Курс за обучение по Сигурно програмиране в PHP
Курсът предоставя основни умения за PHP разработчици, необходими, за да направят техните приложения устойчиви на съвременни атаки през интернет. Уеб уязвимостите се обсъждат чрез PHP-базирани примери, които надхвърлят топ десет на OWASP, като се обръща внимание на различни инжекционни атаки, скриптови инжекции, атаки срещу управлението на сесии в PHP, несигурни директни референции към обекти, проблеми с качването на файлове и много други. Уязвимостите, свързани с PHP, са представени групирани в стандартните типове уязвимости: липсващо или неправилно валидиране на входни данни, неправилна обработка на грешки и изключения, неправилно използване на защитни функции и проблеми, свързани с време и състояние. За последните обсъждаме атаки като заобикаляне на open_basedir, отказ на услуга чрез магическо число с плаваща запетая или атака с колизия в хеш таблица. Във всички случаи участниците ще се запознаят с най-важните техники и функции, които да се използват за намаляване на изброените рискове.
Специален фокус е поставен върху сигурността от страна на клиента, като се разглеждат проблеми със сигурността на JavaScript, Ajax и HTML5. Представени са редица свързани със сигурността разширения на PHP като hash, mcrypt и OpenSSL за криптография, или Ctype, ext/filter и HTML Purifier за валидиране на входни данни. Дадени са най-добрите практики за усилване на сигурността във връзка с конфигурацията на PHP (настройка на php.ini), Apache и сървъра като цяло. Накрая е направен преглед на различни инструменти и техники за тестване на сигурността, които разработчиците и тестерите могат да използват, включително скенери за сигурност, тестове за проникване и пакети с експлойти, снифери, прокси сървъри, инструменти за фъзинг и статични анализатори на изходен код.
Както представянето на уязвимостите, така и практиките за конфигурация са подкрепени от редица практически упражнения, демонстриращи последствията от успешни атаки, показващи как да се приложат техники за смекчаване и въвеждащи използването на различни разширения и инструменти.
Участниците в този курс ще:
- Разберат основни концепции за сигурност, ИТ сигурност и сигурно програмиране
- Научат за уеб уязвимости извън Топ десет на OWASP и как да ги избягват
- Научат за уязвимости от страна на клиента и практики за сигурно програмиране
- Имат практическо разбиране за криптографията
- Научат как да използват различни функции за сигурност на PHP
- Научат за типични грешки при програмиране и как да ги избягват
- Бъдат информирани за скорошни уязвимости в PHP платформата
- Получат практически знания за използване на инструменти за тестване на сигурността
- Получат източници и допълнителна литература за практики за сигурно програмиране
Аудитория
Разработчици
Съдържание и теми, включени в курса
- ИТ сигурност и сигурно програмиране
- Сигурност на уеб приложения
- Уязвимости на уеб приложения
- Сигурност от страна на клиента
- Сигурност от страна на клиента
- Практическа криптография
- Услуги за сигурност в PHP
- PHP среда
- Принципи на сигурността и сигурното програмиране
- Често срещани грешки при програмиране и уязвимости
- Техники и инструменти за тестване на сигурността
- Източници на знания
Отворените курсове за обучение изискват 5+ участника.
Курс за обучение по Сигурно програмиране в PHP - Резервация
Курс за обучение по Сигурно програмиране в PHP - Запитване
Сигурно програмиране в PHP - Консултантско запитване
Отзиви от участници (3)
I genuinely enjoyed the real life examples.
Marios Prokopiou
Курс - Secure coding in PHP
Машинен превод
All topics were well covered and presented with a lot of examples. Ahmed was very efficient and managed to keep us focused and attracted at all times.
Kostas Bastas
Курс - Secure coding in PHP
Машинен превод
The subject of the course was very interesting and gave us many ideas.
Anastasios Manios
Курс - Secure coding in PHP
Машинен превод
Предстоящи Курсове
Свързани Kурсове
Мрежова сигурност и сигурна комуникация
21 ЧасаРазработката на сигурно мрежово приложение може да бъде трудна дори за програмисти, които преди това са използвали различни криптографски градивни блокове (като криптиране и цифрови подписи). За да разберат участниците ролята и приложението на тези криптографски примитиви, първо се изгражда солидна основа върху основните изисквания за сигурна комуникация – сигурно потвърждение, цялостност, конфиденциалност, отдалечена идентификация и анонимност – като същевременно се представят типичните проблеми, които могат да компрометират тези изисквания, заедно с практически решения от реалния свят.
