобразено с работните процеси или веригата от инструменти на вашия екип, моля, свържете се с нас за уреждане.

Разработката на сигурно мрежово приложение може да бъде трудна дори за програмисти, които преди това са използвали различни криптографски градивни блокове (като криптиране и цифрови подписи). За да разберат участниците ролята и приложението на тези криптографски примитиви, първо се изгражда солидна основа върху основните изисквания за сигурна комуникация – сигурно потвърждение, цялостност, конфиденциалност, отдалечена идентификация и анонимност – като същевременно се представят типичните проблеми, които могат да компрометират тези изисквания, заедно с практически решения от реалния свят.

Тъй като криптографията е критичен аспект на мрежовата сигурност, се обсъждат и най-важните криптографски алгоритми в сферата на симетричната криптография, хеширането, асиметричната криптография и договарянето на ключове. Вместо да се навлиза в задълбочена математическа основа, тези елементи се разглеждат от гледна точка на разработчика, като се показват типични примери за употреба и практически съображения, свързани с използването на криптография, като например инфраструктури с публични ключове. Представят се протоколи за сигурност в много области на сигурната комуникация, като задълбочено се обсъждат най-широко използваните фамилии протоколи, като IPSEC и SSL/TLS.

Обсъждат се типични криптографски уязвимости, свързани както с определени криптографски алгоритми, така и с криптографски протоколи, като BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE и подобни, както и времевата атака срещу RSA. За всеки случай се описват практическите съображения и потенциалните последици, отново без да се задълбава в детайлна математическа сложност.

Накрая, тъй като XML технологията е централна за обмена на данни в мрежовите приложения, се описват аспектите на сигурността на XML. Това включва използването на XML в уеб услугите и SOAP съобщенията, заедно със защитни мерки като XML подпис и XML криптиране – както и слабости в тези защитни мерки и специфични за XML проблеми със сигурността, като XML инжекция, атаки срещу XML външни обекти (XXE), XML бомби и XPath инжекция.

При завършване на курса участниците ще

• Разбират основни концепции за сигурност, ИТ сигурност и сигурно програмиране
• Разбират изискванията за сигурна комуникация
• Научат за мрежови атаки и защити на различни OSI слоеве
• Имат практическо разбиране за криптографията
• Разбират основни протоколи за сигурност
• Разбират някои скорошни атаки срещу криптосистеми
• Получат информация за някои скорошни свързани уязвимости
• Разбират концепциите за сигурност на уеб услугите
• Получат източници и допълнителни материали за практики за сигурно програмиране

Аудитория

Разработчици, професионалисти

Писането на сигурен C и C++ код изисква строга защита срещу злонамерена експлоатация, повреда на паметта и заобикаляне на валидирането на входни данни. Тази програма разглежда модели на уязвимости, включително препълване на буфер, използване след освобождаване, препълване на целочислен тип и объркване на типове. Участниците прилагат указания за сигурно програмиране, инструменти за статичен анализ и техники за отбранително програмиране, за да елиминират слабости, да наложат дезинфекция на входните данни и да предоставят подсилен софтуер, устойчив на кибератаки.

Дори опитни Java програмисти не владеят напълно разнообразните услуги за сигурност, предлагани от Java, и често не са наясно с различните уязвимости, които са от значение за уеб приложения, написани на Java.

Курсът – наред с представянето на компонентите за сигурност на Standard Java Edition – разглежда и въпроси, свързани със сигурността на Java Enterprise Edition (JEE) и уеб услугите. Обсъждането на специфични услуги се предхожда от основите на криптографията и сигурната комуникация. Различни упражнения се занимават с декларативни и програмни техники за сигурност в JEE, като същевременно се обсъжда сигурността на транспортния слой и end-to-end сигурността на уеб услугите. Използването на всички компоненти е представено чрез няколко практически упражнения, където участниците могат сами да изпробват обсъжданите API-та и инструменти.

