Application Security Kurs i Sverige

Denna instruktörsledda, webbträning i Sverige (online eller på plats) riktar sig till utvecklare på mellan- och avancerad nivå som vill förstå och tillämpa säkra kodningsmetoder, identifiera säkerhetsrisker i programvara och genomföra försvar mot cyberhot.

Vid slutet av denna utbildning kommer deltagarna att kunna:

• Förstå vanliga säkerhetsrisker i webb- och programvaruapplikationer.
• Analysera säkerhetshot och utnyttja tekniker som används av angripare.
• Implementera säkra kodningsmetoder för att minska säkerhetsrisker.
• använda säkerhetstestverktyg för att identifiera och åtgärda sårbarheter.

EC-Council Certified DevSecOps Engineer (ECDE) är en praktisk kurs som syftar till att utrusta professionella med färdigheter att integrera säkerhet i hela DevOps livscykeln, vilket möjliggör säker programutveckling från planering till distribution.

Denna instruktörsledda, live-training (online eller på plats) riktar sig till mellanstadie-nivåprogrammerare och DevOps professionella som vill integrera säkerhetsåtgärder i CI/CD-pipelines, för att säkerställa säker och kompatibel kodleverans.

Vid kursens slut kommer deltagarna att kunna:

• Förstå principerna och praxiserna för DevSecOps.
• Säkra varje steg i CI/CD-pipelinen med hjälp av automatiserade verktyg.
• Implementera säkra kodpraxis och sårbarhetsskanning.
• Förbereda sig för ECDE-certifiering med praktiska laborationer och genomgång.

Kursformat

• Interaktiv föreläsning och diskussion.
• Hands-on användning av DevSecOps-verktyg i simulerade pipelines.
• Ledda övningar som fokuserar på säker utveckling och distribution.

Anpassningsalternativ för kursen

• För att begära en anpassad utbildning för denna kurs baserat på ditt teams arbetsflöden eller verktygskedja, kontakta oss för att ordna.

Android är en öppen plattform för mobila enheter som handdatorer och surfplattor. Den har en mängd säkerhetsfunktioner för att göra utveckling av säker programvara enklare, men saknar ändå vissa säkerhetsaspekter som finns på andra handhållna plattformar. Kursen ger en omfattande överblick över dessa funktioner och pekar ut de mest kritiska bristerna som man bör vara medveten om, relaterade till underliggande Linux, filsystemet och miljön i allmänhet, liksom användning av behörigheter och andra Android programutvecklingskomponenter.

Vanliga säkerhetsfällor och sårbarheter beskrivs både för inbyggd kod och Java applikationer, tillsammans med rekommendationer och bästa praxis för att undvika och mildra dem. I många fall stöds de diskuterade frågorna med verkliga exempel och fallstudier. Slutligen ger vi en kort överblick över hur man använder säkerhetstestverktyg för att avslöja säkerhetsrelaterade programmeringsfel.

Deltagare som besöker denna kurs kommer

• Förstå grundläggande säkerhetsbegrepp, IT-säkerhet och säker kodning
• Lära sig säkerhetslösningar på Android
• Lära sig använda olika säkerhetsfunktioner i Android plattformen
• Få information om några nyligen uppkomna sårbarheter i Java på Android
• Lära sig om vanliga kodfel och hur man undviker dem
• Få förståelse för sårbarheter i inbyggd kod på Android
• Förstå allvarliga konsekvenser av osäker buffertbehandling i inbyggd kod
• Förstå arkitekturella skyddstekniker och deras svagheter
• Få källor och ytterligare läsning om säker kodning

Målgrupp

Professionella

Ett antal programmeringsspråk finns idag tillgängliga för att kompilera kod till .NET och ASP.NET ramverk. Miljön är ett kraftfullt verktyg för säkerhetsutveckling, men utvecklare bör veta hur man tillämpar programmeringstekniker på arkitektur- och kodningsnivå för att implementera önskad säkerhetsfunktionalitet och undvika sårbarheter eller begränsa utnyttjandet av dem.

Syftet med den här kursen är att lära utvecklare genom många praktiska övningar hur man förhindrar opålitlig kod från att utföra privilegierade åtgärder, skyddar resurser genom stark autentisering och auktorisering, tillhandahåller fjärrproceduranrop, hanterar sessioner, introducerar olika implementeringar för viss funktionalitet och många fler. Ett särskilt avsnitt ägnas åt konfiguration och härdning av .NET och ASP.NET miljö för säkerhet.