Тъй като криптографията е критичен аспект на мрежовата сигурност, се обсъждат и най-важните криптографски алгоритми в сферата на симетричната криптография, хеширането, асиметричната криптография и договарянето на ключове. Вместо да се навлиза в задълбочена математическа основа, тези елементи се разглеждат от гледна точка на разработчика, като се показват типични примери за употреба и практически съображения, свързани с използването на криптография, като например инфраструктури с публични ключове. Представят се протоколи за сигурност в много области на сигурната комуникация, като задълбочено се обсъждат най-широко използваните фамилии протоколи, като IPSEC и SSL/TLS.
Обсъждат се типични криптографски уязвимости, свързани както с определени криптографски алгоритми, така и с криптографски протоколи, като BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE и подобни, както и времевата атака срещу RSA. За всеки случай се описват практическите съображения и потенциалните последици, отново без да се задълбава в детайлна математическа сложност.
Накрая, тъй като XML технологията е централна за обмена на данни в мрежовите приложения, се описват аспектите на сигурността на XML. Това включва използването на XML в уеб услугите и SOAP съобщенията, заедно със защитни мерки като XML подпис и XML криптиране – както и слабости в тези защитни мерки и специфични за XML проблеми със сигурността, като XML инжекция, атаки срещу XML външни обекти (XXE), XML бомби и XPath инжекция.
При завършване на курса участниците ще
- Разбират основни концепции за сигурност, ИТ сигурност и сигурно програмиране
- Разбират изискванията за сигурна комуникация
- Научат за мрежови атаки и защити на различни OSI слоеве
- Имат практическо разбиране за криптографията
- Разбират основни протоколи за сигурност
- Разбират някои скорошни атаки срещу криптосистеми
- Получат информация за някои скорошни свързани уязвимости
- Разбират концепциите за сигурност на уеб услугите
- Получат източници и допълнителни материали за практики за сигурно програмиране
Аудитория
Разработчици, професионалисти
Сигурно програмиране на C/C++
21 ЧасаПисането на сигурен C и C++ код изисква строга защита срещу злонамерена експлоатация, повреда на паметта и заобикаляне на валидирането на входни данни. Тази програма разглежда модели на уязвимости, включително препълване на буфер, използване след освобождаване, препълване на целочислен тип и объркване на типове. Участниците прилагат указания за сигурно програмиране, инструменти за статичен анализ и техники за отбранително програмиране, за да елиминират слабости, да наложат дезинфекция на входните данни и да предоставят подсилен софтуер, устойчив на кибератаки.
Разширена Java сигурност
21 ЧасаДори опитни Java програмисти не владеят напълно разнообразните услуги за сигурност, предлагани от Java, и често не са наясно с различните уязвимости, които са от значение за уеб приложения, написани на Java.
Курсът – наред с представянето на компонентите за сигурност на Standard Java Edition – разглежда и въпроси, свързани със сигурността на Java Enterprise Edition (JEE) и уеб услугите. Обсъждането на специфични услуги се предхожда от основите на криптографията и сигурната комуникация. Различни упражнения се занимават с декларативни и програмни техники за сигурност в JEE, като същевременно се обсъжда сигурността на транспортния слой и end-to-end сигурността на уеб услугите. Използването на всички компоненти е представено чрез няколко практически упражнения, където участниците могат сами да изпробват обсъжданите API-та и инструменти.
Курсът също така преминава през и обяснява най-честите и сериозни програмни грешки на езика и платформата Java, както и уязвимости, свързани с уеб средата. Освен типичните грешки, допускани от Java програмистите, представените уязвимости в сигурността обхващат както специфични за езика проблеми, така и проблеми, произтичащи от средата за изпълнение. Всички уязвимости и свързаните с тях атаки се демонстрират чрез лесно разбираеми упражнения, последвани от препоръчителни насоки за програмиране и възможни техники за смекчаване на последиците.
