Application Security обучение в Варна

Това водено от инструктор обучение на живо в Варна (онлайн или на място) е насочено към разработчици от средно до напреднало ниво, които желаят да разберат и приложат сигурни практики за кодиране, да идентифицират рисковете за сигурността в софтуера и да внедрят защити срещу кибер заплахи.

До края на това обучение участниците ще могат:

• Разберете често срещаните уязвимости в сигурността в уеб и софтуерни приложения.
• Анализирайте заплахите за сигурността и използвайте техниките, използвани от нападателите.
• Приложете сигурни практики за кодиране, за да намалите рисковете за сигурността.
• Използвайте инструменти за тестване на сигурността, за да идентифицирате и коригирате уязвимостите.

EC-Council Сертифициран инженер по DevSecOps (ECDE) е курс с практически упражнения, направен да обучва професионалисти на уменията да внедряват сигурност в DevOps цикъла, което позволява сигурно разработване на софтуер от планирането до развертането.

Този курс с инструктор, провеждан на живо (онлайн или на място), е предназначен за професионалисти с интермедиерни умения в софтуер и DevOps, които искат да интегрират практики за сигурност в CI/CD pipeлините, осигурявайки сигурно и съответстващо на нормите доставяне на код.

До края на това обучение участниците ще могат да:

• Разберат принципите и практиките на DevSecOps.
• Осигурят всяка фаза от CI/CD pipeлината, използвайки автоматизирани инструменти.
• Имплементират сигурни практики за кодиране и сканиране за уязвимости.
• Подготвят се за сертификацията ECDE с практически лаборатории и преглед.

Формат на курса

• Интерактивни лекции и дискусии.
• Практически упражнения с инструменти за DevSecOps в симулирани pipeлини.
• Упражнения с ръководство, фокусирани върху сигурно разработване и развертане.

Опции за персонализиране на курса

• За заявяване на персонализиран обучавателен курс за този курс, съобразен с работите процеси или веригата от инструменти на вашия екип, моля свържете се с нас, за да уредим.

Android е отворена платформа за мобилни устройства, като смартфони и таблети. Тя разполага с разнообразие от сигурностни функции, които облекчават разработката на сигурни софтуерни продукти; обаче липсват някои сигурностни аспекти, които са налични в други платформи за ръчни устройства. Курсът дава всеобхватен преглед на тези функции и подчертава най-критичните недостатъци, за които трябва да се знае, свързани със съответното Linux, файловата система и общата среда, както и за използването на разрешения и други компоненти за разработка на софтуер в Android.

Типичните проблеми със сигурността и уязвимостите се описват както за оригинален код, така и за Java приложения, заедно с препоръки и добри практики, за да се избегнат и намалят. В много от обсъжданите случаи въпросите се подкрепят с реални пример и изследвания. Конечно, даваме кратък преглед за използване на инструменти за тестиране на сигурността, за да се разкрият всички програмиращи грешки, свързани със сигурността.

Участниците в курса ще

• Разберат основните концепции на сигурността, ИТ сигурността и сигурното програмиране
• Научат сигурността на решенията в Android
• Научат как да използват различни сигурностни функции на платформата Android
• Добият информация за някои от последните уязвимости в Java в Android
• Научат за типичните грешки при програмиране и как да ги избегнат
• Добият разбиране за уязвимостите в оригиналния код в Android
• Разберат сериозните последици от несигурното обработване на буферите в оригиналния код
• Разберат техниката за архитектурна защита и нейните слабости
• Добият източници и допълнително четене за сигурното програмиране

Целева група

Професионалисти

Днес са налични редица програмни езици за компилиране на код в .NET и ASP.NET frameworks. Средата предоставя мощни средства за развитие на сигурността, но разработчиците трябва да знаят как да прилагат техниките за програмиране на ниво архитектура и кодиране, за да приложат желаната функционалност за сигурност и да избегнат уязвимостите или да ограничат тяхното използване.

Целта на този курс е да научи разработчиците чрез многобройни практически упражнения как да предотвратят извършването на привилегировани действия от ненадежден код, да защитят ресурсите чрез силно удостоверяване и оторизация, да осигурят извиквания на отдалечени процедури, да управляват сесии, да въведат различни реализации за определени функционалности и много повече. Специален раздел е посветен на конфигурирането и укрепването на .NET и ASP.NET средата за сигурност.

Кратко въведение в основите на криптографията предоставя обща практическа основа за разбиране на целта и работата на различни алгоритми, въз основа на които курсът представя криптографските функции, които могат да се използват в .NET. Това е последвано от въвеждането на някои скорошни крипто уязвимости, както свързани с определени крипто алгоритми и криптографски протоколи, така и с атаки от страничен канал.