En kort introduktion till grunderna i kryptografi ger en gemensam praktisk baslinje för att förstå syftet och funktionen av olika algoritmer, baserat på vilken kursen presenterar de kryptografiska funktioner som kan användas i .NET. Detta följs av introduktionen av några nya kryptosårbarheter både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såväl som sidokanalattacker.

Introduktionen av olika sårbarheter börjar med att presentera några typiska programmeringsproblem som begås vid användning av .NET, inklusive buggkategorier för validering av indata, felhantering eller konkurrensförhållanden. Ett särskilt fokus läggs på XML säkerhet, medan ämnet ASP. NET-specifika sårbarheter hanterar vissa särskilda problem och attackmetoder: till exempel att attackera ViewState eller strängavslutningsattacker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig att använda olika säkerhetsfunktioner i .
• Ha en praktisk förståelse för kryptografi
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste sårbarheterna i .NET och ASP.NET
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Det kan vara svårt att implementera ett säkert nätverksprogram, även för utvecklare som kanske har använt olika kryptografiska byggstenar (till exempel kryptering och digitala signaturer) i förväg. För att få deltagarna att förstå rollen och användningen av dessa kryptografiska primitiver, ges först en solid grund för de viktigaste kraven på säker kommunikation – säker bekräftelse, integritet, konfidentialitet, fjärridentifiering och anonymitet – samtidigt som de typiska problemen som kan skada dessa krav presenteras tillsammans med verkliga lösningar.

Eftersom en kritisk aspekt av nätverkssäkerhet är kryptografi, diskuteras också de viktigaste kryptografiska algoritmerna inom symmetrisk kryptografi, hashing, asymmetrisk kryptografi och nyckelöverenskommelse. Istället för att presentera en djupgående matematisk bakgrund diskuteras dessa element ur en utvecklares perspektiv och visar typiska exempel på användningsfall och praktiska överväganden relaterade till användningen av krypto, såsom infrastrukturer för offentliga nycklar. Säkerhetsprotokoll inom många områden av säker kommunikation introduceras, med en djupgående diskussion om de mest använda protokollfamiljerna som IPSEC och SSL/TLS.

Typiska kryptosårbarheter diskuteras både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såsom BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE och liknande, samt RSA timing attack. I varje enskilt fall beskrivs de praktiska övervägandena och de potentiella konsekvenserna för varje problem, återigen utan att gå in på djupa matematiska detaljer.

Slutligen, eftersom XML-tekniken är central för datautbyte mellan nätverksanslutna applikationer, beskrivs säkerhetsaspekterna av XML. Detta inkluderar användningen av XML i webbtjänster och SOAP-meddelanden tillsammans med skyddsåtgärder som XML signatur och XML kryptering – samt svagheter i dessa skyddsåtgärder och XML-specifika säkerhetsproblem som XML injektion, XML attacker med externa enheter (XXE), XML bomber och XPath injektion.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Förstå kraven på säker kommunikation
• Lär dig mer om nätverksattacker och skydd i olika OSI-lager
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste relaterade sårbarheterna
• Förstå säkerhetskoncept för webbtjänster
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, proffs

Denna kurs ger kunskap i säker programmering över flera plattformar genom att kombinera C/C++, Java och säkerhet för webbapplikationer i en integrerad utbildning. Deltagare lär sig moderna sårbarheter, attackmetoder och säkra utvecklingsmetoder i heterogena miljöer.

Denna instruktörsledda, liveutbildning (online eller på plats) riktar sig till utvecklare på mellan- till avancerad nivå som vill stärka sina säkra programmeringsmetoder för företags- och webbapplikationer.

Vid kursens slut kommer deltagarna att kunna:

• Tillämpa säkra programmeringsprinciper i C/C++ och Java-utvecklingsmiljöer.
• Identifiera och minska vanliga sårbarheter såsom buffertöverskridande, SQL-injektion och XSS.
• Implementera och konfigurera Java-säkerhets tjänster och APIer effektivt.
• Förstå OWASP Top Ten och mer, inklusive säkerhetsrisker på klientsidan.
• Använda kryptering säkert för dataskydd och kommunikation.
• Analysera kod för arkitekturbrister och tillämpa försvarande programmeringsstrategier.
• Hålla sig uppdaterad om nya sårbarheter i plattformar, ramverk och bibliotek.

Kursens format

• Interaktiv föreläsning och diskussion.
• Händer-på-säker programmering laborationer och demonstrationer av exploitering.
• Fallstudier och analys av verkliga sårbarheter.

Alternativ för kursanpassning

• För att begära en anpassad utbildning för den här kursen, kontakta oss för att ordna.