Курсът също така преминава през и обяснява най-честите и сериозни програмни грешки на езика и платформата Java, както и уязвимости, свързани с уеб средата. Освен типичните грешки, допускани от Java програмистите, представените уязвимости в сигурността обхващат както специфични за езика проблеми, така и проблеми, произтичащи от средата за изпълнение. Всички уязвимости и свързаните с тях атаки се демонстрират чрез лесно разбираеми упражнения, последвани от препоръчителни насоки за програмиране и възможни техники за смекчаване на последиците.

Участниците в този курс ще:

• Разберат основни концепции за сигурност, ИТ сигурност и сигурно програмиране
• Научат уеб уязвимости отвъд OWASP Top Ten и как да ги избягват
• Разберат концепциите за сигурност на уеб услугите
• Се научат да използват различни функции за сигурност на средата за разработка на Java
• Придобият практически познания по криптография
• Разберат решенията за сигурност на Java EE
• Научат за типичните грешки при програмиране и как да ги избягват
• Получат информация за някои скорошни уязвимости в Java рамката
• Придобият практически познания за използване на инструменти за тестване на сигурността
• Получат източници и допълнителна литература за практики за сигурно програмиране

Аудитория

Разработчици

Днес са налични множество езици за програмиране за компилиране на код към .NET и ASP.NET рамки. Средата предоставя мощни средства за разработка на сигурност, но разработчиците трябва да знаят как да прилагат програмните техники на архитектурно и кодово ниво, за да внедрят желаната функционалност за сигурност и да избегнат уязвимости или да ограничат тяхното използване.

Целта на този курс е да научи разработчиците чрез множество практически упражнения как да предотвратяват непрепоръчителен код от извършване на привилегировани действия, да защитават ресурси чрез силна автентикация и авторизация, да осигуряват извиквания на отдалечени процедури, да управляват сесии, да въвеждат различни имплементации за определена функционалност и много повече.

Въвеждането на различни уязвимости започва с представяне на някои типични програмни проблеми, допускани при използване на .NET, докато обсъждането на уязвимостите на ASP.NET също така разглежда различни настройки на средата и техните ефекти. Накрая, темата за специфичните за ASP.NET уязвимости не само се занимава с някои общи предизвикателства пред сигурността на уеб приложенията, но и със специални проблеми и методи за атака като атакуване на ViewState или атаките за прекратяване на низ.

Участниците в този курс ще

• Разберат основни концепции за сигурност, ИТ сигурност и сигурно кодиране
• Научат уеб уязвимости извън OWASP Top Ten и ще знаят как да ги избягват
• Се научат да използват различни функции за сигурност на средата за разработка .NET
• Получат практически познания за използване на инструменти за тестване на сигурността
• Научат за типичните грешки при кодиране и как да ги избягват
• Получат информация за някои скорошни уязвимости в .NET и ASP.NET
• Получат източници и допълнителна литература за практики за сигурно кодиране

Аудитория

Разработчици

Курсът предоставя основни умения за PHP разработчици, необходими, за да направят техните приложения устойчиви на съвременни атаки през интернет. Уеб уязвимостите се обсъждат чрез PHP-базирани примери, които надхвърлят топ десет на OWASP, като се обръща внимание на различни инжекционни атаки, скриптови инжекции, атаки срещу управлението на сесии в PHP, несигурни директни референции към обекти, проблеми с качването на файлове и много други. Уязвимостите, свързани с PHP, са представени групирани в стандартните типове уязвимости: липсващо или неправилно валидиране на входни данни, неправилна обработка на грешки и изключения, неправилно използване на защитни функции и проблеми, свързани с време и състояние. За последните обсъждаме атаки като заобикаляне на open_basedir, отказ на услуга чрез магическо число с плаваща запетая или атака с колизия в хеш таблица. Във всички случаи участниците ще се запознаят с най-важните техники и функции, които да се използват за намаляване на изброените рискове.