Представянето на различни уязвимости започва с представяне на някои типични програмни проблеми, възникнали при използване на .NET, включително категории грешки при валидиране на въвеждане, обработка на грешки или условия на състезание. Специален фокус е отделен на XML сигурността, докато темата за специфичните за ASP.NET уязвимости се занимава с някои специални проблеми и методи за атака: като атака на ViewState или атаки за прекратяване на низове.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Научете се да използвате различни функции за сигурност на средата за разработка .NET
• Имате практическо разбиране на криптографията
• Разберете някои скорошни атаки срещу криптосистеми
• Получете информация за някои скорошни уязвимости в .NET и ASP.NET
• Научете за типичните грешки при кодирането и как да ги избегнете
• Получете практически знания за използването на инструменти за тестване на сигурността
• Получете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици

Внедряването на защитено мрежово приложение може да бъде трудно дори за разработчици, които може да са използвали различни криптографски градивни елементи (като криптиране и цифрови подписи) предварително. За да накарат участниците да разберат ролята и използването на тези криптографски примитиви, първо се дава солидна основа на основните изисквания за защитена комуникация – сигурно потвърждение, интегритет, поверителност, отдалечена идентификация и анонимност, като същевременно се представят типичните проблеми, които може да повреди тези изисквания заедно с реалните решения.

Тъй като криптографията е критичен аспект на мрежовата сигурност, най-важните криптографски алгоритми в симетричната криптография, хеширането, асиметричната криптография и споразумението за ключове също се обсъждат. Вместо да представят задълбочена математическа основа, тези елементи се обсъждат от гледна точка на разработчика, показвайки типични примери за използване и практически съображения, свързани с използването на крипто, като инфраструктури с публичен ключ. Представени са протоколи за сигурност в много области на защитена комуникация, със задълбочено обсъждане на най-широко използваните семейства протоколи като IPSEC и SSL/TLS.

Обсъждат се типични крипто уязвимости, свързани както с определени крипто алгоритми, така и с криптографски протоколи, като BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE и подобни, както и атаката за синхронизиране на RSA. Във всеки случай практическите съображения и потенциалните последствия са описани за всеки проблем, отново, без да се навлиза в дълбоки математически подробности.

И накрая, тъй като технологията XML е централна за обмен на данни от мрежови приложения, аспектите на сигурността на XML са описани. Това включва използването на XML в рамките на уеб услуги и SOAP съобщения заедно с мерки за защита като XML подпис и XML криптиране – както и слабости в тези мерки за защита и специфични за XML проблеми със сигурността, като XML инжекция, XML атаки на външен обект (XXE), XML бомби и XPath инжекция.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Разберете изискванията за сигурна комуникация
• Научете за мрежовите атаки и защити на различни OSI слоеве
• Имате практическо разбиране на криптографията
• Разберете основните протоколи за сигурност
• Разберете някои скорошни атаки срещу криптосистеми
• Получете информация за някои скорошни свързани уязвимости
• Разберете концепциите за сигурност на уеб услугите
• Получете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици, професионалисти

За да обслужваме по най-добрия начин хетерогенни групи за разработка, които използват различни платформи едновременно по време на ежедневната си работа, ние обединихме различни теми в комбиниран курс, който представя различни теми за безопасно кодиране по дидактичен начин на едно обучително събитие. Този курс съчетава сигурността на платформата C/C++ и Java, за да осигури обширна експертиза в кодирането на различни платформи.

Мигрирането към облака въвежда огромни ползи за компании и физически лица по отношение на ефективност и разходи. По отношение на сигурността ефектите са доста различни, но е общоприето схващане, че използването на облачни услуги влияе положително на сигурността. Мненията обаче многократно се разминават дори по отношение на това кой е отговорен за гарантирането на сигурността на облачните ресурси.

Покривайки IaaS, PaaS и SaaS, първо се обсъжда сигурността на инфраструктурата: проблеми с втвърдяването и конфигурацията, както и различни решения за удостоверяване и оторизация заедно с управлението на самоличността, което трябва да бъде в основата на цялата архитектура на сигурността. Това е последвано от някои основи по отношение на правни и договорни въпроси, а именно как се установява и управлява доверието в облака.

Пътуването през облачната сигурност продължава с разбирането на специфичните за облака заплахи и целите и мотивацията на нападателите, както и типичните стъпки за атака, предприети срещу облачни решения. Специален фокус се отделя и на одита на облака и предоставянето на оценка на сигурността на облачните решения на всички нива, включително тестове за проникване и анализ на уязвимостите.

