Web Security Testing - Security and Testing of Web Applications using OWASP Träningskurs

Android är en öppen plattform för mobila enheter som mobiltelefoner och surfplattor. Den har ett stort antal säkerhetsfunktioner för att göra det lättare att utveckla säker programvara; det saknas emellertid också vissa säkerhetsaspekter som finns i andra handhållna plattformar. Kursen ger en omfattande överblick över dessa funktioner och pekar på de mest kritiska bristerna att vara medvetna om relaterade till det underliggande Linux , filsystemet och miljön i allmänhet, samt om användning av behörigheter och andra Android programvaruutvecklingskomponenter.

Typiska säkerhetsfallsfall och sårbarheter beskrivs både för inbyggd kod och Java applikationer, tillsammans med rekommendationer och bästa metoder för att undvika och mildra dem. I många fall stöds diskuterade frågor med verkliga exempel och fallstudier. Slutligen ger vi en kort översikt över hur man använder säkerhetstestverktyg för att avslöja alla säkerhetsrelaterade programmeringsbuggar.

Deltagare som deltar i denna kurs kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Lär dig säkerhetslösningarna på Android
• Lär dig att använda olika säkerhetsfunktioner på Android plattformen
• Få information om några sårbarheter i Java på Android
• Lär dig mer om vanliga kodfel och hur man undviker dem
• Få kunskap om sårbarheter med inbyggd kod på Android
• Förstå de allvarliga konsekvenserna av osäker bufferthantering i inbyggd kod
• Förstå arkitektoniska skyddstekniker och deras svagheter
• Få källor och ytterligare avläsningar om säker kodning

Publik

Professionals

Det kan vara svårt att implementera ett säkert nätverksprogram, även för utvecklare som kanske har använt olika kryptografiska byggstenar (till exempel kryptering och digitala signaturer) i förväg. För att få deltagarna att förstå rollen och användningen av dessa kryptografiska primitiver, ges först en solid grund för de viktigaste kraven på säker kommunikation – säker bekräftelse, integritet, konfidentialitet, fjärridentifiering och anonymitet – samtidigt som de typiska problemen som kan skada dessa krav presenteras tillsammans med verkliga lösningar.

Eftersom en kritisk aspekt av nätverkssäkerhet är kryptografi, diskuteras också de viktigaste kryptografiska algoritmerna inom symmetrisk kryptografi, hashing, asymmetrisk kryptografi och nyckelöverenskommelse. Istället för att presentera en djupgående matematisk bakgrund diskuteras dessa element ur en utvecklares perspektiv och visar typiska exempel på användningsfall och praktiska överväganden relaterade till användningen av krypto, såsom infrastrukturer för offentliga nycklar. Säkerhetsprotokoll inom många områden av säker kommunikation introduceras, med en djupgående diskussion om de mest använda protokollfamiljerna som IPSEC och SSL/TLS.

Typiska kryptosårbarheter diskuteras både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såsom BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE och liknande, samt RSA timing attack. I varje enskilt fall beskrivs de praktiska övervägandena och de potentiella konsekvenserna för varje problem, återigen utan att gå in på djupa matematiska detaljer.

Slutligen, eftersom XML-tekniken är central för datautbyte mellan nätverksanslutna applikationer, beskrivs säkerhetsaspekterna av XML. Detta inkluderar användningen av XML i webbtjänster och SOAP-meddelanden tillsammans med skyddsåtgärder som XML signatur och XML kryptering – samt svagheter i dessa skyddsåtgärder och XML-specifika säkerhetsproblem som XML injektion, XML attacker med externa enheter (XXE), XML bomber och XPath injektion.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Förstå kraven på säker kommunikation
• Lär dig mer om nätverksattacker och skydd i olika OSI-lager
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste relaterade sårbarheterna
• Förstå säkerhetskoncept för webbtjänster
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, proffs

Den här tre dagars kursen täcker grunderna för att säkra C / C++ -koden mot skadliga användare som kan utnyttja många sårbarheter i koden med minneshantering och inputhantering, kursen täcker principerna för att skriva säker kod.

Inte ens erfarna Java-programmerare behärskar på alla sätt de olika säkerhetstjänster som erbjuds av Java, och är inte heller medvetna om de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java.