Molnetagande förändrar hur applikationer byggs, distribueras och driftas — det förskjuter ansvaret mellan leverantör och kund samtidigt som det introducerar molnnativa plattformar (containrar, serverless, hanterade tjänster) som kräver anpassade säkerhetskontroller. Säkerheten måste därför adressera infrastrukturhårdning, identitets- och åtkomsthantering, dataskydd, säkra utvecklingsmetoder och molnspecifika hotvärden.

Denna handledarledd träningskurs (online eller på plats) riktar sig till mellannivåutvecklare, säkerhetsingenjörer och IT-ledare som vill få praktiska, handfasta färdigheter för att skydda molnapplikationer och deras stödjande infrastruktur, samtidigt som de lär sig återkommande kontroller och utvärdningsmetoder som mappar till aktuella branschramverk och molntjänstleverantörsriktlinjer.

Till slutet av denna träningskurs kommer deltagarna att kunna:

• Förklara det gemensamma ansvarsmodellen för molnet och tillämpa den på applikationssäkerhetsbeslut.
• Härda molninfrastuktur (IaaS), säkra plattforms tjänster (PaaS) och utvärdera SaaS-konfigurationer.
• Tillämpa säker kodning och OWASP-baserade mitigeringsscenarier på molnbaserade applikationer.
• Integrera säkerhetshanteringsverktyg i CI/CD-pipelinen (SAST/DAST/IAST/RASP) och anta "shift-left"-praktiker.

Kursformat

• Interaktiv föreläsning och diskussion som är knuten till live-demonstrationer.
• Praktiska labbar med molnkonsole, containrar, serverless-funktioner och CI/CD-pipeliner.
• Praktiska övningar: säker konfiguration, sårbarhetsanalys, anfallsimulation och åtgärdsplanering.

Kursanpassningsalternativ

• För att begära en anpassad träningskurs, kontakta oss för att arrangera.

Denna tre dagars kurs täcker grunderna för att säkra C/C++-kod mot illvilliga användare som kan utnyttja många sårbarheter i koden genom minneshantering och inmatningshantering. Kursen täcker principerna för att skriva säker kod.

Inte ens erfarna Java-programmerare behärskar på alla sätt de olika säkerhetstjänster som erbjuds av Java, och är inte heller medvetna om de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java.

Kursen – förutom att introducera säkerhetskomponenter i Standard Java Edition – behandlar säkerhetsfrågor för Java Enterprise Edition (JEE) och webbtjänster. Diskussionen om specifika tjänster föregås av grunderna för kryptografi och säker kommunikation. Olika övningar behandlar deklarativa och programmatiska säkerhetstekniker i JEE, medan både transport-layer och end-to-end säkerhet för webbtjänster diskuteras. Användningen av alla komponenter presenteras genom flera praktiska övningar, där deltagarna själva kan prova de diskuterade API:erna och verktygen.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java språket och plattformen och webbrelaterade sårbarheter. Förutom de typiska buggarna som begås av Java-programmerare, täcker de introducerade säkerhetsbristerna både språkspecifika problem och problem som härrör från körtidsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av de rekommenderade kodningsriktlinjerna och möjliga begränsningstekniker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Topp tio och vet hur du undviker dem
• Förstå säkerhetskoncept för webbtjänster
• Lär dig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Förstå säkerhetslösningar för Java EE
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om några av de senaste sårbarheterna i Java-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Även erfarna programmerare behärskar inte på alla sätt de olika säkerhetstjänster som erbjuds av deras utvecklingsplattformar, och är inte heller medvetna om de olika sårbarheter som är relevanta för deras utveckling. Den här kursen riktar sig till utvecklare som använder både Java och PHP, vilket ger dem viktiga färdigheter som krävs för att göra sina applikationer motståndskraftiga mot samtida attacker via Internet.

Nivåer av Java säkerhetsarkitektur gås igenom genom att ta itu med åtkomstkontroll, autentisering och auktorisering, säker kommunikation och olika kryptografiska funktioner. Olika API:er introduceras också som kan användas för att skydda din kod i PHP, som OpenSSL för kryptografi eller HTML Purifier för indatavalidering. På serversidan ges de bästa metoderna för att härda och konfigurera operativsystemet, webbbehållaren, filsystemet, SQL-servern och själva PHP, medan ett särskilt fokus ges på säkerhet på klientsidan genom säkerhetsproblem med JavaScript, Ajax och HTML5.

Allmänna webbsårbarheter diskuteras med exempel som är anpassade till OWASP Top Ten, som visar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering, osäkra direkta objektreferenser, problem med filuppladdningar och många andra. De olika Java- och PHP-specifika språkproblemen och problemen som härrör från körmiljön introduceras grupperade i de vanliga sårbarhetstyperna för saknad eller felaktig validering av indata, felaktig användning av säkerhetsfunktioner, felaktig fel- och undantagshantering, tids- och tillståndsrelaterade problem, problem med kodkvalitet och sårbarheter relaterade till mobilkod.

