Application Security για Προγραμματιστές Κομμάτι εκπαίδευσης

Η εφαρμογή μιας ασφαλούς δικτυωμένης εφαρμογής μπορεί να είναι δύσκολη, ακόμη και για προγραμματιστές που μπορεί να έχουν χρησιμοποιήσει διάφορα κρυπτογραφικά δομικά στοιχεία (όπως κρυπτογράφηση και ψηφιακές υπογραφές) εκ των προτέρων. Προκειμένου οι συμμετέχοντες να κατανοήσουν τον ρόλο και τη χρήση αυτών των πρωτόγονων κρυπτογραφικών αρχών, δίνεται πρώτα μια στέρεη βάση στις κύριες απαιτήσεις της ασφαλούς επικοινωνίας – ασφαλής αναγνώριση, ακεραιότητα, εμπιστευτικότητα, απομακρυσμένη αναγνώριση και ανωνυμία – ενώ παρουσιάζονται και τα τυπικά προβλήματα που μπορεί να βλάψει αυτές τις απαιτήσεις μαζί με λύσεις πραγματικού κόσμου.

Καθώς μια κρίσιμη πτυχή της ασφάλειας του δικτύου είναι η κρυπτογραφία, συζητούνται επίσης οι πιο σημαντικοί κρυπτογραφικοί αλγόριθμοι στη συμμετρική κρυπτογραφία, τον κατακερματισμό, την ασύμμετρη κρυπτογραφία και τη συμφωνία κλειδιού. Αντί να παρουσιάζεται ένα σε βάθος μαθηματικό υπόβαθρο, αυτά τα στοιχεία συζητούνται από την οπτική γωνία ενός προγραμματιστή, δείχνοντας τυπικά παραδείγματα περιπτώσεων χρήσης και πρακτικές εκτιμήσεις που σχετίζονται με τη χρήση κρυπτογράφησης, όπως οι υποδομές δημόσιου κλειδιού. Εισάγονται πρωτόκολλα ασφαλείας σε πολλούς τομείς ασφαλούς επικοινωνίας, με μια εις βάθος συζήτηση για τις πιο ευρέως χρησιμοποιούμενες οικογένειες πρωτοκόλλων όπως το IPSEC και το SSL/TLS.

Συζητούνται τυπικά τρωτά σημεία κρυπτογράφησης που σχετίζονται με ορισμένους αλγόριθμους κρυπτογράφησης και κρυπτογραφικά πρωτόκολλα, όπως BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE και παρόμοια, καθώς και με την επίθεση χρονισμού RSA. Σε κάθε περίπτωση, οι πρακτικές εκτιμήσεις και οι πιθανές συνέπειες περιγράφονται για κάθε πρόβλημα, και πάλι, χωρίς να υπεισέλθω σε βαθιές μαθηματικές λεπτομέρειες.

Τέλος, καθώς η τεχνολογία XML είναι κεντρική για την ανταλλαγή δεδομένων από δικτυωμένες εφαρμογές, περιγράφονται οι πτυχές ασφάλειας του XML. Αυτό περιλαμβάνει τη χρήση του XML εντός των υπηρεσιών ιστού και των μηνυμάτων SOAP παράλληλα με μέτρα προστασίας όπως η υπογραφή XML και η κρυπτογράφηση XML – καθώς και αδυναμίες σε αυτά τα μέτρα προστασίας και συγκεκριμένα ζητήματα ασφαλείας για το XML, όπως XML ένεση, XML επιθέσεις εξωτερικής οντότητας (XXE), XML βόμβες και XPath έγχυση.

