Avancerad Java, JEE och Web Application Security Träningskurs

Det kan vara svårt att implementera ett säkert nätverksprogram, även för utvecklare som kanske har använt olika kryptografiska byggstenar (till exempel kryptering och digitala signaturer) i förväg. För att få deltagarna att förstå rollen och användningen av dessa kryptografiska primitiver, ges först en solid grund för de viktigaste kraven på säker kommunikation – säker bekräftelse, integritet, konfidentialitet, fjärridentifiering och anonymitet – samtidigt som de typiska problemen som kan skada dessa krav presenteras tillsammans med verkliga lösningar.

Eftersom en kritisk aspekt av nätverkssäkerhet är kryptografi, diskuteras också de viktigaste kryptografiska algoritmerna inom symmetrisk kryptografi, hashing, asymmetrisk kryptografi och nyckelöverenskommelse. Istället för att presentera en djupgående matematisk bakgrund diskuteras dessa element ur en utvecklares perspektiv och visar typiska exempel på användningsfall och praktiska överväganden relaterade till användningen av krypto, såsom infrastrukturer för offentliga nycklar. Säkerhetsprotokoll inom många områden av säker kommunikation introduceras, med en djupgående diskussion om de mest använda protokollfamiljerna som IPSEC och SSL/TLS.

Typiska kryptosårbarheter diskuteras både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såsom BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE och liknande, samt RSA timing attack. I varje enskilt fall beskrivs de praktiska övervägandena och de potentiella konsekvenserna för varje problem, återigen utan att gå in på djupa matematiska detaljer.

Slutligen, eftersom XML-tekniken är central för datautbyte mellan nätverksanslutna applikationer, beskrivs säkerhetsaspekterna av XML. Detta inkluderar användningen av XML i webbtjänster och SOAP-meddelanden tillsammans med skyddsåtgärder som XML signatur och XML kryptering – samt svagheter i dessa skyddsåtgärder och XML-specifika säkerhetsproblem som XML injektion, XML attacker med externa enheter (XXE), XML bomber och XPath injektion.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Förstå kraven på säker kommunikation
• Lär dig mer om nätverksattacker och skydd i olika OSI-lager
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste relaterade sårbarheterna
• Förstå säkerhetskoncept för webbtjänster
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, proffs

Denna tre dagars kurs täcker grunderna för att säkra C/C++-kod mot illvilliga användare som kan utnyttja många sårbarheter i koden genom minneshantering och inmatningshantering. Kursen täcker principerna för att skriva säker kod.

Även erfarna Java-utvecklare behärskar inte alltid alla de säkerhetstjänster som Java erbjuder, och är heller inte alltid medvetna om de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java.

Kursen – förutom att presentera säkerhetskomponenterna i Standard Java Edition – behandlar säkerhetsfrågor kopplade till Java Enterprise Edition (JEE) och webbtjänster. Diskussionen om specifika tjänster inleds med grunderna inom kryptografi och säker kommunikation. Olika övningar handlar om deklarat och programmatiskt säkerhetsteknik inom JEE, samtidigt som både transportlager- och slut-i-slut-säkerhet för webbtjänster diskuteras. Användningen av alla komponenter presenteras genom flera praktiska övningar, där deltagarna kan prova de diskuterade API:erna och verktygen själva.

Kursen går även igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna inom Java-språket och plattformen samt webbrelerade sårbarheter. Förutom de vanliga buggarna som Java-utvecklare begår, täcker de presenterade säkerhetssårbarheterna både språkspecifika problem och problem som uppstår från körningsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av rekommenderade kodningsriktlinjer och möjliga motåtgärder.

Deltagare som går den här kursen kommer att

• Förstå grundbegrepp inom säkerhet, IT-säkerhet och säker kodskrivning
• Lära sig om webbsårbarheter utöver OWASP Top Ten och veta hur man undviker dem
• Förstå säkerhetskoncept för webbtjänster
• Lära sig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Förstå säkerhetslösningarna för Java EE
• Lära sig om vanliga kodningsfel och hur man undviker dem
• Få information om några nyliga sårbarheter i Java-ramverket
• Få praktisk kunskap i att använda säkerhetstestningsverktyg
• Få källor och vidare läsning om säkra kodningsmetoder

Målgrupp

Utvecklare

Beskrivning

Java-språket och Runtime Environment (JRE) har utformats för att vara fria från de mest problematiska vanliga sårbarheterna som förekommer i andra språk, som C/C++. Trots detta bör mjukvaruutvecklare och arkitekter inte bara veta hur man använder Java-miljöns olika säkerhetsfunktioner (positiv säkerhet), utan också vara medvetna om de många sårbarheter som fortfarande är relevanta för Java-utveckling (negativ säkerhet).