Фокусът на курса е върху проблемите със сигурността на приложенията, като се занимава както със сигурността на данните, така и със сигурността на самите приложения. От гледна точка на сигурността на приложенията, сигурността на облачните изчисления не се различава съществено от общата сигурност на софтуера и следователно основно всички изброени OWASP уязвимости са приложими и в този домейн. Наборът от заплахи и рискове прави разликата и по този начин обучението завършва с изброяването на различни специфични за облака вектори на атака, свързани със слабостите, обсъдени преди това.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Разберете основните заплахи и рискове в облачния домейн
• Научете за елементарни решения за сигурност в облака
• Получете информация за доверието и управлението по отношение на облака
• Имате практическо разбиране на криптографията
• Получете обширни познания за сигурността на приложенията в облака
• Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете
• Разберете предизвикателствата на одита и оценката на облачните системи за сигурност
• Научете как да защитите облачната среда и инфраструктура
• Вземете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици, мениджъри, професионалисти

Този тридневен курс обхваща основите на защитата на C/C++ кода срещу злонамерени потребители, които могат да използват много уязвимости в кода с управление на паметта и обработка на входни данни, курсът обхваща принципите на писане на защитен код.

Дори опитни Java програмисти не владеят по всякакъв начин различните услуги за сигурност, предлагани от Java, и също така не са наясно с различните уязвимости, които са от значение за уеб приложенията, написани на Java.

Курсът – освен представяне на компонентите за сигурност на Standard Java Edition – се занимава с проблемите на сигурността на Java Enterprise Edition (JEE) и уеб услугите. Обсъждането на конкретни услуги е предшествано от основите на криптографията и защитената комуникация. Различни упражнения се занимават с декларативни и програмни техники за сигурност в JEE, докато се обсъжда сигурността на транспортния слой и от край до край на уеб услугите. Използването на всички компоненти е представено чрез няколко практически упражнения, където участниците могат сами да изпробват обсъжданите API и инструменти.

Курсът също така разглежда и обяснява най-честите и тежки програмни недостатъци на Java езика и платформата и свързаните с мрежата уязвимости. Освен типичните грешки, допуснати от Java програмисти, въведените уязвимости в сигурността обхващат както специфични за езика проблеми, така и проблеми, произтичащи от средата за изпълнение. Всички уязвимости и съответните атаки се демонстрират чрез лесни за разбиране упражнения, последвани от препоръчителните насоки за кодиране и възможните техники за смекчаване.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и защитено кодиране Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете Разберете концепциите за сигурност на уеб услугите Научете се да използвате различни функции за сигурност на средата за разработка на Java Имате практическо разбиране на криптографията Разберете решения за сигурност на Java EE Научете за типичните грешки при кодиране и как да ги избегнете Получете информация за някои скорошни уязвимости в рамката на Java Получете практически познания за използването на инструменти за тестване на сигурността Получете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици

Дори опитни програмисти не владеят по всякакъв начин различните услуги за сигурност, предлагани от техните платформи за разработка, и също така не са наясно с различните уязвимости, които са от значение за техните разработки. Този курс е насочен към разработчици, използващи както Java, така и PHP, предоставяйки им основни умения, необходими, за да направят приложенията си устойчиви на съвременните атаки през Интернет.

Нивата на Java архитектура на сигурността се преминават през справяне с контрол на достъпа, удостоверяване и оторизация, защитена комуникация и различни криптографски функции. Представени са и различни API, които могат да се използват за защита на вашия код в PHP, като OpenSSL за криптография или HTML Purifier за проверка на входа. От страна на сървъра са дадени най-добрите практики за втвърдяване и конфигуриране на операционната система, уеб контейнера, файловата система, SQL сървъра и самия PHP, докато специален фокус е отделен на сигурността от страна на клиента чрез сигурност издания на JavaСкрипт, Ajax и HTML5.

Общите уеб уязвимости се обсъждат чрез примери, подравнени към OWASP Топ 10, показващи различни атаки чрез инжектиране, инжектиране на скриптове, атаки срещу обработка на сесии, несигурни директни препратки към обекти, проблеми с качване на файлове и много други. Различните Java- и PHP-специфични езикови проблеми и проблеми, произтичащи от средата за изпълнение, се въвеждат групирани в стандартните типове уязвимости на липсващо или неправилно валидиране на въвеждане, неправилно използване на функции за сигурност, неправилно обработване на грешки и изключения, време- и проблеми, свързани със състоянието, проблеми с качеството на кода и уязвимости, свързани с мобилния код.