Οι συμμετέχοντες που θα παρακολουθήσουν αυτό το μάθημα θα

• Κατανόηση βασικών εννοιών ασφάλειας, ασφάλειας πληροφορικής και ασφαλούς κωδικοποίησης
• Κατανοήστε τις απαιτήσεις της ασφαλούς επικοινωνίας
• Μάθετε για τις επιθέσεις και τις άμυνες δικτύου σε διαφορετικά επίπεδα OSI
• Να έχουν πρακτική κατανόηση της κρυπτογραφίας
• Κατανοήστε βασικά πρωτόκολλα ασφαλείας
• Κατανοήστε ορισμένες πρόσφατες επιθέσεις κατά κρυπτοσυστημάτων
• Λάβετε πληροφορίες σχετικά με ορισμένες πρόσφατες σχετικές ευπάθειες
• Κατανοήστε τις έννοιες ασφάλειας των υπηρεσιών Ιστού
• Λάβετε πηγές και περαιτέρω αναγνώσεις σχετικά με πρακτικές ασφαλούς κωδικοποίησης

Ακροατήριο

Προγραμματιστές, Επαγγελματίες

Η υιοθέτηση των Νεφών αλλάζει το πώς κατασκευάζονται, διακομίζονται και λειτουργούν οι εφαρμογές — μεταφέροντας την ευθύνη από τον παροχέα στον πελάτη και προσδίδοντας νεφελινές πλατφόρμες (containers, serverless, managed services) που απαιτούν εγκατεστημένες μέθοδοι ασφάλειας. Η ασφάλεια πρέπει, λοιπόν, να αντιμετωπίζει την ενίσχυση υποδομής, τη διαχείριση ταυτότητας και πρόσβασης, την προστασία δεδομένων, τις ασφαλείς πρακτικές ανάπτυξης και τους συγκεκριμένους γεφύρες απειλών των Νεφών.

Αυτή η διδασκαλία με εξηγητή (online ή onsite) είναι κατευθύνεται σε ανάπτυκτους των ανώτερων επιπέδων, διαχειριστές ασφαλείας και υπεύθυνους IT που θέλουν να αποκτήσουν πρακτικές, χειρονηκτικές δεξιότητες για την εξασφάλιση των εφαρμογών Νεφών και της υποστηριζόμενης υποδομής, ανακτώντας επαναλάμβανες μέθοδους και τεχνικές αξιολόγησης που αντιστοιχούν σε τρέχουσες βιομηχανικές πλαισίων και οδηγίες του παροχέα Νεφών.

Μέχρι το τέλος αυτής της εκπαίδευσης, οι συμμετέχοντες θα μπορούν να:

• Εξηγήσουν το μοντέλο κοινής ευθύνης στα Νεφάκια και να το εφαρμόσουν σε αποφάσεις ασφάλειας προγραμμάτων.
• Ενισχύσουν τη χρήση υποδομής (IaaS), να εξασφαλίσουν πλατφόρμες υπηρεσιών (PaaS) και να αξιολογήσουν τις διαθέσεις SaaS.
• Να εφαρμόσουν ασφαλείς μοτίβα προγραμματισμού και τα μοτίβα διόρθωσης βάσης OWASP σε εφαρμογές φιλοξενούμενες στο Νέφο.
• Να ολοκληρώσουν την ασφάλεια εργαλείων στους πipelines CI/CD (SAST/DAST/DAST/IAST/RASP) και να υιοθετήσουν την πρακτική shift-left.

Μορφή Κώδικα

• Αλληλεπιδραστική διάλεξη και συζήτηση που συνδέεται με ζωντανές εμφανίσεις.
• Χειρονηκτικά εργαστήρια χρησιμοποιώντας κλωνικές συσκευές, containers, serverless functions και pipelines CI/CD.
• Πρακτικές εξάσκηση: ασφαλής ρύθμιση, θέμα σε δυνατότητα παρεξήγησης, προσομοίωση επίθεσης και σχεδιασμός ανάκτησης.

Επιλογές Προσαρμογής Κώδικα

• Για να αίτησετε μια προσαρμοσμένη εξάσκηση για αυτό το κωδικό, παρακαλώ επικοινωνήστε μαζί μας.

Αυτή η τριήμερη εκπαίδευση καλύπτει τα βασικά στοιχεία της προστασίας του κώδικα C/C++ από κακονοείντες χρήστες που μπορούν να εκμεταλλευτούν πολλές αδυναμίες του κώδικα σχετικά με τη διαχείριση μνήμης και τη χειρισμό εισόδου. Η εκπαίδευση καλύπτει τα βασικά αρχές της γραφής σε έναν ασφαλή κώδικα.