Introduktionen av säkerhetstjänster föregås av en kort översikt över kryptografiens grunder, vilket ger en gemensam bas för att förstå ändamålet och funktionen hos de tillämpliga komponenterna. Användningen av dessa komponenter presenteras genom flera praktiska övningar, där deltagarna kan testa de diskuterade API:erna själva.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java-språket och -plattformen, vilket täcker både de vanliga buggarna som begås av Java-utvecklare och de språk- och miljöspecifika problemen. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av rekommenderade kodningsriktlinjer och möjliga motåtgärder.

Deltagarna på denna kurs kommer

• förstå grundbegreppen inom säkerhet, IT-säkerhet och säker kodning
• lära sig om webbsårbarheter utöver OWASP Top Ten och veta hur man undviker dem
• lära sig använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• ha en praktisk förståelse för kryptografi
• lära sig om typiska kodningsfel och hur man undviker dem
• få information om några aktuella sårbarheter i Java-ramverket
• få källor och vidare läsning om praxis för säker kodning

Målgrupp

Utvecklare

Det finns idag flera programmeringsspråk tillgängliga för att kompileria kod till .NET- och ASP.NET-miljöerna. Denna miljö erbjuder kraftfulla verktyg för säkerhetsutveckling, men utvecklare måste veta hur de kan applicera programmeringstekniker på arkitektur- och kodnivå för att implementera önskad säkerhetsfunkionalitet, undvika sårbarheter eller begränsa deras utnyttjande.

Kursens mål är att lära utvecklare, genom många praktiska övningar, hur man förhindrar o betrodd kod från att utföra privilegierade åtgärder, skydda resurser genom stark autentisering och auktorisation, tillhandahålla fjärrfunktionssamtal (RPC), hantera sessioner, introducera olika implementationer för viss funktionalitet, samt mycket mer.

Introduktionen av olika sårbarheter börjar med att presentera typiska programmeringsproblem som begås vid användning av .NET, medan diskussionen om sårbarheter i ASP.NET också behandlar olika miljöinställningar och deras effekter. Avslutningsvis behandlar ämnet om ASP.NET-specifika sårbarheter inte bara allmänna säkerhetsutmaningar för webbapplikationer, utan också särskilda problem och attackmetoder, såsom attacker mot ViewState eller strängavslutningsattacker.

Deltagare som går denna kurs kommer

• att förstå grundläggande koncept inom säkerhet, IT-säkerhet och säkra kodningsmetoder
• att lära sig om webbsårbarheter bortom OWASP Top Ten och veta hur man undviker dem
• att lära sig använda olika säkerhetsfunktioner i .NET-utvecklingsmiljön
• att få praktisk kunskap i användningen av säkerhetstestningsverktyg
• att lära sig om vanliga kodningsfel och hur man undviker dem
• att få information om några nyligen upptäckta sårbarheter i .NET och ASP.NET
• att få källor och vidare läsning om säker kodningspraxis

Målgrupp

Utvecklare

Kursen ger viktiga färdigheter för PHP utvecklare som är nödvändiga för att göra sina applikationer resistenta mot samtida attacker via Internet. Webbsårbarheter diskuteras genom PHP-baserade exempel som går utöver OWASP topp tio, och hanterar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering av PHP, osäkra direkta objektreferenser, problem med filuppladdning och många andra. PHP-relaterade sårbarheter introduceras grupperade i standardsårbarhetstyperna för saknad eller felaktig validering av indata, felaktig fel- och undantagshantering, felaktig användning av säkerhetsfunktioner och tids- och tillståndsrelaterade problem. För det senare diskuterar vi attacker som open_basedir circumvention, denial-of-service through magic float eller hash table collision attack. I alla fall kommer deltagarna att bekanta sig med de viktigaste teknikerna och funktionerna som ska användas för att minska de värvade riskerna.