Участниците могат сами да изпробват обсъжданите API, инструменти и ефектите от конфигурациите, докато въвеждането на уязвимостите е подкрепено от редица практически упражнения, демонстриращи последствията от успешни атаки, показващи как да коригирате грешките и да приложите техники за смекчаване и представяне на използването на различни разширения и инструменти.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете
• Научете уязвимостите от страна на клиента и практиките за безопасно кодиране
• Научете се да използвате различни функции за сигурност на Java средата за разработка
• Имате практическо разбиране на криптографията
• Научете се да използвате различни функции за сигурност на PHP
• Разберете концепциите за сигурност на уеб услугите
• Получете практически знания за използването на инструменти за тестване на сигурността
• Научете за типичните грешки при кодирането и как да ги избегнете
• Бъдете информирани за скорошни уязвимости в Java и PHP рамки и библиотеки
• Вземете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици

Описание

Езикът Java и средата за изпълнение (JRE) са проектирани да бъдат освободени от най-проблемните често срещани уязвимости в сигурността, срещани в други езици, като C/C++. И все пак разработчиците на софтуер и архитектите трябва не само да знаят как да използват различните функции за сигурност на Java средата (положителна сигурност), но също така трябва да са наясно с многобройните уязвимости, които все още са от значение за Java разработката (отрицателна сигурност) .

Въвеждането на услугите за сигурност е предшествано от кратък преглед на основите на криптографията, предоставяйки обща базова линия за разбиране на целта и работата на приложимите компоненти. Използването на тези компоненти е представено чрез няколко практически упражнения, където участниците могат сами да изпробват обсъжданите API.

Курсът също така разглежда и обяснява най-честите и тежки програмни недостатъци на Java езика и платформата, като обхваща както типичните грешки, допуснати от Java програмисти, така и специфичните за езика и средата проблеми. Всички уязвимости и съответните атаки се демонстрират чрез лесни за разбиране упражнения, последвани от препоръчителните насоки за кодиране и възможните техники за смекчаване.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете Научете се да използвате различни функции за сигурност на средата за разработка на Java Имате практическо разбиране на криптографията Научете за типичните грешки в кодирането и как за да ги избегнете Получете информация за някои скорошни уязвимости в рамката на Java Получете източници и допълнителни четения за защитени практики за кодиране

Публика

Разработчици

Описание

Освен солидни познания в използването на Java компоненти, дори за опитни Java програмисти е от съществено значение да имат задълбочени познания относно свързаните с мрежата уязвимости както от страна на сървъра, така и от страна на клиента, различните уязвимости, които са подходящи за уеб приложения, написани на [2 ] и последствията от различните рискове.

Общите уеб базирани уязвимости са демонстрирани чрез представяне на съответните атаки, докато препоръчаните техники за кодиране и методи за смекчаване са обяснени в контекста на Java с най-важната цел да се избегнат свързаните с тях проблеми. Освен това се обръща специално внимание на сигурността от страна на клиента, като се справя с проблемите със сигурността на JavaScript, Ajax и HTML5.

Курсът въвежда компоненти за сигурност на стандартното Java издание, което е предшествано от основите на криптографията, осигурявайки обща базова линия за разбиране на целта и работата на приложимите компоненти. Използването на всички компоненти е представено чрез практически упражнения, където участниците могат сами да изпробват обсъжданите API и инструменти.

И накрая, курсът обяснява най-честите и сериозни програмни недостатъци на Java езика и платформата. Освен типичните грешки, допуснати от Java програмисти, въведените уязвимости в сигурността обхващат както специфични за езика проблеми, така и проблеми, произтичащи от средата за изпълнение. Всички уязвимости и съответните атаки се демонстрират чрез лесни за разбиране упражнения, последвани от препоръчителните насоки за кодиране и възможните техники за смекчаване.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете
• Научете уязвимостите от страна на клиента и практиките за безопасно кодиране
• Научете се да използвате различни функции за сигурност на Java средата за разработка
• Имате практическо разбиране на криптографията
• Научете за типичните грешки при кодирането и как да ги избегнете
• Получете информация за някои скорошни уязвимости в Java рамката
• Получете практически знания за използването на инструменти за тестване на сигурността
• Получете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици

Участниците, следващи този курс в Варна ще

• Разбират основните концепции на сигурност, информационна сигурност и безопасно програмиране
• Учат за уязвимости в уеб приложения, извън Топ Десет на OWASP и как да ги избегнат
• Учат за уязвимости на клиентска страна и практики за безопасно програмиране
• Учат как да използват различни функции за сигурност в средата за разработка на Java
• Притежават практическо разбиране на криптография
• Разбират концепциите на сигурност на уеб услуги
• Разбират решения за сигурност на Java EE
• Учат за типични грешки в кода и как да ги избегнат
• Получават информация за някои от най-новите уязвимости в рамката на Java
• Притежават практическо знание за използването на инструменти за тестване на сигурност
• Получават източници и допълнителни четения за практики на безопасно програмиране

Като разработчик, вашето задължение е да напишете непропускаем код.