Kursen – förutom att introducera säkerhetskomponenter i Standard Java Edition – behandlar säkerhetsfrågor för Java Enterprise Edition (JEE) och webbtjänster. Diskussionen om specifika tjänster föregås av grunderna för kryptografi och säker kommunikation. Olika övningar behandlar deklarativa och programmatiska säkerhetstekniker i JEE, medan både transport-layer och end-to-end säkerhet för webbtjänster diskuteras. Användningen av alla komponenter presenteras genom flera praktiska övningar, där deltagarna själva kan prova de diskuterade API:erna och verktygen.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java språket och plattformen och webbrelaterade sårbarheter. Förutom de typiska buggarna som begås av Java-programmerare, täcker de introducerade säkerhetsbristerna både språkspecifika problem och problem som härrör från körtidsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av de rekommenderade kodningsriktlinjerna och möjliga begränsningstekniker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Topp tio och vet hur du undviker dem
• Förstå säkerhetskoncept för webbtjänster
• Lär dig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Förstå säkerhetslösningar för Java EE
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om några av de senaste sårbarheterna i Java-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Beskrivning

Språket Java och Runtime Environment (JRE) utformades för att vara fria från de mest problematiska säkerhetsbristerna som förekommer i andra språk, som C/C++. Programvaruutvecklare och arkitekter bör dock inte bara veta hur man använder de olika säkerhetsfunktionerna i Java-miljön (positiv säkerhet), utan bör också vara medvetna om de många sårbarheter som fortfarande är relevanta för Java-utveckling (negativ säkerhet).

Introduktionen av säkerhetstjänster föregås av en kort översikt över grunderna för kryptografi, vilket ger en gemensam baslinje för att förstå syftet och funktionen hos de tillämpliga komponenterna. Användningen av dessa komponenter presenteras genom flera praktiska övningar, där deltagarna själva kan prova de diskuterade API:erna.

Kursen går också igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna i Java-språket och plattformen, och täcker både de typiska buggarna som begås av Java-programmerare och de språk- och miljöspecifika problemen. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av de rekommenderade kodningsriktlinjerna och möjliga begränsningstekniker.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Få information om några av de senaste sårbarheterna i Java-ramverket
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Ett antal programmeringsspråk finns idag för att kompilera kod till .NET- och ASP.NET-ramverk. Miljön tillhandahåller kraftfulla medel för säkerhetsutveckling, men utvecklare bör veta hur man ska använda arkitektur- och kodningsnivå-programmeringstekniker för att implementera önskad säkerhetsfunktion och undvika sårbarheter eller begränsa deras utnyttjande.

Syftet med denna kurs är att lära utvecklare genom ett flertal praktiska övningar hur man kan förhindra att otillförlitlig kod kan utföra privilegierade åtgärder, skydda resurser genom stark autentisering och godkännande, tillhandahålla fjärrprocesssamtal, hantera sessioner, introducera olika implementationer för viss funktionalitet och många Mer.

Introduktion av olika sårbarheter börjar med att presentera några typiska programmeringsproblem som begås vid användning av .NET, medan diskussionen om sårbarheter i ASP.NET också behandlar olika miljöinställningar och deras effekter. Slutligen behandlar ämnet ASP.NET-specifika sårbarheter inte bara några allmänna säkerhetsutmaningar för webbapplikationer, utan också med speciella problem och attackmetoder som att attackera ViewState eller strängavslutningsattackerna.

Deltagare som deltar i denna kurs kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Lär dig OWASP utöver OWASP Top Ten och vet hur du kan undvika dem
• Lär dig att använda olika säkerhetsfunktioner i .NET-utvecklingsmiljön
• Få praktisk kunskap om att använda säkerhetstestverktyg
• Lär dig mer om vanliga kodfel och hur man undviker dem
• Få information om några sårbarheter som nyligen har gjorts i .NET och ASP.NET
• Få källor och ytterligare avläsningar om säker kodning

Publik

utvecklare

Kursen introducerar några vanliga säkerhetskoncept, ger en översikt över sårbarheternas karaktär oberoende av de programmeringsspråk och plattformar som används, och förklarar hur man hanterar de risker som gäller med avseende på programvaruäkerhet i de olika faserna av programvaruutvecklingens livscykel. Utan att gå djupt in i tekniska detaljer, det betonar några av de mest intressanta och mest uppenbara sårbarheterna i olika programutvecklingstekniker, och presenterar utmaningarna med säkerhetstester, tillsammans med några tekniker och verktyg som man kan tillämpa för att hitta några befintliga problem i sin kod.