Deltagarna kan själva prova de diskuterade API:erna, verktygen och effekterna av konfigurationer, medan introduktionen av sårbarheter stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man korrigerar buggar och tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter bortom OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Lär dig att använda olika säkerhetsfunktioner i utvecklingsmiljön Java
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Förstå säkerhetskoncept för webbtjänster
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om de senaste sårbarheterna i Java och PHP ramverk och bibliotek
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Beskrivning

Språket Java och Runtime Environment (JRE) utformades för att vara fria från de mest problematiska säkerhetsbristerna som förekommer i andra språk, som C/C++. Programvaruutvecklare och arkitekter bör dock inte bara veta hur man använder de olika säkerhetsfunktionerna i Java-miljön (positiv säkerhet), utan bör också vara medvetna om de många sårbarheter som fortfarande är relevanta för Java-utveckling (negativ säkerhet).

Introduktionen av säkerhetstjänster föregås av en kort översikt över grunderna för kryptografi, vilket ger en gemensam baslinje för att förstå syftet och funktionen hos de tillämpliga komponenterna. Användningen av dessa komponenter presenteras genom flera praktiska övningar, där deltagarna själva kan prova de diskuterade API:erna.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java-språket och plattformen, och täcker både de typiska buggarna som begås av Java-programmerare och de språk- och miljöspecifika problemen. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av de rekommenderade kodningsriktlinjerna och möjliga begränsningstekniker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om några av de senaste sårbarheterna i Java-ramverket
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Beskrivning

Utöver gedigen kunskap i att använda Java komponenter är det även för erfarna Java programmerare viktigt att ha en djup kunskap om webbrelaterade sårbarheter både på server- och klientsidan, de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java, och konsekvenserna av de olika riskerna.

Generella webbaserade sårbarheter demonstreras genom att presentera de relevanta attackerna, medan de rekommenderade kodningsteknikerna och begränsningsmetoderna förklaras i kontexten av Java med det viktigaste syftet att undvika de associerade problemen. Dessutom läggs ett särskilt fokus på säkerhet på klientsidan för att hantera säkerhetsproblem med JavaScript, Ajax och HTML5.

Kursen introducerar säkerhetskomponenter i Standard Java Edition, som föregås av grunderna i kryptografi, vilket ger en gemensam baslinje för att förstå syftet och funktionen hos de tillämpliga komponenterna. Användningen av alla komponenter presenteras genom praktiska övningar, där deltagarna själva kan prova de diskuterade API:erna och verktygen.

Slutligen förklarar kursen de vanligaste och allvarligaste programmeringsbristerna i Java språket och plattformen. Förutom de typiska buggarna som begås av Java programmerare, täcker de introducerade säkerhetsbristerna både språkspecifika problem och problem som härrör från körtidsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av de rekommenderade kodningsriktlinjerna och möjliga begränsningstekniker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter bortom OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Lär dig att använda olika säkerhetsfunktioner i utvecklingsmiljön Java
• Ha en praktisk förståelse för kryptografi
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om några av de senaste sårbarheterna i ramverket Java
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Deltagare som deltar i den här kursen i Sverige kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Lära sig webvulnerabiliteter bortom OWASP Topp tio och veta hur man undviker dem
• Lära sig klientsidans vulnerabiliteter och säkra kodningspraktiker
• Lära sig använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha praktisk förståelse för kryptografi
• Förstå säkerhetskoncept för webbtjänster
• Förstå säkerhetslösningar för Java EE
• Lära sig om typiska kodfel och hur man undviker dem
• Få information om några nyliga säkerhetsbrister i Java-ramverket
• Få praktisk kunskap om användning av säkerhetstestverktyg
• Få källor och ytterligare läsning om säkra kodningspraktiker

Som utvecklare är din skyldighet att skriva skottsäker kod.

Tänk om vi berättade för dig att trots alla dina ansträngningar är koden du har skrivit hela din karriär full av svagheter som du inte visste fanns? Vad händer om hackare försöker bryta sig in i din kod när du läser detta? Hur sannolikt är det att de lyckas? Tänk om de kunde stjäla din databas och sälja den på den svarta marknaden?

Den här kursen i webbprogramsäkerhet kommer att förändra hur du ser på kod. En praktisk utbildning där vi lär dig alla angriparnas knep och hur du kan mildra dem, vilket gör att du inte får någon annan känsla än en önskan att veta mer.

