Application Security Kurs i Sverige

Denna instruktörsledda, webbträning i Sverige (online eller på plats) riktar sig till utvecklare på mellan- och avancerad nivå som vill förstå och tillämpa säkra kodningsmetoder, identifiera säkerhetsrisker i programvara och genomföra försvar mot cyberhot.

Vid slutet av denna utbildning kommer deltagarna att kunna:

• Förstå vanliga säkerhetsrisker i webb- och programvaruapplikationer.
• Analysera säkerhetshot och utnyttja tekniker som används av angripare.
• Implementera säkra kodningsmetoder för att minska säkerhetsrisker.
• använda säkerhetstestverktyg för att identifiera och åtgärda sårbarheter.

EC-Council Certified DevSecOps Engineer (ECDE) är en praktisk kurs som syftar till att utrusta professionella med färdigheter att integrera säkerhet i hela DevOps livscykeln, vilket möjliggör säker programutveckling från planering till distribution.

Denna instruktörsledda, live-training (online eller på plats) riktar sig till mellanstadie-nivåprogrammerare och DevOps professionella som vill integrera säkerhetsåtgärder i CI/CD-pipelines, för att säkerställa säker och kompatibel kodleverans.

Vid kursens slut kommer deltagarna att kunna:

• Förstå principerna och praxiserna för DevSecOps.
• Säkra varje steg i CI/CD-pipelinen med hjälp av automatiserade verktyg.
• Implementera säkra kodpraxis och sårbarhetsskanning.
• Förbereda sig för ECDE-certifiering med praktiska laborationer och genomgång.

Kursformat

• Interaktiv föreläsning och diskussion.
• Hands-on användning av DevSecOps-verktyg i simulerade pipelines.
• Ledda övningar som fokuserar på säker utveckling och distribution.

Anpassningsalternativ för kursen

• För att begära en anpassad utbildning för denna kurs baserat på ditt teams arbetsflöden eller verktygskedja, kontakta oss för att ordna.

Det kan vara svårt att implementera ett säkert nätverksprogram, även för utvecklare som kanske har använt olika kryptografiska byggstenar (till exempel kryptering och digitala signaturer) i förväg. För att få deltagarna att förstå rollen och användningen av dessa kryptografiska primitiver, ges först en solid grund för de viktigaste kraven på säker kommunikation – säker bekräftelse, integritet, konfidentialitet, fjärridentifiering och anonymitet – samtidigt som de typiska problemen som kan skada dessa krav presenteras tillsammans med verkliga lösningar.

Eftersom en kritisk aspekt av nätverkssäkerhet är kryptografi, diskuteras också de viktigaste kryptografiska algoritmerna inom symmetrisk kryptografi, hashing, asymmetrisk kryptografi och nyckelöverenskommelse. Istället för att presentera en djupgående matematisk bakgrund diskuteras dessa element ur en utvecklares perspektiv och visar typiska exempel på användningsfall och praktiska överväganden relaterade till användningen av krypto, såsom infrastrukturer för offentliga nycklar. Säkerhetsprotokoll inom många områden av säker kommunikation introduceras, med en djupgående diskussion om de mest använda protokollfamiljerna som IPSEC och SSL/TLS.

Typiska kryptosårbarheter diskuteras både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såsom BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE och liknande, samt RSA timing attack. I varje enskilt fall beskrivs de praktiska övervägandena och de potentiella konsekvenserna för varje problem, återigen utan att gå in på djupa matematiska detaljer.

Slutligen, eftersom XML-tekniken är central för datautbyte mellan nätverksanslutna applikationer, beskrivs säkerhetsaspekterna av XML. Detta inkluderar användningen av XML i webbtjänster och SOAP-meddelanden tillsammans med skyddsåtgärder som XML signatur och XML kryptering – samt svagheter i dessa skyddsåtgärder och XML-specifika säkerhetsproblem som XML injektion, XML attacker med externa enheter (XXE), XML bomber och XPath injektion.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Förstå kraven på säker kommunikation
• Lär dig mer om nätverksattacker och skydd i olika OSI-lager
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste relaterade sårbarheterna
• Förstå säkerhetskoncept för webbtjänster
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, proffs

Molnetagande förändrar hur applikationer byggs, distribueras och driftas — det förskjuter ansvaret mellan leverantör och kund samtidigt som det introducerar molnnativa plattformar (containrar, serverless, hanterade tjänster) som kräver anpassade säkerhetskontroller. Säkerheten måste därför adressera infrastrukturhårdning, identitets- och åtkomsthantering, dataskydd, säkra utvecklingsmetoder och molnspecifika hotvärden.

