Szkolenie skierowane jest do adimistratorów i programistów pracujących z systemami, w których przechowywane są dane osobowe oraz dane tajne. Szkolenie obejmuje przegląd wszystkich linii frontu klasycznej aplikacji webowej, najważniejszych zagrożeń na każdej z nich oraz najnowszych metod obrony. Omawiane zagadnienia obejmują te z OWASP Top 10 2021 oraz CWE Top 25 2021 plus kilka wprawdzie spoza głównego nurtu, ale używanych w faktycznych atakach. Każde zagadnienie kończy lista zaleceń, które można od razu zaaplikować do swoich aplikacji, oraz sugestie dalszej lektury dla dociekliwych. Szkolenie jest pomyślane jako spójna koncepcyjnie opowieść o bezpieczeństwie współczesnej platformy webowej, promująca rozwiązania stosowane przez najbardziej dojrzałe organizacje.
Part 1. Wprowadzenie
Podstawowe koncepcje
- Granica bezpieczeństwa
- Metafory źródeł i zlewów
- AppSec kill chain
- Modelowanie zagrożeń
Part 2. Backend
Przegląd backendu
- Aktywa i wektory ataku
- Model zagrożeń backendu
Granica aplikacji
- Przegląd linii frontu
- Uwierzytelnienie i autoryzacja
- Zarządzanie sesją
- Walidacja wejścia
Granica bazy danych
- Przegląd linii frontu
- SQL injection
- NoSQL injection
Granica systemu operacyjnego
- Przegląd linii frontu
- Bezpieczeństwo pamięci
- Wstrzykiwanie poleceń (command injection)
- Path traversal
- Blaski i cienie uploadu plików
- XML external entity reference
- Deserializacja
Part 3. Frontend
Przegląd frontendu
- Tragedia ciasteczek
- Single Origin Policy
- JavaScript
- Model zagrożeń frontendu
Granica pochodzenia
- Przegląd linii frontu
- Cross-site scripting
- Cross-site request forgery
- Cross-site leaks
- Inne problemy
Part 4. Wielkie pytania
Jak zachować sekret?
- Zarządzanie sekretami
- Zarządzanie danymi wrażliwymi
Jak zapewnić integralność kodu i danych?
- Ataki na łańcuch dostaw
- Zatruwanie cache
Jak utrzymać dostępność?
- O istotności prowadzenia pamiętnika
- Systemy samonaprawiające się
- Przeżywanie katastrof
- Przeżywanie ataków wolumenowych