Det är ditt val att ligga i framkant och ses som en game changer i kampen mot cyberbrottslighet.

Delegater som deltar kommer att:

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter bortom OWASP Topp tio och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Läs mer om Node.js säkerhet
• Läs mer om MongoDB säkerhet
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå säkerhetskoncept för webbtjänster
• Lär dig mer om JSON-säkerhet
• Få praktisk kunskap om hur du använder tekniker och verktyg för säkerhetstestning
• Lär dig hur du hanterar sårbarheter i de plattformar, ramverk och bibliotek som används
• Få källor och ytterligare läsning om säkra kodningsmetoder

Flera programmeringsspråk är tillgängliga idag för att kompilera kod till .NET- och ASP.NET-frameworks. Miljön erbjuder kraftfulla möjligheter för säkerhetsutveckling, men utvecklare bör veta hur de ska använda arkitektur- och kodningsnivåens programmeringstekniker för att implementera önskad säkerhetsfunktion och undvika sårbarheter eller begränsa deras exploatering.

Målet med denna kurs är att lära utvecklare genom flertalet praktiska övningar hur de kan förhindra oautentiserad kod från att utföra privilegierade åtgärder, skydda resurser genom stark autentisering och auktorisering, tillhandahålla fjärrproceduranrop, hantera sessioner, införa olika implementeringar för viss funktionalitet, och mycket mer.

Introduktionen av olika sårbarheter börjar med att presentera några typiska programmeringsproblem som uppstår när man använder .NET, medan diskussionen om ASP.NET:s sårbarheter också behandlar olika miljöinställningar och deras effekter. Slutligen handlar ämnet om ASP.NET-specifika sårbarheter inte bara om allmänna webbapplikationssäkerhetsh utför, utan även med speciella frågor och anfallsmetoder som att anfalla ViewState eller strängavslutningsattacker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säkert kodning
• Lära sig webbrelaterade sårbarheter utöver OWASP Top Ten och hur man undviker dem
• Lära sig att använda olika säkerhetsfunktioner i .NET-utvecklingsmiljön
• Få praktisk kunskap om användning av säkerhetstestverktyg
• Lära sig om typiska kodningsfel och hur man undviker dem
• Få information om nyligen upptäckta sårbarheter i .NET och ASP.NET
• Få källor och ytterligare läsning om säker kodningspraktik

Målgrupp

Utvecklare

Bortom solid kunskap i användningen av olika säkerhetsfunktioner i .NET och ASP.NET, är det även för erfarna programmerare avgörande att ha djup kunskap om webbrelaterade sårbarheter både på serversidan och klientens sida tillsammans med konsekvenserna av de olika riskerna.

I denna kurs demonstreras allmänna webbsäkerhetsproblem genom att presentera relevanta angrepp, samtidigt som rekommenderade programmeringstekniker och mitigeringar förklaras i sammanhanget med ASP.NET. Särskild uppmärksamhet ägnas åt klientens säkerhet, där säkerhetsproblem med JavaScript, Ajax och HTML5 behandlas.

Kursen behandlar även säkerhetsarkitekturen och -komponenterna i .NET frameworket, inklusive kod- och rollbaserad åtkomstkontroll, behörighetsförklaringar och -kontroller samt transparensmodellen. En kort introduktion till kryptografiens grunder ger en gemensam praktisk grund för att förstå syftet och fungerandet av olika algoritmer, baserat på vilket kursen presenterar de kryptografiska funktionerna som kan användas i .NET.

Introduktionen till olika säkerhetsfel följer de väl etablerade sårbarhetkategorierna, med fokus på inmatningsvalidering, säkerhetsfunktioner, felhantering, tids- och tillståndsrelaterade problem, gruppen av allmänna kodkvalitetsproblem samt en speciell sektion om ASP.NET-särskilda sårbarheter. Dessa ämnen avslutas med en överblick över testverktyg som kan användas för att automatiskt avslöja några av de lärda felen.

Ämnen presenteras genom praktiska övningar där deltagarna kan prova konsekvenserna av vissa sårbarheter, mitigeringar, samt de diskuterade API:er och verktyg på egen hand.