Ett särskilt fokus läggs på säkerhet på klientsidan för att hantera säkerhetsfrågor som JavaScript, Ajax och HTML5. Ett antal säkerhetsrelaterade tillägg till PHP introduceras, t.ex. hash, mcrypt och OpenSSL för kryptografi, eller Ctype, ext/filter och HTML Purifier för validering av indata. De bästa härdningsmetoderna ges i samband med PHP konfiguration (inställning php.ini), Apache och servern i allmänhet. Slutligen ges en översikt över olika verktyg och tekniker för säkerhetstestning som utvecklare och testare kan använda, inklusive säkerhetsskannrar, penetrationstestning och exploit packs, sniffers, proxyservrar, fuzzing-verktyg och statiska källkodsanalysatorer.

Både introduktionen av sårbarheter och konfigurationsmetoderna stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Håll dig informerad om de senaste sårbarheterna i PHP-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Det kombinerade SDL-kärnutbildningen ger insikt i säker programdesign, -utveckling och -testning genom Microsoft Secure Development Lifecycle (SDL). Den ger en överblick på grundläggande byggnadsstenar i SDL, följt av designmetoder för att identifiera och åtgärda brister i tidiga utvecklingssteg.

När det gäller utvecklingsfasen ger kursen en överblick över de typiska säkerhetsrelevanta programmeringsfel som finns både i hanterade och inbyggda koder. Angriffsmetoder presenteras för de diskuterade sårbarheterna tillsammans med associerade åtgärdsmetoder, alla förklarade genom en mängd praktiska övningar som ger deltagarna roligt med live-hackning. Efter en introduktion till olika säkerhetsprovningstechniker demonstreras effektiviteten av olika provningsverktyg. Deltagarna kan förstå hur dessa verktyg fungerar genom en mängd praktiska övningar genom att använda verktygen på den redan diskuterade sårbara koden.

Deltagare som deltar i denna kurs kommer att

Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker programmering

Kännas väl till de viktigaste stegen i Microsoft Secure Development Lifecycle

Lär sig om säkra design- och utvecklingspraktiker

Lär sig om principer för säker implementering

Förstå säkerhetsprovningsteknik

• Få källor och ytterligare läsning om säkra programmeringspraktiker

Målgrupp

Utvecklare, Chefer

Skydda webbtillgängliga applikationer kräver väl förberedda säkerhetsprofiler som alltid är medvetna om aktuella angreppsmetoder och trender. Det finns en mängd teknologier och miljöer som tillåter bekväm utveckling av webbapplikationer. Man bör inte bara vara medveten om de säkerhetsproblem som är relevant för dessa plattformar, utan också om alla generella sårbarheter som gäller oberoende av vilka utvecklingsverktyg som används.

Kursen ger en översikt över de tillämpbara säkerhetslösningarna i webbapplikationer, med särskilt fokus på att förstå de viktigaste kryptografiska lösningarna som ska tillämpas. De olika sårbarheterna i webbapplikationer presenteras både på serversidan (efter OWASP Top Ten) och clientsidan, demonstrerade genom de relevanta angreppen, följda av de rekommenderade kodnings tekniker och lindringstekniker för att undan komma de associerade problemen. Ämnena om säker kodning avslutas genom att diskutera några typiska programmeringsfel inom domänen för inmatningsvalidering, oegentlig användning av säkerhetsfunktioner och kodkvalitet.

Testning spelar en mycket viktig roll i att säkerställa säkerheten och robustheten hos webbapplikationer. Olika tillvägagångssätt – från högnivågranskningar genom infiltreringstestning till etisk hackning – kan tillämpas för att hitta sårbarheter av olika typer. Men om du vill gå bortom de lätt att hitta lätta frukterna, bör säkerhetstestning vara väl planerad och riktigt genomförd. Kom ihåg: säkerhetstester bör idealiskt sett hitta alla fel för att skydda ett system, medan fiender är tillräckligt med att hitta en exploiterbar sårbarhet för att tränga sig in i det.

