Web Application Security

Prerequisites:

• Zrozumienie podstawowej architektury aplikacji internetowych
• Doświadczenie z językiem programowania takim jak Java, C#, PHP lub JavaScript
• Znałość komunikacji klient-serwer i HTTP

Wskaźnik odbiorców

• Programiści
• Architekci aplikacji internetowych
• Zespoły techniczne dbające o bezpieczeństwo

Overview:

Web Application Security jest dziedziną ochrony aplikacji online przed nowoczesnymi zagrożeniami i podatnościami bezpieczeństwa, w tym tych, które są niezależne od platformy i wpływają na architekturę rdzenia aplikacji oraz obsługę danych wejściowych.

To szkolenie prowadzone przez instruktora (online lub na miejscu) jest przeznaczone dla programistów średnio zaawansowanych, którzy chcą zrozumieć i zastosować techniki bezpiecznego kodowania w celu zmniejszenia podatności sieci web i wdrożenia solidnego bezpieczeństwa aplikacji webowych.

Na koniec tego szkolenia uczestnicy będą w stanie:

• Zrozumieć podstawowe pojęcia bezpieczeństwa, bezpieczeństwa IT oraz bezpiecznego kodowania.
• Nauczyć się podatności sieci web poza OWASP Top Ten i poznać sposoby ich unikania.
• Nauczyć się podatności po stronie klienta oraz praktyk bezpiecznego kodowania.
• Posiadać praktyczną wiedzę o kryptografii.
• Zrozumieć koncepcje bezpieczeństwa usług Web.
• Otrzymać praktyczną wiedzę na temat używania narzędzi testowania bezpieczeństwa.
• Otrzymać źródła i dalsze czytanie na temat praktyk bezpiecznego kodowania.

Format kursu

• Interaktywne wykłady i dyskusje.
• Wiele ćwiczeń i praktyki.
• Ręczne wdrożenie w środowisku live-lab.

Opcje dostosowania kursu

• Aby złożyć wniosek o dostosowane szkolenie dla tego kursu, skontaktuj się z nami, aby umówić się.

Course Outline:

Bezpieczeństwo IT i Secure Coding

• Przegląd zasad bezpieczeństwa informacji
• Trójca CIA: poufność, integralność, dostępność
• Powszechne zagrożenia i modelowanie zagrożeń
• Najlepsze praktyki w bezpiecznym cyklu rozwoju oprogramowania (SSDLC)

Bezpieczeństwo sieciowe Application Security

• Zrozumienie Top Ten OWASP i więcej
• Błędy uwierzytelniania i zarządzania sesjami
• Wrażliwości na iniekcję (SQL, polecenie, LDAP, itp.)
• Cross-Site Scripting (XSS) i Cross-Site Request Forgery (CSRF)

Bezpieczeństwo po stronie klienta

• Ataki oparte na DOM i ryzyka specyficzne dla JavaScript
• Niezabezpieczone użycie AJAX i magazynowania w przeglądarkach
• Clickjacking i fałszowanie interfejsów użytkownika
• Wdrożenie polityki bezpieczeństwa treści (CSP)

Praktyczna Cryptoografia

• Podstawowe pojęcia: hashowanie, szyfrowanie, podpisy cyfrowe
• Kryptografia klucza publicznego vs. kryptografia klucza symetrycznego
• Podstawy bezpieczeństwa warstwy transportowej (TLS)
• Zarządzanie kluczami i powszechne błędy kryptograficzne

Bezpieczeństwo Web Services

• Rozważania dotyczące bezpieczeństwa SOAP i REST
• Mechanizmy uwierzytelniania: OAuth, JWT, klucze API
• Powszechne ataki i obrony usług sieciowych
• Walidacja wejścia w obciążeniach usług

Bezpieczeństwo XML

• Ataki iniekcji i parsowania XML
• Rozszerzanie encji i wrażliwości XXE
• Bezpieczne techniki parsowania i biblioteki
• Używanie standardów bezpieczeństwa XML (XML-DSig, XML-Enc)

Źródła wiedzy i narzędzia bezpieczeństwa

• Zalecane narzędzia do testowania bezpieczeństwa (np., OWASP ZAP, Burp Suite)
• Narzędzia skanowania i analizy kodu
• Zasoby online i wytyczne dotyczące bezpieczeństwa
• Jak pozostawać na bieżąco z nowymi zagrożeniami

Podsumowanie i kolejne kroki