Deltagare som går denna kurs kommer att

• Förstå grundläggande säkerhetsbegrepp, IT-säkerhet och säker programmering
• Läras webbsårbarheter utanför OWASP Top Ten och hur man undankommer dem
• Läras klientens sårbarheter och säker programmeringspraktik
• Läras använda de olika säkerhetsfunktionerna i .NET-utvecklingsmiljön
• Få en praktisk förståelse för kryptografi
• Få information om nyligen upptäckta sårbarheter i .NET och ASP.NET
• Få praktiska kunskaper i användning av säkerhetstestverktyg
• Läras om typiska programmeringsfel och hur man undankommer dem
• Få källor och ytterligare läsningar om säker programmering

Målgrupp

Utvecklare

Kursen introducerar några vanliga säkerhetskoncept, ger en överblick över svagheternas natur oavsett vilka programmeringsspråk och plattformar som används, och förklarar hur man hanterar riskerna som gäller för programvarusäkerhet i de olika faserna av programvaruutvecklingslivscykeln. Utan att gå in djupare i tekniska detaljer, lyfter den fram några av de mest intressanta och mest kritiska svagheterna i olika programvaruutvecklingsteknologier, och presenterar utmaningarna med säkerhetstestning, tillsammans med några tekniker och verktyg som man kan tillämpa för att hitta eventuella problem i sin kod.

Deltagare som går detta kurs kommer att

• Förstå grundläggande säkerhetskoncept, IT-säkerhet och säkert kodning
• Förstå webbsvagheter både på serversidan och klientsidan
• Förstå de allvarliga konsekvenserna av osäkert buffertbehandling
• Informeras om några nyligen uppstådda svagheter i utvecklingsmiljöer och ramverk
• Lära sig om typiska kodfel och hur man undviker dem
• Förstå säkerhetstestningsmetoder och tillvägagångssätt

Målgrupp

Chefer

Kursen ger viktiga färdigheter för PHP utvecklare som är nödvändiga för att göra sina applikationer resistenta mot samtida attacker via Internet. Webbsårbarheter diskuteras genom PHP-baserade exempel som går utöver OWASP topp tio, och hanterar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering av PHP, osäkra direkta objektreferenser, problem med filuppladdning och många andra. PHP-relaterade sårbarheter introduceras grupperade i standardsårbarhetstyperna för saknad eller felaktig validering av indata, felaktig fel- och undantagshantering, felaktig användning av säkerhetsfunktioner och tids- och tillståndsrelaterade problem. För det senare diskuterar vi attacker som open_basedir circumvention, denial-of-service through magic float eller hash table collision attack. I alla fall kommer deltagarna att bekanta sig med de viktigaste teknikerna och funktionerna som ska användas för att minska de värvade riskerna.

Ett särskilt fokus läggs på säkerhet på klientsidan för att hantera säkerhetsfrågor som JavaScript, Ajax och HTML5. Ett antal säkerhetsrelaterade tillägg till PHP introduceras, t.ex. hash, mcrypt och OpenSSL för kryptografi, eller Ctype, ext/filter och HTML Purifier för validering av indata. De bästa härdningsmetoderna ges i samband med PHP konfiguration (inställning php.ini), Apache och servern i allmänhet. Slutligen ges en översikt över olika verktyg och tekniker för säkerhetstestning som utvecklare och testare kan använda, inklusive säkerhetsskannrar, penetrationstestning och exploit packs, sniffers, proxyservrar, fuzzing-verktyg och statiska källkodsanalysatorer.

Både introduktionen av sårbarheter och konfigurationsmetoderna stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Håll dig informerad om de senaste sårbarheterna i PHP-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Det kombinerade SDL-kärnutbildningen ger insikt i säker programdesign, -utveckling och -testning genom Microsoft Secure Development Lifecycle (SDL). Den ger en överblick på grundläggande byggnadsstenar i SDL, följt av designmetoder för att identifiera och åtgärda brister i tidiga utvecklingssteg.

När det gäller utvecklingsfasen ger kursen en överblick över de typiska säkerhetsrelevanta programmeringsfel som finns både i hanterade och inbyggda koder. Angriffsmetoder presenteras för de diskuterade sårbarheterna tillsammans med associerade åtgärdsmetoder, alla förklarade genom en mängd praktiska övningar som ger deltagarna roligt med live-hackning. Efter en introduktion till olika säkerhetsprovningstechniker demonstreras effektiviteten av olika provningsverktyg. Deltagarna kan förstå hur dessa verktyg fungerar genom en mängd praktiska övningar genom att använda verktygen på den redan diskuterade sårbara koden.

Deltagare som deltar i denna kurs kommer att

Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker programmering

Kännas väl till de viktigaste stegen i Microsoft Secure Development Lifecycle

Lär sig om säkra design- och utvecklingspraktiker

Lär sig om principer för säker implementering

Förstå säkerhetsprovningsteknik

• Få källor och ytterligare läsning om säkra programmeringspraktiker

Målgrupp

Utvecklare, Chefer

Efter att ha bekantat sig med sårbarheterna och attackmetoderna lär sig deltagarna om det allmänna tillvägagångssättet och metodiken för säkerhetstestning och de tekniker som kan tillämpas för att avslöja specifika sårbarheter. Säkerhetstestning bör börja med insamling av information om systemet (ToC, dvs. Target of Evaluation), sedan bör en grundlig hotmodellering avslöja och betygsätta alla hot och komma fram till den mest lämpliga riskanalysdrivna testplanen.