Специален фокус е поставен върху сигурността от страна на клиента, като се разглеждат проблеми със сигурността на JavaScript, Ajax и HTML5. Представени са редица свързани със сигурността разширения на PHP като hash, mcrypt и OpenSSL за криптография, или Ctype, ext/filter и HTML Purifier за валидиране на входни данни. Дадени са най-добрите практики за усилване на сигурността във връзка с конфигурацията на PHP (настройка на php.ini), Apache и сървъра като цяло. Накрая е направен преглед на различни инструменти и техники за тестване на сигурността, които разработчиците и тестерите могат да използват, включително скенери за сигурност, тестове за проникване и пакети с експлойти, снифери, прокси сървъри, инструменти за фъзинг и статични анализатори на изходен код.

Както представянето на уязвимостите, така и практиките за конфигурация са подкрепени от редица практически упражнения, демонстриращи последствията от успешни атаки, показващи как да се приложат техники за смекчаване и въвеждащи използването на различни разширения и инструменти.

Участниците в този курс ще:

• Разберат основни концепции за сигурност, ИТ сигурност и сигурно програмиране
• Научат за уеб уязвимости извън Топ десет на OWASP и как да ги избягват
• Научат за уязвимости от страна на клиента и практики за сигурно програмиране
• Имат практическо разбиране за криптографията
• Научат как да използват различни функции за сигурност на PHP
• Научат за типични грешки при програмиране и как да ги избягват
• Бъдат информирани за скорошни уязвимости в PHP платформата
• Получат практически знания за използване на инструменти за тестване на сигурността
• Получат източници и допълнителна литература за практики за сигурно програмиране

Аудитория

Разработчици

Комбинираното обучение за SDL Core дава представа за сигурен софтуерен дизайн, разработка и тестване чрез Microsoft Secure Development Lifecycle (SDL). То предоставя общ преглед на основните градивни елементи на SDL, последвани от дизайнерски техники за откриване и отстраняване на недостатъци в ранните етапи на процеса на разработка.

В частта за фазата на разработка, курсът прави преглед на типичните за сигурността програмни грешки както при управляван, така и при нативен код. Представени са методи за атака на обсъжданите уязвимости, заедно със свързаните с тях техники за смекчаване, като всичко е обяснено чрез редица практически упражнения, предоставящи забавление с хакване на живо за участниците. Въведението в различните методи за тестване на сигурността е последвано от демонстрация на ефективността на различни инструменти за тестване. Участниците могат да разберат работата на тези инструменти чрез практически упражнения, прилагайки ги върху вече обсъдения уязвим код.

Участниците в този курс ще

Разберат основните концепции за сигурност, ИТ сигурност и сигурно кодиране

Се запознаят с основните стъпки на Microsoft Secure Development Lifecycle

Научат практики за сигурен дизайн и разработка

Научат за принципите на сигурно внедряване

Разберат методологията за тестване на сигурността

• Получат източници и допълнителна литература за практики за сигурно кодиране

Аудитория

Разработчици, Мениджъри

В този курс, воден от инструктор на живо в Варна, участниците ще научат как да формулират подходящата стратегия за сигурност, за да се справят с предизвикателството пред сигурността в DevOps.

Този курс в Варна цели да помогне в следното:

1. Да помогне на разработчиците да овладеят техниките за писане на сигурен код
2. Да помогне на софтуерните тестери да тестват сигурността на приложението преди публикуване в продукционната среда
3. Да помогне на софтуерните архитекти да разберат рисковете, свързани с приложенията
4. Да помогне на ръководителите на екипи да определят базовите изисквания за сигурност за разработчиците
5. Да помогне на уеб администраторите да конфигурират сървърите, за да избегнат грешни конфигурации

Този курс обхваща концепциите и принципите на сигурното програмиране с Java чрез методологията за тестване на Open Web Application Security Project (OWASP). Open Web Application Security Project е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията.

Този курс обхваща концепциите и принципите за сигурно програмиране с ASP.NET чрез методологията за тестване Open Web Application Security Project (OWASP). OWASP е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията. 

Този курс разглежда функциите за сигурност на .NET Framework и как да се защитят уеб приложенията.