Denna handledarledd träningskurs (online eller på plats) riktar sig till mellannivåutvecklare, säkerhetsingenjörer och IT-ledare som vill få praktiska, handfasta färdigheter för att skydda molnapplikationer och deras stödjande infrastruktur, samtidigt som de lär sig återkommande kontroller och utvärdningsmetoder som mappar till aktuella branschramverk och molntjänstleverantörsriktlinjer.

Till slutet av denna träningskurs kommer deltagarna att kunna:

• Förklara det gemensamma ansvarsmodellen för molnet och tillämpa den på applikationssäkerhetsbeslut.
• Härda molninfrastuktur (IaaS), säkra plattforms tjänster (PaaS) och utvärdera SaaS-konfigurationer.
• Tillämpa säker kodning och OWASP-baserade mitigeringsscenarier på molnbaserade applikationer.
• Integrera säkerhetshanteringsverktyg i CI/CD-pipelinen (SAST/DAST/IAST/RASP) och anta "shift-left"-praktiker.

Kursformat

• Interaktiv föreläsning och diskussion som är knuten till live-demonstrationer.
• Praktiska labbar med molnkonsole, containrar, serverless-funktioner och CI/CD-pipeliner.
• Praktiska övningar: säker konfiguration, sårbarhetsanalys, anfallsimulation och åtgärdsplanering.

Kursanpassningsalternativ

• För att begära en anpassad träningskurs, kontakta oss för att arrangera.

Denna tre dagars kurs täcker grunderna för att säkra C/C++-kod mot illvilliga användare som kan utnyttja många sårbarheter i koden genom minneshantering och inmatningshantering. Kursen täcker principerna för att skriva säker kod.

Även erfarna Java-utvecklare behärskar inte alltid alla de säkerhetstjänster som Java erbjuder, och är heller inte alltid medvetna om de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java.

Kursen – förutom att presentera säkerhetskomponenterna i Standard Java Edition – behandlar säkerhetsfrågor kopplade till Java Enterprise Edition (JEE) och webbtjänster. Diskussionen om specifika tjänster inleds med grunderna inom kryptografi och säker kommunikation. Olika övningar handlar om deklarat och programmatiskt säkerhetsteknik inom JEE, samtidigt som både transportlager- och slut-i-slut-säkerhet för webbtjänster diskuteras. Användningen av alla komponenter presenteras genom flera praktiska övningar, där deltagarna kan prova de diskuterade API:erna och verktygen själva.

Kursen går även igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna inom Java-språket och plattformen samt webbrelerade sårbarheter. Förutom de vanliga buggarna som Java-utvecklare begår, täcker de presenterade säkerhetssårbarheterna både språkspecifika problem och problem som uppstår från körningsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av rekommenderade kodningsriktlinjer och möjliga motåtgärder.

Deltagare som går den här kursen kommer att

• Förstå grundbegrepp inom säkerhet, IT-säkerhet och säker kodskrivning
• Lära sig om webbsårbarheter utöver OWASP Top Ten och veta hur man undviker dem
• Förstå säkerhetskoncept för webbtjänster
• Lära sig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Förstå säkerhetslösningarna för Java EE
• Lära sig om vanliga kodningsfel och hur man undviker dem
• Få information om några nyliga sårbarheter i Java-ramverket
• Få praktisk kunskap i att använda säkerhetstestningsverktyg
• Få källor och vidare läsning om säkra kodningsmetoder

Målgrupp

Utvecklare

Även erfarna programmerare behärskar inte på alla sätt de olika säkerhetstjänster som erbjuds av deras utvecklingsplattformar, och är inte heller medvetna om de olika sårbarheter som är relevanta för deras utveckling. Den här kursen riktar sig till utvecklare som använder både Java och PHP, vilket ger dem viktiga färdigheter som krävs för att göra sina applikationer motståndskraftiga mot samtida attacker via Internet.

Nivåer av Java säkerhetsarkitektur gås igenom genom att ta itu med åtkomstkontroll, autentisering och auktorisering, säker kommunikation och olika kryptografiska funktioner. Olika API:er introduceras också som kan användas för att skydda din kod i PHP, som OpenSSL för kryptografi eller HTML Purifier för indatavalidering. På serversidan ges de bästa metoderna för att härda och konfigurera operativsystemet, webbbehållaren, filsystemet, SQL-servern och själva PHP, medan ett särskilt fokus ges på säkerhet på klientsidan genom säkerhetsproblem med JavaScript, Ajax och HTML5.