Praktiska övningar kommer att hjälpa till att förstå webbapplikationers sårbarheter, programfel och framför allt lindringstekniker, tillsammans med praktiska försök med olika testverktyg från säkerhetsscannare, genom sniffer, proxyservrar, fuzzing-verktyg till statiska källkodsanalysverktyg. Denna kurs ger de viktigaste praktiska färdigheterna som kan tillämpas redan nästa dag på arbetsplatsen.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker kodning
• Lära känna webbsårbarheter utöver OWASP Top Ten och veta hur man undan kommer dem
• Lära känna clientsidiga sårbarheter och säkra kodningspraktiker
• Hava en praktisk förståelse för kryptografi
• Förstå tillvägagångssätt och metodik inom säkerhetstestning
• Få praktiska kunskaper i användning av säkerhetstestnings tekniker och verktyg
• Vara informerade om nyligen upptäckta sårbarheter i olika plattformar, ramverk och bibliotek
• Få källor och ytterligare läsning om säker kodningspraktiker

Målgrupp

Utvecklare, Testare

I denna lärarinstruerade, livekurs i Sverige, kommer deltagarna att lära sig hur man formulerar den rätta säkerhetsstrategin för att möta DevOps-säkerhetens utmaning.

EC-Council Certified DevSecOps Engineer (ECDE) är en praktisk kurs som syftar till att utrusta professionella med färdigheter att integrera säkerhet i hela DevOps livscykeln, vilket möjliggör säker programutveckling från planering till distribution.

Denna instruktörsledda, live-training (online eller på plats) riktar sig till mellanstadie-nivåprogrammerare och DevOps professionella som vill integrera säkerhetsåtgärder i CI/CD-pipelines, för att säkerställa säker och kompatibel kodleverans.

Vid kursens slut kommer deltagarna att kunna:

• Förstå principerna och praxiserna för DevSecOps.
• Säkra varje steg i CI/CD-pipelinen med hjälp av automatiserade verktyg.
• Implementera säkra kodpraxis och sårbarhetsskanning.
• Förbereda sig för ECDE-certifiering med praktiska laborationer och genomgång.

Kursformat

• Interaktiv föreläsning och diskussion.
• Hands-on användning av DevSecOps-verktyg i simulerade pipelines.
• Ledda övningar som fokuserar på säker utveckling och distribution.

Anpassningsalternativ för kursen

• För att begära en anpassad utbildning för denna kurs baserat på ditt teams arbetsflöden eller verktygskedja, kontakta oss för att ordna.

Denna instruktörsledda, live-träning i Sverige (online eller på plats) riktas till utvecklare som vill använda Quarkus för att bygga, testa och distribuera applikationer med full stöd av Java men med mindre resursanvändning.

När denna träningsperiod är avslutad kommer deltagarna kunna:

• Ställa in den nödvändiga utvecklingsmiljön för att börja utveckla applikationer med Quarkus.
• Bygga, kompilera och köra applikationer i nativt läge med GraalVM.
• Använda Quarkus-verktyg och tillägg för att bygga nativa applikationer med Maven.
• Kontainrera, köra och distribuera applikationer med Docker.

Denna instruktörsguidade, live-träning i Sverige (online eller på plats) är riktad till mellannivå- till avancerade utvecklare och arkitekter som vill utveckla Java-native-applikationer och mikrotjänster med Quarkus för optimerat minnesanvändning och starttid.

När denna träning är avslutad kommer deltagarna att kunna:

• Utveckla högpresterande, lätta Java-native-applikationer med Quarkus.
• Bygga och distribuera RESTful-tjänster och mikrotjänstar arkitekturer.
• Använda GraalVM för nativ kompilering och optimering av start- och minnes-effektivitet.
• Packa och containerisera applikationer för Kubernetes- och OpenShift-miljöer.

Denna Kurs i Sverige syftar till att hjälpa till med följande:

1. Hjälp utvecklare att behärska teknikerna för att skriva säker kod
2. Hjälp mjukvarutestare att testa säkerheten hos applikationen innan publicering i produktionsmiljö
3. Hjälp mjukvaruarkitekter att förstå riskerna som omger applikationerna
4. Hjälp teamledare att fastställa säkerhetsbaslinjer för utvecklare
5. Hjälp webbmästare att konfigurera servrarna för att undvika felkonfigurationer

Denna kurs behandlar säkra kodningskoncept och principer med Java genom Open Web Application Security Project (OWASP) metodologi för testning. Open Web Application Security Project är en onlinegemenskap som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för webbapplikationssäkerhet.

Denna kurs behandlar säkra kodningskoncept och principer med ASP.NET genom Open Web Application Security Project (OWASP) metodologi för testning. OWASP är en onlinecommunity som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för säkerhet för webbapplikationer.

Denna kurs utforskar .NET Framework-säkerhetsfunktioner och hur man säkrar webbapplikationer.