Ακόμη και οι έμπειροι προγραμματιστές Java δεν αποκτούν απαραίτητα τις δεξιότητες που απαιτούνται για τον πλήρη έλεγχο των πολλαπλών υπηρεσιών ασφαλείας που προσφέρει η Java, ενώ ταυτόχρονα ενδέχεται να μην γνωρίζουν τις διάφορες ευπάθειες που σχετίζονται με εφαρμογές ιστού γραμμένες σε Java.

Το σεμινάριο, πέρα από την εισαγωγή στα ασφαλή στοιχεία της Standard Java Edition, ασχολείται με θέματα ασφαλείας της Java Enterprise Edition (JEE) και των web services. Η συζήτηση για συγκεκριμένες υπηρεσίες προηγείται από τις θεμελιώδεις αρχές της κρυπτογραφίας και της ασφαλούς επικοινωνίας. Διάφορες ασκήσεις ασχολούνται με τεχνικές δηλωτικής και προγραμματιστικής ασφαλείας στο JEE, ενώ γίνεται συζήτηση τόσο για την ασφάλεια σε επίπεδο μεταφοράς δεδομένων (transport-layer) όσο και για την ασφάλεια από άκρο σε άκρο (end-to-end) των web services. Η χρήση όλων των στοιχείων παρουσιάζεται μέσω πρακτικών ασκήσεων, όπου οι συμμετέχοντες μπορούν να εξερευνήσουν сами τις συζητηθείσες APIs και εργαλεία.

Το σεμινάριο αναλύει επίσης και εξηγεί τα πιο συχνά και σοβαρά σφάλματα προγραμματισμού της γλώσσας και της πλατφόρμας Java, καθώς και τις ευπάθειες σχετικές με τον ιστό. Εκτός από τα τυπικά σφάλματα που διαπράττουν οι προγραμματιστές Java, οι παρουσιαζόμενες ευπάθειες ασφαλείας καλύπτουν τόσο θέματα συγκεκριμένα για τη γλώσσα όσο και προβλήματα που απορρέουν από το περιβάλλον εκτέλεσης (runtime environment). Όλες οι ευπάθειες και οι σχετικές επιθέσεις demonstrονται μέσω κατανοητών ασκήσεων, ακολουθούμενες από τις συνιστώμενες κατευθυντήριες γραμμές κωδικοποίησης και τις πιθανές τεχνικές μετριασμού.

Οι συμμετέχοντες σε αυτό το σεμινάριο θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της κυβερνοασφάλειας και της ασφαλούς κωδικοποίησης
• Μάθουν για τις ευπάθειες του ιστού πέρα από τα OWASP Top Ten και γνωρίζοντας πώς να τις αποφύγουν
• Κατανοήσουν τις έννοιες ασφαλείας των Web services
• Μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφαλείας του περιβάλλοντος ανάπτυξης Java
• Έχουν πρακτική κατανόηση της κρυπτογραφίας
• Κατανοήσουν τις λύσεις ασφαλείας της Java EE
• Μάθουν για τυπικά λάθη κωδικοποίησης και πώς να τα αποφύγουν
• Λάβουν πληροφορίες για πρόσφατες ευπάθειες στο πλαίσιο λειτουργίας (framework) Java
• Αποκτήσουν πρακτική γνώση για τη χρήση εργαλείων δοκιμής ασφαλείας
• Λάβουν πηγές και περαιτέρω υλικό μελέτης για πρακτικές ασφαλούς κωδικοποίησης

Κοινό

Αναπτυσσόμενοι λογισμικού (Developers)

Ακόμη και οι έμπειροι προγραμματιστές δεν κατέχουν με κάθε τρόπο τις διάφορες υπηρεσίες ασφαλείας που προσφέρονται από τις πλατφόρμες ανάπτυξής τους και, επίσης, δεν γνωρίζουν τα διάφορα τρωτά σημεία που σχετίζονται με τις εξελίξεις τους. Αυτό το μάθημα απευθύνεται σε προγραμματιστές που χρησιμοποιούν και τα δύο Java και PHP, παρέχοντάς τους βασικές δεξιότητες που είναι απαραίτητες για να κάνουν τις εφαρμογές τους ανθεκτικές σε σύγχρονες επιθέσεις μέσω του Διαδικτύου.