Säkerhetsutvärderingar kan ske i olika steg av SDLC, och därför diskuterar vi designgranskning, kodgranskning, rekognoscering och informationsinsamling om systemet, testning av implementeringen och testning och härdning av miljön för säker distribution. Många tekniker för säkerhetstestning introduceras i detalj, t.ex. taint-analys och heuristikbaserad kodgranskning, statisk kodanalys, dynamisk webbsårbarhetstestning eller fuzzing. Olika typer av verktyg introduceras som kan användas för att automatisera säkerhetsutvärdering av mjukvaruprodukter, vilket också stöds av ett antal övningar, där vi exekverar dessa verktyg för att analysera den redan diskuterade sårbara koden. Många fallstudier från verkliga livet stöder en bättre förståelse av olika sårbarheter.

Denna kurs förbereder testare och QA-personal för att på ett adekvat sätt planera och exakt utföra säkerhetstester, välja och använda de mest lämpliga verktygen och teknikerna för att hitta även dolda säkerhetsbrister, och ger därmed viktiga praktiska färdigheter som kan tillämpas nästa arbetsdag.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Förstå tillvägagångssätt och metoder för säkerhetstestning
• Få praktisk kunskap om hur du använder tekniker och verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, testare

Skydda webbtillgängliga applikationer kräver väl förberedda säkerhetsprofiler som alltid är medvetna om aktuella angreppsmetoder och trender. Det finns en mängd teknologier och miljöer som tillåter bekväm utveckling av webbapplikationer. Man bör inte bara vara medveten om de säkerhetsproblem som är relevant för dessa plattformar, utan också om alla generella sårbarheter som gäller oberoende av vilka utvecklingsverktyg som används.

Kursen ger en översikt över de tillämpbara säkerhetslösningarna i webbapplikationer, med särskilt fokus på att förstå de viktigaste kryptografiska lösningarna som ska tillämpas. De olika sårbarheterna i webbapplikationer presenteras både på serversidan (efter OWASP Top Ten) och clientsidan, demonstrerade genom de relevanta angreppen, följda av de rekommenderade kodnings tekniker och lindringstekniker för att undan komma de associerade problemen. Ämnena om säker kodning avslutas genom att diskutera några typiska programmeringsfel inom domänen för inmatningsvalidering, oegentlig användning av säkerhetsfunktioner och kodkvalitet.

Testning spelar en mycket viktig roll i att säkerställa säkerheten och robustheten hos webbapplikationer. Olika tillvägagångssätt – från högnivågranskningar genom infiltreringstestning till etisk hackning – kan tillämpas för att hitta sårbarheter av olika typer. Men om du vill gå bortom de lätt att hitta lätta frukterna, bör säkerhetstestning vara väl planerad och riktigt genomförd. Kom ihåg: säkerhetstester bör idealiskt sett hitta alla fel för att skydda ett system, medan fiender är tillräckligt med att hitta en exploiterbar sårbarhet för att tränga sig in i det.

Praktiska övningar kommer att hjälpa till att förstå webbapplikationers sårbarheter, programfel och framför allt lindringstekniker, tillsammans med praktiska försök med olika testverktyg från säkerhetsscannare, genom sniffer, proxyservrar, fuzzing-verktyg till statiska källkodsanalysverktyg. Denna kurs ger de viktigaste praktiska färdigheterna som kan tillämpas redan nästa dag på arbetsplatsen.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker kodning
• Lära känna webbsårbarheter utöver OWASP Top Ten och veta hur man undan kommer dem
• Lära känna clientsidiga sårbarheter och säkra kodningspraktiker
• Hava en praktisk förståelse för kryptografi
• Förstå tillvägagångssätt och metodik inom säkerhetstestning
• Få praktiska kunskaper i användning av säkerhetstestnings tekniker och verktyg
• Vara informerade om nyligen upptäckta sårbarheter i olika plattformar, ramverk och bibliotek
• Få källor och ytterligare läsning om säker kodningspraktiker

Målgrupp

Utvecklare, Testare

Web Application Security är disciplinen att skydda online-applikationer mot moderna säkerhetshot och sårbarheter, inklusive de som är plattformsoberoende och påverkar kärnan i applikationsarkitektur och hantering av inmatning.