Deltagare som deltar i denna kurs  

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Förstå Web sårbarheter både på server och klient sida
• Upptäck de allvarliga konsekvenserna av osäker bufferhantering
• Var informerad om några av de senaste sårbarheterna i utvecklingsmiljöer och ramverk
• Lär dig om typiska kodningsfel och hur man undviker dem
• Förstå säkerhetstestmetoder och metoder

Publiken

ledare

Kursen ger viktiga färdigheter för PHP utvecklare som är nödvändiga för att göra sina applikationer resistenta mot samtida attacker via Internet. Webbsårbarheter diskuteras genom PHP-baserade exempel som går utöver OWASP topp tio, och hanterar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering av PHP, osäkra direkta objektreferenser, problem med filuppladdning och många andra. PHP-relaterade sårbarheter introduceras grupperade i standardsårbarhetstyperna för saknad eller felaktig validering av indata, felaktig fel- och undantagshantering, felaktig användning av säkerhetsfunktioner och tids- och tillståndsrelaterade problem. För det senare diskuterar vi attacker som open_basedir circumvention, denial-of-service through magic float eller hash table collision attack. I alla fall kommer deltagarna att bekanta sig med de viktigaste teknikerna och funktionerna som ska användas för att minska de värvade riskerna.

Ett särskilt fokus läggs på säkerhet på klientsidan för att hantera säkerhetsfrågor som JavaScript, Ajax och HTML5. Ett antal säkerhetsrelaterade tillägg till PHP introduceras, t.ex. hash, mcrypt och OpenSSL för kryptografi, eller Ctype, ext/filter och HTML Purifier för validering av indata. De bästa härdningsmetoderna ges i samband med PHP konfiguration (inställning php.ini), Apache och servern i allmänhet. Slutligen ges en översikt över olika verktyg och tekniker för säkerhetstestning som utvecklare och testare kan använda, inklusive säkerhetsskannrar, penetrationstestning och exploit packs, sniffers, proxyservrar, fuzzing-verktyg och statiska källkodsanalysatorer.

Både introduktionen av sårbarheter och konfigurationsmetoderna stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Håll dig informerad om de senaste sårbarheterna i PHP-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Den kombinerade SDL-kärnutbildningen ger en inblick i säker programvarudesign, utveckling och testning genom Microsoft Secure Development Lifecycle (SDL). Det ger en översikt på nivå 100 av de grundläggande byggstenarna i SDL, följt av konstruktionstekniker för att upptäcka och fixa brister i tidiga stadier av utvecklingsprocessen.

Kursen behandlar utvecklingsfasen och ger en översikt över de typiska säkerhetsrelaterade programmeringsbuggarna för både hanterad och inbyggd kod. Attackmetoder presenteras för de diskuterade sårbarheterna tillsammans med tillhörande mildringstekniker, allt förklaras genom ett antal praktiska övningar som ger live hacking för deltagarna. Introduktion av olika säkerhetsprovningsmetoder följs av att demonstrera effektiviteten hos olika testverktyg. Deltagarna kan förstå hur dessa verktyg fungerar genom ett antal praktiska övningar genom att använda verktygen på den redan diskuterade sårbara koden.

Deltagare som deltar i denna kurs kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning

• Bli bekant med de väsentliga stegen i Microsoft Secure Development Lifecycle

• Lär dig säker design och utvecklingsmetoder

• Lär dig mer om säkra implementeringsprinciper

• Förstå säkerhetstestmetodik

• Få källor och ytterligare avläsningar om säker kodning

Publik

Utvecklare, chefer

Efter att ha bekantat sig med sårbarheterna och attackmetoderna lär sig deltagarna om det allmänna tillvägagångssättet och metodiken för säkerhetstestning och de tekniker som kan tillämpas för att avslöja specifika sårbarheter. Säkerhetstestning bör börja med insamling av information om systemet (ToC, dvs. Target of Evaluation), sedan bör en grundlig hotmodellering avslöja och betygsätta alla hot och komma fram till den mest lämpliga riskanalysdrivna testplanen.

Säkerhetsutvärderingar kan ske i olika steg av SDLC, och därför diskuterar vi designgranskning, kodgranskning, rekognoscering och informationsinsamling om systemet, testning av implementeringen och testning och härdning av miljön för säker distribution. Många tekniker för säkerhetstestning introduceras i detalj, t.ex. taint-analys och heuristikbaserad kodgranskning, statisk kodanalys, dynamisk webbsårbarhetstestning eller fuzzing. Olika typer av verktyg introduceras som kan användas för att automatisera säkerhetsutvärdering av mjukvaruprodukter, vilket också stöds av ett antal övningar, där vi exekverar dessa verktyg för att analysera den redan diskuterade sårbara koden. Många fallstudier från verkliga livet stöder en bättre förståelse av olika sårbarheter.