Allmänna webbsårbarheter diskuteras med exempel som är anpassade till OWASP Top Ten, som visar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering, osäkra direkta objektreferenser, problem med filuppladdningar och många andra. De olika Java- och PHP-specifika språkproblemen och problemen som härrör från körmiljön introduceras grupperade i de vanliga sårbarhetstyperna för saknad eller felaktig validering av indata, felaktig användning av säkerhetsfunktioner, felaktig fel- och undantagshantering, tids- och tillståndsrelaterade problem, problem med kodkvalitet och sårbarheter relaterade till mobilkod.

Deltagarna kan själva prova de diskuterade API:erna, verktygen och effekterna av konfigurationer, medan introduktionen av sårbarheter stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man korrigerar buggar och tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter bortom OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Lär dig att använda olika säkerhetsfunktioner i utvecklingsmiljön Java
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Förstå säkerhetskoncept för webbtjänster
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om de senaste sårbarheterna i Java och PHP ramverk och bibliotek
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Beskrivning

Java-språket och Runtime Environment (JRE) har utformats för att vara fria från de mest problematiska vanliga sårbarheterna som förekommer i andra språk, som C/C++. Trots detta bör mjukvaruutvecklare och arkitekter inte bara veta hur man använder Java-miljöns olika säkerhetsfunktioner (positiv säkerhet), utan också vara medvetna om de många sårbarheter som fortfarande är relevanta för Java-utveckling (negativ säkerhet).

Introduktionen av säkerhetstjänster föregås av en kort översikt över kryptografiens grunder, vilket ger en gemensam bas för att förstå ändamålet och funktionen hos de tillämpliga komponenterna. Användningen av dessa komponenter presenteras genom flera praktiska övningar, där deltagarna kan testa de diskuterade API:erna själva.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java-språket och -plattformen, vilket täcker både de vanliga buggarna som begås av Java-utvecklare och de språk- och miljöspecifika problemen. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av rekommenderade kodningsriktlinjer och möjliga motåtgärder.

Deltagarna på denna kurs kommer

• förstå grundbegreppen inom säkerhet, IT-säkerhet och säker kodning
• lära sig om webbsårbarheter utöver OWASP Top Ten och veta hur man undviker dem
• lära sig använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• ha en praktisk förståelse för kryptografi
• lära sig om typiska kodningsfel och hur man undviker dem
• få information om några aktuella sårbarheter i Java-ramverket
• få källor och vidare läsning om praxis för säker kodning

Målgrupp

Utvecklare

Deltagare som deltar i den här kursen i Sverige kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Lära sig webvulnerabiliteter bortom OWASP Topp tio och veta hur man undviker dem
• Lära sig klientsidans vulnerabiliteter och säkra kodningspraktiker
• Lära sig använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha praktisk förståelse för kryptografi
• Förstå säkerhetskoncept för webbtjänster
• Förstå säkerhetslösningar för Java EE
• Lära sig om typiska kodfel och hur man undviker dem
• Få information om några nyliga säkerhetsbrister i Java-ramverket
• Få praktisk kunskap om användning av säkerhetstestverktyg
• Få källor och ytterligare läsning om säkra kodningspraktiker

Det finns idag flera programmeringsspråk tillgängliga för att kompileria kod till .NET- och ASP.NET-miljöerna. Denna miljö erbjuder kraftfulla verktyg för säkerhetsutveckling, men utvecklare måste veta hur de kan applicera programmeringstekniker på arkitektur- och kodnivå för att implementera önskad säkerhetsfunkionalitet, undvika sårbarheter eller begränsa deras utnyttjande.

Kursens mål är att lära utvecklare, genom många praktiska övningar, hur man förhindrar o betrodd kod från att utföra privilegierade åtgärder, skydda resurser genom stark autentisering och auktorisation, tillhandahålla fjärrfunktionssamtal (RPC), hantera sessioner, introducera olika implementationer för viss funktionalitet, samt mycket mer.

Introduktionen av olika sårbarheter börjar med att presentera typiska programmeringsproblem som begås vid användning av .NET, medan diskussionen om sårbarheter i ASP.NET också behandlar olika miljöinställningar och deras effekter. Avslutningsvis behandlar ämnet om ASP.NET-specifika sårbarheter inte bara allmänna säkerhetsutmaningar för webbapplikationer, utan också särskilda problem och attackmetoder, såsom attacker mot ViewState eller strängavslutningsattacker.