Τα επίπεδα Java της αρχιτεκτονικής ασφαλείας διανύονται με την αντιμετώπιση του ελέγχου πρόσβασης, του ελέγχου ταυτότητας και της εξουσιοδότησης, της ασφαλούς επικοινωνίας και διαφόρων κρυπτογραφικών λειτουργιών. Παρουσιάζονται επίσης διάφορα API που μπορούν να χρησιμοποιηθούν για την ασφάλεια του κώδικά σας στο PHP, όπως το OpenSSL για κρυπτογραφία ή το HTML Purifier για επικύρωση εισόδου. Από την πλευρά του διακομιστή, δίνονται οι βέλτιστες πρακτικές για τη σκλήρυνση και τη διαμόρφωση του λειτουργικού συστήματος, του κοντέινερ Ιστού, του συστήματος αρχείων, του διακομιστή SQL και του ίδιου του PHP, ενώ ιδιαίτερη έμφαση δίνεται στην ασφάλεια από την πλευρά του πελάτη μέσω της ασφάλειας τεύχη του JavaScript, Ajax και HTML5.

Οι γενικές ευπάθειες ιστού συζητούνται με παραδείγματα ευθυγραμμισμένα με το OWASP Top Ten, που δείχνουν διάφορες επιθέσεις injection, injections script, επιθέσεις κατά του χειρισμού περιόδου λειτουργίας, ανασφαλείς άμεσες αναφορές αντικειμένων, ζητήματα με μεταφορτώσεις αρχείων και πολλά άλλα. Τα διάφορα ειδικά γλωσσικά προβλήματα και ζητήματα Java- και PHP που προκύπτουν από το περιβάλλον χρόνου εκτέλεσης εισάγονται ομαδοποιημένα στους τυπικούς τύπους ευπάθειας της επικύρωσης εισόδου που λείπει ή δεν είναι σωστή, η ακατάλληλη χρήση χαρακτηριστικών ασφαλείας, ο εσφαλμένος χειρισμός σφαλμάτων και εξαιρέσεων, ο χρόνος- και προβλήματα που σχετίζονται με την κατάσταση, ζητήματα ποιότητας κώδικα και ευπάθειες που σχετίζονται με τον κώδικα κινητής τηλεφωνίας.

Οι συμμετέχοντες μπορούν να δοκιμάσουν τα συζητούμενα API, τα εργαλεία και τα αποτελέσματα των διαμορφώσεων για τον εαυτό τους, ενώ η εισαγωγή τρωτών σημείων υποστηρίζεται από μια σειρά από πρακτικές ασκήσεις που καταδεικνύουν τις συνέπειες των επιτυχημένων επιθέσεων, που δείχνουν πώς να διορθώνονται τα σφάλματα και να εφαρμόζουν τεχνικές μετριασμού , και εισάγοντας τη χρήση διαφόρων επεκτάσεων και εργαλείων.

Οι συμμετέχοντες που θα παρακολουθήσουν αυτό το μάθημα θα

• Κατανόηση βασικών εννοιών ασφάλειας, ασφάλειας πληροφορικής και ασφαλούς κωδικοποίησης
• Μάθετε τα τρωτά σημεία του Ιστού πέρα από τα OWASP Top Ten και μάθετε πώς να τα αποφύγετε
• Μάθετε ευπάθειες από την πλευρά του πελάτη και ασφαλείς πρακτικές κωδικοποίησης
• Μάθετε να χρησιμοποιείτε διάφορες δυνατότητες ασφαλείας του Java περιβάλλοντος ανάπτυξης
• Να έχουν πρακτική κατανόηση της κρυπτογραφίας
• Μάθετε να χρησιμοποιείτε διάφορες λειτουργίες ασφαλείας του PHP
• Κατανοήστε τις έννοιες ασφάλειας των υπηρεσιών Ιστού
• Αποκτήστε πρακτικές γνώσεις σχετικά με τη χρήση εργαλείων δοκιμών ασφαλείας
• Μάθετε για τυπικά λάθη κωδικοποίησης και πώς να τα αποφύγετε
• Ενημερωθείτε για πρόσφατες ευπάθειες στα πλαίσια και τις βιβλιοθήκες Java και PHP
• Λάβετε πηγές και περαιτέρω αναγνώσεις σχετικά με πρακτικές ασφαλούς κωδικοποίησης