Какво ще стане, ако ви кажем, че въпреки всичките ви усилия, кодът, който сте писали през цялата си кариера, е пълен със слабости, за които не сте подозирали? Ами ако, докато четете това, хакери се опитват да проникнат във вашия код? Каква е вероятността да успеят? Ами ако могат да откраднат вашата база данни и да я продадат на черния пазар?

Този курс по сигурността на уеб приложенията ще промени начина, по който гледате на кода. Практическо обучение, по време на което ще ви научим на всички трикове на нападателите и как да ги смекчите, оставяйки не друго чувство освен желанието да знаете повече.

Ваш избор е да бъдете пред останалите и да бъдете възприемани като променящ играта в борбата срещу киберпрестъпността.

Присъстващите делегати ще:

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете
• Научете уязвимостите от страна на клиента и практиките за безопасно кодиране
• Научете за Node.js сигурността
• Научете за MongoDB сигурността
• Имате практическо разбиране на криптографията
• Разберете основните протоколи за сигурност
• Разберете концепциите за сигурност на уеб услугите
• Научете за сигурността на JSON
• Получете практически знания за използването на техники и инструменти за тестване на сигурността
• Научете как да се справяте с уязвимостите в използваните платформи, рамки и библиотеки
• Получете източници и допълнителна информация за практиките за безопасно кодиране

Днес са налични редица програмни езици за компилиране на код в .NET и ASP.NET frameworks. Средата предоставя мощни средства за развитие на сигурността, но разработчиците трябва да знаят как да прилагат техниките за програмиране на ниво архитектура и кодиране, за да приложат желаната функционалност за сигурност и да избегнат уязвимостите или да ограничат тяхното използване.

Целта на този курс е да научи разработчиците чрез многобройни практически упражнения как да предотвратят извършването на привилегировани действия от ненадежден код, да защитят ресурсите чрез силно удостоверяване и оторизация, да осигурят извиквания на отдалечени процедури, да управляват сесии, да въведат различни реализации за определени функционалности и много Повече ▼.

Въвеждането на различни уязвимости започва с представяне на някои типични програмни проблеми, възникнали при използване на .NET, докато обсъждането на уязвимостите на ASP.NET също се занимава с различни настройки на средата и техните ефекти. И накрая, темата за специфичните за ASP.NET уязвимости се занимава не само с някои общи предизвикателства пред сигурността на уеб приложенията, но и със специални проблеми и методи за атака като атака на ViewState или атаки за прекратяване на низове.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране Научете уязвимостите в мрежата отвъд OWASP Топ 10 и знайте как да ги избегнете Научете се да използвате различни функции за сигурност на средата за разработка на .NET Получете практически знания за използването на инструменти за тестване на сигурността Научете за типичното кодиране грешки и как да ги избегнете Получете информация за някои скорошни уязвимости в .NET и ASP.NET Получете източници и допълнителни четения за защитени практики за кодиране

Публика

Разработчици

Освен солидни познания в използването на различни функции за сигурност на .NET и ASP.NET, дори за опитни програмисти е от съществено значение да имат задълбочени познания относно свързаните с мрежата уязвимости както от страна на сървъра, така и от страна на клиента, заедно с последствията от различните рискове.

В този курс общите уеб базирани уязвимости се демонстрират чрез представяне на съответните атаки, докато препоръчителните техники за кодиране и методи за смекчаване са обяснени в контекста на ASP.NET. Специален фокус се отделя на сигурността от страна на клиента, като се справят с проблеми със сигурността на JavaScript, Ajax и HTML5.

Курсът също така се занимава с архитектурата на сигурността и компонентите на .NET framework, включително контрол на достъпа, базиран на код и роли, деклариране на разрешения и механизми за проверка и модела на прозрачност. Кратко въведение в основите на криптографията предоставя обща практическа основа за разбиране на целта и работата на различни алгоритми, въз основа на които курсът представя криптографските функции, които могат да се използват в .NET.

Въвеждането на различни бъгове в сигурността следва добре установените категории уязвимости, като се занимава с валидиране на въвеждане, функции за сигурност, обработка на грешки, проблеми, свързани с времето и състоянието, групата от общи проблеми с качеството на кода и специален раздел за специфични за ASP.NET уязвимости . Тези теми завършват с преглед на инструментите за тестване, които могат да се използват за автоматично разкриване на някои от научените грешки.

Темите се представят чрез практически упражнения, където участниците могат да изпробват сами последствията от определени уязвимости, смекчаващите мерки, както и обсъжданите API и инструменти.