Участниците в този курс ще:
- Разберат основни концепции за сигурност, ИТ сигурност и сигурно програмиране
- Научат уеб уязвимости отвъд OWASP Top Ten и как да ги избягват
- Разберат концепциите за сигурност на уеб услугите
- Се научат да използват различни функции за сигурност на средата за разработка на Java
- Придобият практически познания по криптография
- Разберат решенията за сигурност на Java EE
- Научат за типичните грешки при програмиране и как да ги избягват
- Получат информация за някои скорошни уязвимости в Java рамката
- Придобият практически познания за използване на инструменти за тестване на сигурността
- Получат източници и допълнителна литература за практики за сигурно програмиране
Аудитория
Разработчици
Разработка на сигурност за .NET, C# и ASP.NET
14 ЧасаДнес са налични множество езици за програмиране за компилиране на код към .NET и ASP.NET рамки. Средата предоставя мощни средства за разработка на сигурност, но разработчиците трябва да знаят как да прилагат програмните техники на архитектурно и кодово ниво, за да внедрят желаната функционалност за сигурност и да избегнат уязвимости или да ограничат тяхното използване.
Целта на този курс е да научи разработчиците чрез множество практически упражнения как да предотвратяват непрепоръчителен код от извършване на привилегировани действия, да защитават ресурси чрез силна автентикация и авторизация, да осигуряват извиквания на отдалечени процедури, да управляват сесии, да въвеждат различни имплементации за определена функционалност и много повече.
Въвеждането на различни уязвимости започва с представяне на някои типични програмни проблеми, допускани при използване на .NET, докато обсъждането на уязвимостите на ASP.NET също така разглежда различни настройки на средата и техните ефекти. Накрая, темата за специфичните за ASP.NET уязвимости не само се занимава с някои общи предизвикателства пред сигурността на уеб приложенията, но и със специални проблеми и методи за атака като атакуване на ViewState или атаките за прекратяване на низ.
Участниците в този курс ще
- Разберат основни концепции за сигурност, ИТ сигурност и сигурно кодиране
- Научат уеб уязвимости извън OWASP Top Ten и ще знаят как да ги избягват
- Се научат да използват различни функции за сигурност на средата за разработка .NET
- Получат практически познания за използване на инструменти за тестване на сигурността
- Научат за типичните грешки при кодиране и как да ги избягват
- Получат информация за някои скорошни уязвимости в .NET и ASP.NET
- Получат източници и допълнителна литература за практики за сигурно кодиране
Аудитория
Разработчици
Microsoft SDL Core
14 ЧасаКомбинираното обучение за SDL Core дава представа за сигурен софтуерен дизайн, разработка и тестване чрез Microsoft Secure Development Lifecycle (SDL). То предоставя общ преглед на основните градивни елементи на SDL, последвани от дизайнерски техники за откриване и отстраняване на недостатъци в ранните етапи на процеса на разработка.
В частта за фазата на разработка, курсът прави преглед на типичните за сигурността програмни грешки както при управляван, така и при нативен код. Представени са методи за атака на обсъжданите уязвимости, заедно със свързаните с тях техники за смекчаване, като всичко е обяснено чрез редица практически упражнения, предоставящи забавление с хакване на живо за участниците. Въведението в различните методи за тестване на сигурността е последвано от демонстрация на ефективността на различни инструменти за тестване. Участниците могат да разберат работата на тези инструменти чрез практически упражнения, прилагайки ги върху вече обсъдения уязвим код.
Участниците в този курс ще
Разберат основните концепции за сигурност, ИТ сигурност и сигурно кодиране
Се запознаят с основните стъпки на Microsoft Secure Development Lifecycle
Научат практики за сигурен дизайн и разработка
Научат за принципите на сигурно внедряване
Разберат методологията за тестване на сигурността
- Получат източници и допълнителна литература за практики за сигурно кодиране
Аудитория
Разработчици, Мениджъри
DevOps сигурност: Създаване на стратегия за сигурност в DevOps
7 ЧасаВ този курс, воден от инструктор на живо в България, участниците ще научат как да формулират подходящата стратегия за сигурност, за да се справят с предизвикателството пред сигурността в DevOps.
Design Patterns in PHP
14 ЧасаТова обучение с инструктор на живо в България (онлайн или на място) е насочено към PHP разработчици на средно ниво, които желаят да прилагат ефективно design patterns в своите проекти.
След завършване на обучението участниците ще могат да:
- Разбират целта и предимствата на design patterns.
- Идентифицират и внедряват подходящи design patterns за често срещани сценарии.
- Структурират PHP приложения, използвайки утвърдени в индустрията най-добри практики.