Ακροατήριο

προγραμματιστές

Περιγραφή

Η γλώσσα Java και το Πλαίσιο Χρόνου Εκτέλεσης (JRE) έχουν σχεδιαστεί ώστε να είναι απαλλαγμένα από τις πιο προβληματικές κοινές ευπάθειες ασφαλείας που παρατηρούνται σε άλλες γλώσσες, όπως η C/C++. Ωστόσο, οι προγραμματιστές και οι αρχιτέκτονες λογισμικού δεν πρέπει μόνο να γνωρίζουν πώς να χρησιμοποιούν τις διάφορες λειτουργίες ασφαλείας του περιβάλλοντος Java (θετική ασφάλεια), αλλά πρέπει επίσης να είναι ενήμεροι για τις numerous ευπάθειες που παραμένουν σχετικές για την ανάπτυξη σε Java (αρνητική ασφάλεια).

Η εισαγωγή των υπηρεσιών ασφαλείας προηγείται από μια συνοπτική επισκόπηση των θεμελιωδών αρχών της κρυπτογραφίας, παρέχοντας μια κοινή βάση για την κατανόηση του σκοπού και της λειτουργίας των εφαρμοζόμενων συνιστωσών. Η χρήση αυτών των συνιστωσών παρουσιάζεται μέσω διαφόρων πρακτικών ασκήσεων, όπου οι συμμετέχοντες μπορούν να δοκιμάσουν οι ίδιοι τις εξεταζόμενες APIs.

Το μάθημα επίσης εξετάζει και εξηγεί τα πιο συχνά και σοβαρά σφάλματα προγραμματισμού της γλώσσας και της πλατφόρμας Java, καλύπτοντας τόσο τα τυπικά λάθη που διαπράττουν οι προγραμματιστές Java όσο και τα προβλήματα συγκεκριμένα για τη γλώσσα και το περιβάλλον. Όλες οι ευπάθειες και οι σχετικές επιθέσεις demonstrούνται μέσω εύκολα κατανοητών ασκήσεων, ακολουθούμενων από τις συνιστώμενες οδηγίες προγραμματισμού και τις δυνατές τεχνικές μετριασμού.

Οι συμμετέχοντες σε αυτό το μάθημα θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της ασφάλειας των IT και του ασφαλούς προγραμματισμού
• Μάθουν για ευπάθειες Web που πέραν των OWASP Top Ten και πώς να τις αποφύγουν
• Μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφαλείας του περιβάλλοντος ανάπτυξης Java
• Έχουν μια πρακτική κατανόηση της κρυπτογραφίας
• Μάθουν για τα συνηθισμένα λάχη προγραμματισμού και πώς να τα αποφύγουν
• Λάβουν πληροφορίες για κάποια πρόσφατα ευπάθειες στο πλαίσιο Java
• Λάβουν πηγές και περαιτέρω μελέτες σχετικά με τις πρακτικές ασφαλούς προγραμματισμού

Κοινό

Προγραμματιστές

Οι συμμετέχοντες σε αυτό το εκπαιδευτικό πρόγραμμα στο Ελλάδα θα

• Πληροφορηθούν για βασικά κoncepts της ασφάλειας, IT ασφάλειας και secure coding
• Μάθουν ιδιότητες web πέρα από OWASP Top Ten και πώς να τις αποφύγουν
• Μάθουν client-side ασφάλεια και secure coding πρακτικές
• Μάθουν να χρησιμοποιούν διάφορα features ασφάλειας του Java development environment
• Έχουν πρακτική κατανόηση cryptography
• Πληροφορηθούν για ασφάλεια web services
• Πληροφορηθούν για security solutions του Java EE
• Μάθουν περί τυπικών λάθων κωδικού και πώς να τα αποφύγουν
• Ελέγξουν σχετική πληροφόρηση για κάποιες πρόσφατες ασφάλειας στο framework Java
• Ελέγξουν πρακτική γνώση χρήσης security testing tools
• Ελέγχουν πηγές και περισσότερη ανάγνωση σχετικά με secure coding πρακτικές