Участниците, посещаващи този курс, ще

• Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране
• Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете
• Научете уязвимостите от страна на клиента и практиките за безопасно кодиране
• Научете се да използвате различни функции за сигурност на средата за разработка .NET
• Имате практическо разбиране на криптографията
• Получете информация за някои скорошни уязвимости в .NET и ASP.NET
• Получете практически знания за използването на инструменти за тестване на сигурността
• Научете за типичните грешки при кодирането и как да ги избегнете
• Получете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици

Курсът представя някои общоприети концепции за сигурност, дава преглед за природата на уязвимостите независимо от използваните езици за програмиране и платформи, и обяснява как да се справяте с рисковете, които се отнасят до сигурността на софтуера в различните фази на живота на софтуера. Без да влиза в дълбочина на технически детайли, той подчертава някои от най-интересните и болни уязвимости в различни технологии за разработка на софтуер и представя предизвикателствата на тестване за сигурност, заедно с някои техники и инструменти, които можете да приложите за откриване на всякакви проблеми в кода си.

Участниците в този курс ще

• Разберат основните концепции за сигурност, ИТ сигурност и сигурно програмиране
• Разберат уязвимостите на уеб платформите, както на сървърната, така и на клиентската страна
• Осъзнаят тежките последици от несигурно обработване на буфери
• Научат за някои от най-скъсите уязвимости в средите за разработка и фреймворкове
• Научат как да избегнат типични грешки в кода
• Разберат подходи и методики за тестване за сигурност

Целова група

Мениджъри

Курсът предоставя основни умения за PHP разработчиците, необходими, за да направят приложенията си устойчиви на съвременните атаки през Интернет. Уязвимостите в мрежата се обсъждат чрез PHP базирани примери, надхвърлящи първите десет на OWASP, справящи се с различни атаки чрез инжектиране, инжектиране на скриптове, атаки срещу обработка на сесии на PHP, несигурни директни препратки към обекти, проблеми с качването на файлове и много други. Свързаните с PHP уязвимости се въвеждат групирани в стандартните типове уязвимости на липсващо или неправилно валидиране на въвеждане, неправилно обработване на грешки и изключения, неправилно използване на функции за сигурност и проблеми, свързани с времето и състоянието. За последното обсъждаме атаки като заобикаляне на open_basedir, отказ на услуга чрез магически float или атака на сблъсък на хеш таблица. Във всички случаи участниците ще се запознаят с най-важните техники и функции, които да се използват за намаляване на посочените рискове.

Специален фокус се отделя на сигурността от страна на клиента, като се справят с проблеми със сигурността на JavaScript, Ajax и HTML5. Въвеждат се редица свързани със сигурността разширения на PHP като хеш, mcrypt и OpenSSL за криптография, или Ctype, ext/filter и HTML Purifier за проверка на входа. Най-добрите практики за защита са дадени във връзка с PHP конфигурация (настройка php.ini), Apache и сървъра като цяло. Накрая е даден преглед на различни инструменти и техники за тестване на сигурността, които разработчиците и тестерите могат да използват, включително скенери за сигурност, тестове за проникване и експлойт пакети, снифери, прокси сървъри, инструменти за размиване и статични анализатори на изходния код.

Както въвеждането на уязвимостите, така и практиките за конфигуриране са подкрепени от редица практически упражнения, демонстриращи последствията от успешни атаки, показващи как да се прилагат техники за смекчаване и представяне на използването на различни разширения и инструменти.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране Научете уязвимостите в мрежата извън Топ 10 на OWASP и знайте как да ги избегнете Научете уязвимостите от страна на клиента и практиките за сигурно кодиране Имайте практическо разбиране на криптографията Научете се да използвате различни функции за сигурност на PHP Научете за типичните грешки при кодирането и как да ги избегнете Бъдете информирани за скорошни уязвимости на PHP рамката Получете практически познания за използването на инструменти за тестване на сигурността Получете източници и допълнителни четения относно практиките за безопасно кодиране

Публика

Разработчици

Комбинираното основно SDL обучение дава представа за проектиране, разработка и тестване на защитен софтуер чрез Microsoft Жизнен цикъл на защитена разработка (SDL). Той предоставя преглед на ниво 100 на основните градивни елементи на SDL, последван от техники за проектиране, които да се прилагат за откриване и отстраняване на недостатъци в ранните етапи на процеса на разработка.

Като се занимава с фазата на разработка, курсът дава общ преглед на типичните програмни грешки, свързани със сигурността, както на управлявания, така и на собствения код. Методите за атака са представени за обсъжданите уязвимости заедно със свързаните техники за смекчаване, всички обяснени чрез редица практически упражнения, осигуряващи забавление за хакване на живо за участниците. Въвеждането на различни методи за тестване на сигурността е последвано от демонстриране на ефективността на различни инструменти за тестване. Участниците могат да разберат работата на тези инструменти чрез редица практически упражнения, като прилагат инструментите към вече обсъдения уязвим код.