Deltagare som går denna kurs kommer

• att förstå grundläggande koncept inom säkerhet, IT-säkerhet och säkra kodningsmetoder
• att lära sig om webbsårbarheter bortom OWASP Top Ten och veta hur man undviker dem
• att lära sig använda olika säkerhetsfunktioner i .NET-utvecklingsmiljön
• att få praktisk kunskap i användningen av säkerhetstestningsverktyg
• att lära sig om vanliga kodningsfel och hur man undviker dem
• att få information om några nyligen upptäckta sårbarheter i .NET och ASP.NET
• att få källor och vidare läsning om säker kodningspraxis

Målgrupp

Utvecklare

Kursen ger viktiga färdigheter för PHP utvecklare som är nödvändiga för att göra sina applikationer resistenta mot samtida attacker via Internet. Webbsårbarheter diskuteras genom PHP-baserade exempel som går utöver OWASP topp tio, och hanterar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering av PHP, osäkra direkta objektreferenser, problem med filuppladdning och många andra. PHP-relaterade sårbarheter introduceras grupperade i standardsårbarhetstyperna för saknad eller felaktig validering av indata, felaktig fel- och undantagshantering, felaktig användning av säkerhetsfunktioner och tids- och tillståndsrelaterade problem. För det senare diskuterar vi attacker som open_basedir circumvention, denial-of-service through magic float eller hash table collision attack. I alla fall kommer deltagarna att bekanta sig med de viktigaste teknikerna och funktionerna som ska användas för att minska de värvade riskerna.

Ett särskilt fokus läggs på säkerhet på klientsidan för att hantera säkerhetsfrågor som JavaScript, Ajax och HTML5. Ett antal säkerhetsrelaterade tillägg till PHP introduceras, t.ex. hash, mcrypt och OpenSSL för kryptografi, eller Ctype, ext/filter och HTML Purifier för validering av indata. De bästa härdningsmetoderna ges i samband med PHP konfiguration (inställning php.ini), Apache och servern i allmänhet. Slutligen ges en översikt över olika verktyg och tekniker för säkerhetstestning som utvecklare och testare kan använda, inklusive säkerhetsskannrar, penetrationstestning och exploit packs, sniffers, proxyservrar, fuzzing-verktyg och statiska källkodsanalysatorer.

Både introduktionen av sårbarheter och konfigurationsmetoderna stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Håll dig informerad om de senaste sårbarheterna i PHP-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Det kombinerade SDL-kärnutbildningen ger insikt i säker programdesign, -utveckling och -testning genom Microsoft Secure Development Lifecycle (SDL). Den ger en överblick på grundläggande byggnadsstenar i SDL, följt av designmetoder för att identifiera och åtgärda brister i tidiga utvecklingssteg.

När det gäller utvecklingsfasen ger kursen en överblick över de typiska säkerhetsrelevanta programmeringsfel som finns både i hanterade och inbyggda koder. Angriffsmetoder presenteras för de diskuterade sårbarheterna tillsammans med associerade åtgärdsmetoder, alla förklarade genom en mängd praktiska övningar som ger deltagarna roligt med live-hackning. Efter en introduktion till olika säkerhetsprovningstechniker demonstreras effektiviteten av olika provningsverktyg. Deltagarna kan förstå hur dessa verktyg fungerar genom en mängd praktiska övningar genom att använda verktygen på den redan diskuterade sårbara koden.

Deltagare som deltar i denna kurs kommer att

Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker programmering

Kännas väl till de viktigaste stegen i Microsoft Secure Development Lifecycle

Lär sig om säkra design- och utvecklingspraktiker

Lär sig om principer för säker implementering

Förstå säkerhetsprovningsteknik

• Få källor och ytterligare läsning om säkra programmeringspraktiker

Målgrupp

Utvecklare, Chefer

I denna lärarinstruerade, livekurs i Sverige, kommer deltagarna att lära sig hur man formulerar den rätta säkerhetsstrategin för att möta DevOps-säkerhetens utmaning.

Denna Kurs i Sverige syftar till att hjälpa till med följande:

1. Hjälp utvecklare att behärska teknikerna för att skriva säker kod
2. Hjälp mjukvarutestare att testa säkerheten hos applikationen innan publicering i produktionsmiljö
3. Hjälp mjukvaruarkitekter att förstå riskerna som omger applikationerna
4. Hjälp teamledare att fastställa säkerhetsbaslinjer för utvecklare
5. Hjälp webbmästare att konfigurera servrarna för att undvika felkonfigurationer

Denna kurs behandlar säkra kodningskoncept och principer med Java genom Open Web Application Security Project (OWASP) metodologi för testning. Open Web Application Security Project är en onlinegemenskap som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för webbapplikationssäkerhet.

Denna kurs behandlar säkra kodningskoncept och principer med ASP.NET genom Open Web Application Security Project (OWASP) metodologi för testning. OWASP är en onlinecommunity som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för säkerhet för webbapplikationer.

Denna kurs utforskar .NET Framework-säkerhetsfunktioner och hur man säkrar webbapplikationer.