Kursplan
IT-säkerhet och Secure Coding
- Översikt över informationssäkerhetsprinciper
- CIA-triad: Konfidentialitet, Integritet, Tillgänglighet
- Vanliga hot och hotmodellering
- Bästa praxis för säker mjukvaruutvecklingsprocess (SSDLC)
Webb Application Security
- Förståelse av OWASP Top Ten och mer
- Autentiserings- och sessionshanteringsfel
- Injektionssårbarheter (SQL, Kommando, LDAP etc.)
- Cross-Site Scripting (XSS) och Cross-Site Request Forgery (CSRF)
Klientsidig säkerhet
- DOM-baserade attacker och JavaScript-specifika risker
- Osäker användning av AJAX och webbläsarminne
- Clickjacking och UI-omdirigering
- Implementering av Content Security Policy (CSP)
Praktisk Cryptografi
- Grundläggande begrepp: hashning, kryptering, digitala signaturer
- Public key vs. symmetrisk nyckelkryptering
- Grunderna i Transport Layer Security (TLS)
- Nyckelhantering och vanliga kryptografiska misstag
Säkerhet för Web Services
- SOAP- och REST-säkerhetsöverväganden
- Autentiseringsmekanismer: OAuth, JWT, API-nycklar
- Vanliga webbtjänstattacker och försvar
- Indataverifiering i tjänsteinnehåll
XML Säkerhet
- XML injektion och parsningsattacker
- Entitetsexpansion och XXE-sårbarheter
- Säkra parsningstekniker och bibliotek
- Användning av XML säkerhetsstandarder (XML-DSig, XML-Enc)
Källor för kunskap och säkerhetsverktyg
- Rekommenderade verktyg för säkerhetstestning (t.ex., OWASP ZAP, Burp Suite)
- Kodskanning och analysverktyg
- Onlineresurser och säkerhetsriktlinjer
- Hur man håller sig uppdaterad med nya hot
Sammanfattning och nästa steg
Krav
- Förståelse för grundläggande arkitektur för webapplikationer
- Erfarenhet av ett programmeringsspråk såsom Java, C#, PHP eller JavaScript
- Kännedom om klient-serverkommunikation och HTTP
Målgrupp
- Utvecklare
- Arkitekter för webapplikationer
- Tekniska team med sikter på säkerhet
Vittnesmål (5)
Overview of most among important topics related to software architecture. This training inspired me to learn some of them in depth ;)
Konrad Fuchsig - EY GDS
Kurs - Web Application Security
Explanation of the concepts I had no knowledge about. Tutors calm and kind attitude and also his very vast knowledge.
Michal Kowalczyk - EY GDS
Kurs - Web Application Security
Practical examples and possibility to try how web injections are functioning from the other side - not user but attacker side.
Jessica Wierzbicka - EY GDS
Kurs - Web Application Security
The hands-on labs were excellent.
Dr. Farhan Hassan Khan - TDM GROUP
Kurs - Web Application Security
Trainers command in his field