Участниците на този курс ще 

Разбират основните концепции за сигурност, ИТ сигурност и сигурно програмиране

Запознават се с основните стъпки на Microsoft Жизнен цикъл на защитен разработка

Научават сигурни принципи за проектиране и разработка

Научават за принципи за сигурна имплементация

Разбират методология за тестване на сигурността

• Получават източници и допълнителни четива за практики на сигурно програмиране

Публика

Разработчици, мениджъри

След като се запознаят с уязвимостите и методите за атака, участниците се запознават с общия подход и методологията за тестване на сигурността и техниките, които могат да бъдат приложени за разкриване на конкретни уязвимости. Тестването на сигурността трябва да започне със събиране на информация за системата (ToC, т.е. Target of Evaluation), след което задълбочено моделиране на заплахи трябва да разкрие и оцени всички заплахи, достигайки до най-подходящия тестов план, базиран на анализ на риска.

Оценките на сигурността могат да се извършват на различни стъпки на SDLC и затова обсъждаме преглед на дизайна, преглед на кода, разузнаване и събиране на информация за системата, тестване на внедряването и тестване и укрепване на средата за сигурно внедряване. Много техники за тестване на сигурността са въведени в детайли, като анализ на замърсяване и преглед на код, базиран на евристика, анализ на статичен код, динамично тестване на уеб уязвимости или размиване. Представени са различни видове инструменти, които могат да се прилагат, за да се автоматизира оценката на сигурността на софтуерни продукти, което също е подкрепено от редица упражнения, където изпълняваме тези инструменти, за да анализираме вече обсъдения уязвим код. Много казуси от реалния живот подкрепят по-доброто разбиране на различни уязвимости.

Този курс подготвя изпитателите и QA персонала за адекватно планиране и прецизно изпълнение на тестове за сигурност, избор и използване на най-подходящите инструменти и техники за намиране дори на скрити пропуски в сигурността и по този начин дава основни практически умения, които могат да бъдат приложени на следващия работен ден.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране Научете уязвимостите в мрежата отвъд OWASP Топ 10 и знайте как да ги избегнете Научете уязвимостите от страна на клиента и практиките за сигурно кодиране Разберете подходите и методологиите за тестване на сигурността Получете практически познания за използването на техники за тестване на сигурността и инструменти Вземете източници и допълнителна информация за практиките за безопасно кодиране

Публика

Разработчици, Тестери

Защитата на приложения, които са достъпни през мрежата, изисква добре подготвен специалист по сигурността, който по всяко време е наясно с текущите методи и тенденции на атака. Съществуват множество технологии и среди, които позволяват удобно разработване на уеб приложения. Човек не само трябва да е наясно с проблемите на сигурността, свързани с тези платформи, но и с всички общи уязвимости, които се прилагат независимо от използваните инструменти за разработка.

Курсът дава преглед на приложимите решения за сигурност в уеб приложенията, със специален фокус върху разбирането на най-важните криптографски решения, които трябва да бъдат приложени. Различните уязвимости на уеб приложенията са представени както от страна на сървъра (след OWASP Топ 10), така и от страната на клиента, демонстрирани чрез съответните атаки и последвани от препоръчаните техники за кодиране и методи за смекчаване, за да се избегнат свързаните проблеми. Темата за защитеното кодиране е приключила с обсъждане на някои типични програмни грешки, свързани със сигурността, в областта на валидирането на входа, неправилното използване на функциите за сигурност и качеството на кода.

Тестването играе много важна роля за гарантиране на сигурността и устойчивостта на уеб приложенията. Различни подходи – от одит на високо ниво през тестове за проникване до етично хакване – могат да бъдат приложени за откриване на различни видове уязвимости. Въпреки това, ако искате да отидете отвъд лесните за намиране ниско висящи плодове, тестването на сигурността трябва да бъде добре планирано и правилно изпълнено. Запомнете: тестерите за сигурност трябва в идеалния случай да намерят всички грешки, за да защитят системата, докато за противниците е достатъчно да намерят една използваема уязвимост, за да проникнат в нея.

Практическите упражнения ще помогнат за разбирането на уязвимостите на уеб приложенията, грешките в програмирането и най-важното техниките за смекчаване, заедно с практически изпитания на различни инструменти за тестване от скенери за сигурност, през снифери, прокси сървъри, инструменти за размиване до статични анализатори на изходния код, този курс дава основни практически умения, които могат да бъдат приложени на следващия ден на работното място.