Denna kurs förbereder testare och QA-personal för att på ett adekvat sätt planera och exakt utföra säkerhetstester, välja och använda de mest lämpliga verktygen och teknikerna för att hitta även dolda säkerhetsbrister, och ger därmed viktiga praktiska färdigheter som kan tillämpas nästa arbetsdag.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Förstå tillvägagångssätt och metoder för säkerhetstestning
• Få praktisk kunskap om hur du använder tekniker och verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, testare

För att skydda applikationer som är tillgängliga via webben krävs väl förberedd säkerhetspersonal som hela tiden är medvetna om aktuella attackmetoder och trender. Det finns en mängd tekniker och miljöer som möjliggör bekväm utveckling av webbapplikationer. Man bör inte bara vara medveten om säkerhetsproblemen som är relevanta för dessa plattformar, utan också om alla allmänna sårbarheter som gäller oavsett de använda utvecklingsverktygen.

Kursen ger en översikt över tillämpliga säkerhetslösningar i webbapplikationer, med ett särskilt fokus på att förstå de viktigaste kryptografiska lösningarna som ska tillämpas. De olika sårbarheterna för webbapplikationer presenteras både på serversidan (enligt OWASP Top Ten) och klientsidan, demonstreras genom relevanta attacker och följs av de rekommenderade kodningsteknikerna och mildringsmetoderna för att undvika tillhörande problem. Ämnet med säker kodning slås in genom att diskutera några typiska säkerhetsrelaterade programmeringsfel inom ingångsvalidering, felaktig användning av säkerhetsfunktioner och kodkvalitet.

Testning spelar en mycket viktig roll för att säkerställa säkerhet och robusthet hos webbapplikationer. Olika tillvägagångssätt - från hög nivårevision genom penetrationstest till etisk hacking - kan tillämpas för att hitta sårbarheter av olika typer. Men om du vill gå längre än lätt att hitta låghängande frukter, bör säkerhetstest planeras och genomföras korrekt. Kom ihåg: säkerhetstestare bör idealiskt hitta alla buggar för att skydda ett system, medan det för motståndare är det tillräckligt att hitta en exploaterbar sårbarhet för att tränga in i det.

Praktiska övningar hjälper till att förstå sårbarheter i webbapplikationer, programmeringsfel och framför allt mildringstekniker, tillsammans med praktiska tester av olika testverktyg från säkerhetsskannrar, genom sniffare, proxyservrar, fuzzing-verktyg till statiska källkodanalysatorer. väsentliga praktiska färdigheter som kan tillämpas nästa dag på arbetsplatsen.

Deltagare som deltar i denna kurs kommer

• Förstå grundläggande begrepp om säkerhet, IT-säkerhet och säker kodning
• Lär dig OWASP utöver OWASP Top Ten och vet hur du kan undvika dem
• Lär dig sårbarheter på klientsidan och säkra kodningssätt
• Ha en praktisk förståelse av kryptografi
• Förstå metoder för säkerhetstestning och metoder
• Få praktisk kunskap om att använda säkerhetstesttekniker och verktyg
• Bli informerad om sårbarheter på senare tid i olika plattformar, ramar och bibliotek
• Få källor och ytterligare avläsningar om säker kodning

Publik

Utvecklare, testare

I denna instruktörsledda, livekurs i Sverige kommer deltagarna att lära sig hur man formulerar den rätta säkerhetsstrategin för att möta DevOps säkerhetsutmaningen.

This Course in Sverige aims to help in the following:

1. Help Developers to master the techniques of writing Secure Code
2. Help Software Testers to test the security of the application before publishing to the production environment
3. Help Software Architects to understand the risks surrounding the applications
4. Help Team Leaders to set the security base lines for the developers
5. Help Web Masters to configure the Servers to avoid miss-configurations

Kursen täcker säkra kodningskoncept och principer med Java genom OWASP metod för att testa. Open Web Application Security Project är ett onlinemiljö som skapar fritt tillgängliga artiklar, metoder, dokumentation, verktyg och teknik inom området webbapplikationssäkerhet.

Den här kursen behandlar säkra kodningskoncept och huvudmän med ASP.net genom Open Web Application Security Project (OWASP) metod för testning, OWASP är en community som skapar fritt tillgängliga artiklar, metoder, dokumentation, verktyg och teknik inom webbapplikationssäkerhet.

I den här kursen undersöks funktionerna för Dot Net Framework Security och hur du skyddar webbapplikationer.