Denna ledarledda, live-training (online eller på plats) riktar sig till utvecklare på mellan-nivå som vill förstå och tillämpa säkra kodningstekniker för att minska webbsårbarheter och implementera robust säkerhet för webapplikationer.

Efter avslutad utbildning kommer deltagarna att kunna:

• Förstå grundläggande säkerhetsbegrepp, IT-säkerhet och säker kodning.
• Lära sig webbsårbarheter bortom OWASP Top Ten och hur man undviker dem.
• Lära sig klientsida-sårbarheter och säkra kodningspraktiker.
• Ha en praktisk förståelse för kryptografi.
• Förstå säkerhetsbegrepp för webbtjänster.
• Få praktisk kunskap i användningen av säkerhetstestverktyg.
• Få källor och ytterligare läsning om säkra kodningspraktiker.

Kursformat

• Interaktiv föreläsning och diskussion.
• Många övningar och praktik.
• Hands-on-implementering i en live-lab-miljö.

Alternativ för kursanpassning

• För att begära en anpassad utbildning för denna kurs, kontakta oss för att ordna.

I denna lärarinstruerade, livekurs i Sverige, kommer deltagarna att lära sig hur man formulerar den rätta säkerhetsstrategin för att möta DevOps-säkerhetens utmaning.

Denna instruktörsledda, liveutbildning ( online eller på plats) riktar sig till utvecklare, ingenjörer och arkitekter som vill säkra sina webbappar och tjänster.

I slutet av denna utbildning kommer deltagarna att kunna integrera, testa, skydda och analysera sina webbappar och tjänster med hjälp av testramverket och verktygen OWASP

Denna Kurs i Sverige syftar till att hjälpa till med följande:

1. Hjälp utvecklare att behärska teknikerna för att skriva säker kod
2. Hjälp mjukvarutestare att testa säkerheten hos applikationen innan publicering i produktionsmiljö
3. Hjälp mjukvaruarkitekter att förstå riskerna som omger applikationerna
4. Hjälp teamledare att fastställa säkerhetsbaslinjer för utvecklare
5. Hjälp webbmästare att konfigurera servrarna för att undvika felkonfigurationer

Denna kurs behandlar säkra kodningskoncept och principer med Java genom Open Web Application Security Project (OWASP) metodologi för testning. Open Web Application Security Project är en onlinegemenskap som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för webbapplikationssäkerhet.

Denna kurs behandlar säkra kodningskoncept och principer med ASP.NET genom Open Web Application Security Project (OWASP) metodologi för testning. OWASP är en onlinecommunity som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för säkerhet för webbapplikationer.

Denna kurs utforskar .NET Framework-säkerhetsfunktioner och hur man säkrar webbapplikationer.

Beskrivning:

Denna kurs kommer att ge deltagarna en grundlig förståelse för säkerhetskoncept, webbapplikationskoncept och ramverk som används av utvecklare för att kunna utnyttja och skydda riktade applikationer. I dagens värld, som förändras snabbt och därmed ändras all teknik som används också i snabb takt, webbapplikationer utsätts för hackarattacker 24/7. För att skydda applikationerna från externa angripare måste man känna till alla delar som gör webbapplikationen, som ramverk, språk och tekniker som används vid utveckling av webbapplikationer, och mycket mer än så. Problemet är att angriparen bara behöver känna till ett sätt att bryta sig in i programmet och utvecklaren (eller systemadministratören) måste känna till alla möjliga kryphål för att förhindra att detta händer. På grund av det är det verkligen svårt att ha en skottsäker säkrad webbapplikation, och i de flesta fall är webbapplikationen sårbar för något. Detta utnyttjas regelbundet av cyberbrottslingar och tillfälliga hackare, och det kan minimeras genom korrekt planering, utveckling, testning och konfiguration av webbapplikationer.

Mål:

För att ge dig de färdigheter och kunskaper som behövs för att förstå och identifiera möjliga sårbarheter i live-webbapplikationer och för att utnyttja identifierade sårbarheter. På grund av den kunskap som erhållits genom identifierings- och utnyttjandefasen bör du kunna skydda webbapplikationen mot liknande attacker. Efter denna kurs kommer deltagaren att kunna förstå och identifiera OWASP topp 10 sårbarheter och införliva den kunskapen i ett skyddsschema för webbapplikationer.

Publik:

Utvecklare, polis och annan brottsbekämpande personal, försvars- och militärpersonal, e-Business säkerhetspersonal, systemadministratörer, bank, försäkring och andra yrkesverksamma, Governementsbyråer, IT-chefer, CISO:er, CTO:er.