Участниците, посещаващи този курс, ще

Разберете основните понятия за сигурност, ИТ сигурност и сигурно кодиране Научете уеб уязвимостите отвъд OWASP Топ 10 и знайте как да ги избегнете Научете уязвимостите от страна на клиента и практиките за сигурно кодиране Имайте практическо разбиране на криптографията Разберете подходите и методологиите за тестване на сигурността Получете практически знания при използване на техники и инструменти за тестване на сигурността Бъдете информирани за скорошни уязвимости в различни платформи, рамки и библиотеки Получавайте източници и допълнителни четения за практики за защитено кодиране

Публика

Разработчици, Тестери

Web Application Security е дисциплината, свързана със защита на онлайн приложения от съвременни уязвимости и заплахи, включително тези, които не зависят от платформата и влияят на основната архитектура на приложението и обработката на входните данни.

Този курс с преподавател (онлайн или на място) е направен за развиващи с среден ниво, които искат да разберат и приложат техники за сигурно програмиране, за да минимизират уязвимостите в уеб приложенията и да реализират здрава сигурност на уеб приложенията.

До края на този курс участниците ще бъдат в състояние да:

• Разберат основните концепции на сигурност, ИТ сигурност и сигурно програмиране.
• Научат уязвимости на уеб платформи над OWASP Топ Десет и как да ги избегнат.
• Научат клиентски уязвимости и практики за сигурно програмиране.
• Притежават практическо разбиране на криптография.
• Разберат концепциите на сигурност на уеб услуги.
• Получат практическо знание за използване на инструменти за тестване на сигурност.
• Получат източници и допълнителна литература за практики на сигурно програмиране.

Формат на курса

• Интерактивна лекция и дискусия.
• Много упражнения и практика.
• Практическа имплементация в среда за жива лаборатория.

Опции за персонализация на курса

• За да попитате персонализиран обучение за този курс, моля свържете се с нас, за да уредим.

В този воден от инструктори курс на живо в Варна участниците ще се научат как да формулират правилната стратегия за сигурност, за да се справят с DevOps предизвикателството за сигурност.

Това водено от инструктор обучение на живо (онлайн или на място) е насочено към разработчици, инженери и архитекти, които искат да осигурят своите уеб приложения и услуги.

До края на това обучение участниците ще могат да интегрират, тестват, защитават и анализират своите уеб приложения и услуги, като използват OWASP рамката и инструментите за тестване

Този курс в Варна има за цел да помага в следните области:

1. Помага на разработчици да овладяват техниките на писане на сигурен код
2. Помага на софтуерни тестери да тестват сигурността на приложението преди публикуването в продукционната среда
3. Помага на софтуерни архитекти да разберат рисковете, свързани с приложенията
4. Помага на тим лидери да установят сигурностни базови линии за разработчиците
5. Помага на уебмайстери да конфигурират серверите, за да се избегнат грешни конфигурации

Този курс обхваща концепциите и принципите за защитено кодиране с Java чрез методологията на тестване на Open Web Application Security Project (OWASP). Open Web Application Security Project е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията.

Този курс обхваща концепциите и принципите за защитено кодиране с ASP.net чрез Open Web Application Security Project (OWASP) методология за тестване, OWASP е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията.

Този курс изследва функциите за сигурност на Dot Net Framework и как да защитите уеб приложенията.

Описание:

Този курс ще даде на участниците задълбочено разбиране за концепциите за сигурност, концепциите за уеб приложения и рамки, използвани от разработчиците, за да могат да използват и защитават целево приложение. В днешния свят това се променя бързо и по този начин всички използвани технологии също се променят с бързи темпове, уеб приложенията са изложени на хакерски атаки 24/7. За да се защитят приложенията от външни нападатели, трябва да се познават всички части, които правят уеб приложението, като рамки, езици и технологии, използвани в разработката на уеб приложения, и много повече от това. Проблемът е, че нападателят трябва да знае само един начин да проникне в приложението, а разработчикът (или системният администратор) трябва да знае всички възможни експлойти, за да предотврати това да се случи. Поради това е наистина трудно да имате бронирано защитено уеб приложение и в повечето случаи уеб приложението е уязвимо към нещо. Това редовно се използва от киберпрестъпници и случайни хакери и може да бъде сведено до минимум чрез правилно планиране, разработка, тестване и конфигуриране на уеб приложения.

Цели:

За да ви даде уменията и знанията, необходими за разбиране и идентифициране на възможни експлойти в живи уеб приложения и за използване на идентифицирани уязвимости. Благодарение на знанията, придобити по време на фазата на идентифициране и експлоатация, трябва да можете да защитите уеб приложението срещу подобни атаки. След този курс участникът ще може да разбере и идентифицира OWASP топ 10 на уязвимостите и да включи това знание в схемата за защита на уеб приложенията.

Публика:

Разработчици, полиция и друг персонал от правоприлагащите органи, отбранителен и военен персонал, специалисти по сигурността на електронния бизнес, системни администратори, банкови, застрахователни и други специалисти, правителствени агенции, ИТ мениджъри, CISO, технически директори.