- Интегрират шаблони в модерни рамки като Symfony или Zend.
EC-Council сертифициран DevSecOps инженер (ECDE)
28 ЧасаEC-Council сертифициран DevSecOps инженер (ECDE) е практически курс, създаден да осигури на професионалистите умения за вграждане на сигурност в целия жизнен цикъл на DevOps, като дава възможност за сигурна софтуерна разработка от планирането до внедряването.
Това обучение, водено от инструктор на живо (онлайн или на място), е насочено към софтуерни и DevOps професионалисти от средно ниво, които желаят да интегрират практики за сигурност в CI/CD конвейрите, осигурявайки сигурно и съответстващо на изискванията доставяне на код.
До края на това обучение участниците ще могат да:
- Разбират принципите и практиките на DevSecOps.
- Осигуряват сигурност на всеки етап от CI/CD конвейра чрез автоматизирани инструменти.
- Прилагат практики за сигурно кодиране и сканиране за уязвимости.
- Подготвят се за ECDE сертификацията чрез практически лабораторни упражнения и преговор.
Формат на курса
- Интерактивна лекция и дискусия.
- Практическо използване на DevSecOps инструменти в симулирани конвейри.
- Насочвани упражнения, фокусирани върху сигурна разработка и внедряване.
Опции за персонализиране на курса
- За да заявите персонализирано обучение за този курс, съобразено с работните процеси или веригата от инструменти на вашия екип, моля, свържете се с нас за уреждане.
PHP рамка Laravel
14 ЧасаТова обучение с инструктор на живо в България въвежда в основите на Laravel и превежда участниците през създаването на уеб приложение, базирано на Laravel.
Laravel Livewire
7 ЧасаТова обучение с инструктор на живо в България (онлайн или на място) е предназначено за разработчици, които желаят да научат и използват Livewire за изграждане на модерни и динамични приложни интерфейси.
До края на това обучение участниците ще могат:
- Да изграждат и тестват Livewire компоненти.
- Да създават приложения, използвайки библиотеката Livewire.
- Да разработват динамични компоненти в PHP.
Laravel и Vue.js
14 ЧасаТова обучение с инструктор на живо в България (онлайн или на място) е предназначено за уеб разработчици, които желаят да използват Laravel и Vue.js за fullstack уеб разработка.
След завършване на обучението участниците ще могат:
- Да разработват уеб приложения с Laravel и Vue.js.
- Да интегрират бекенд API на Laravel във Vue.js.
- Да внедряват приложение, изградено с Laravel.
Laravel: Разработка на Middleware
14 ЧасаТова обучение с инструктор на живо (онлайн или на място) е насочено към уеб разработчици, които желаят да изграждат middleware и уеб услуги в Laravel.
До края на това обучение участниците ще могат да:
- Използват Laravel PHP Artisan за генериране на код и компоненти.
- Изграждат RESTful API в Laravel, които могат да преглеждат, четат, редактират, добавят и изтриват.
- Филтрират и сортират резултати въз основа на URL параметри с помощта на RESTful API.
Как да пишем сигурен код
35 ЧасаТози курс в България цели да помогне в следното:
- Да помогне на разработчиците да овладеят техниките за писане на сигурен код
- Да помогне на софтуерните тестери да тестват сигурността на приложението преди публикуване в продукционната среда
- Да помогне на софтуерните архитекти да разберат рисковете, свързани с приложенията
- Да помогне на ръководителите на екипи да определят базовите изисквания за сигурност за разработчиците
- Да помогне на уеб администраторите да конфигурират сървърите, за да избегнат грешни конфигурации
Сигурно програмиране със Java (включително OWASP)
21 ЧасаТози курс обхваща концепциите и принципите на сигурното програмиране с Java чрез методологията за тестване на Open Web Application Security Project (OWASP). Open Web Application Security Project е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията.
Сигурен разработчик .NET (вкл. OWASP)
21 ЧасаТози курс обхваща концепциите и принципите за сигурно програмиране с ASP.NET чрез методологията за тестване Open Web Application Security Project (OWASP). OWASP е онлайн общност, която създава свободно достъпни статии, методологии, документация, инструменти и технологии в областта на сигурността на уеб приложенията.
Този курс разглежда функциите за сигурност на .NET Framework и как да се защитят уеб приложенията.