Σήμερα υπάρχουν πολλές γλώσσες προγραμματισμού που επιτρέπουν τη συλλογισμό κώδικα σε περιβάλλοντα .NET και ASP.NET. Το περιβάλλον αυτό παρέχει ισχυρά εργαλεία για την ανάπτυξη ασφαλείας, αλλά οι προγραμματιστές θα πρέπει να γνωρίζουν πώς να εφαρμόζουν τεχνικές προγραμματισμού σε επίπεδο αρχιτεκτονικής και κώδικα, ώστε να υλοποιούν την επιθυμητή λειτουργικότητα ασφαλείας, να αποφεύγουν ευπάθειες ή να περιορίζουν την εκμετάλλευσή τους.

Στόχος αυτού του σεμιναρίου είναι να διδάξει τους προγραμματιστές, μέσω πληθώρας πρακτικών ασκήσεων, τον τρόπο πρόληψης εκτέλεσης ευprivileged ενεργειών από μη αξιόπιστο κώδικα, προστασίας πόρων μέσω ισχυρών μηχανισμών ταυτοποίησης και εξουσιοδότησης, παροχής κλήσεων διαδικασίας από απόσταση (remote procedure calls), διαχείρισης συνεδριών, εισαγωγής διαφορετικών υλοποιήσεων για συγκεκριμένες λειτουργικότητες και πολλών άλλων.

Η εισαγωγή διάφορων ευπαθειών ξεκινά με την παρουσίαση τυπικών προβλημάτων προγραμματισμού που συνδέονται με τη χρήση του .NET, ενώ η συζήτηση για τις ευπάθειες του ASP.NET ασχολείται επίσης με διάφορες ρυθμίσεις περιβάλλοντος και τις επιπτώσεις τους. Τέλος, το θέμα των ευπαθειών που είναι συγκεκριμένες για το ASP.NET δεν ασχολείται μόνο με ορισμένες γενικές προκλήσεις ασφαλείας των εφαρμογών web, αλλά και με ειδικά ζητήματα και μεθόδους επίθεσης, όπως η επίθεση στο ViewState ή οι επιθέσεις κατάληξης συμβολοσειράς.

Τα άτομα που θα παρακολουθήσουν αυτό το σεμινάρια θα

• Κατανοήσουν τις βασικές έννοιες της ασφάλειας, της ψηφιακής ασφάλειας και της ασφαλούς προγραμματιστικής πρακτικής
• Μάθουν για ευπάθειες web πέρα από το OWASP Top Ten και θα γνωρίζουν πώς να τις αποφεύγουν
• Μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφαλείας του περιβάλλοντος ανάπτυξης .NET
• Αποκτήσουν πρακτική γνώση στη χρήση εργαλείων δοκιμής ασφαλείας
• Μάθουν για τυπικά λάθη προγραμματισμού και τον τρόπο για να τα αποφύγουν
• Προσλάβουν πληροφορίες για ορισμένες πρόσφατες ευπάθειες στα .NET και ASP.NET
• Λάβουν πηγές και περαιτέρω βιβλιογραφία σχετικά με τις πρακτικές ασφαλούς προγραμματισμού

Κοινό

Προγραμματιστές

To μάθημα προσφέρει απαραίτητες δεξιότητες για PHP προγραμματιστές απαραίτητες για να κάνουν τις εφαρμογές τους ανθистατικές σε σύγχρονες επιθέσεις μέσω του διαδικτύου. Τα web κίνδυνα συζητούνται μέσω παραδειγμάτων βασισμένων στο PHP, πηγάζοντας από τα δέκα κορυφαία OWASP, επιτέλουν διάφορες επιθέσεις ένταξης, επιθέσεις σεναρίων, επιθέσεις κατά της διαχείρισης συνεδριών PHP, αναπήρειες άμεσων αναφορών αντικειμένων, θέματα με την κατανόηση αρχείων, και πολλά άλλα. Τα κίνδυνα σχετικά με το PHP εισάγονται ομαδοποιημένα στους κανονικούς τύπους κινδύνων, όπως η απώλεια ή εσφαλμένη επαλήθευση εισόδου, λανθασμένη διαχείριση λαθών και εξαίρεσεων, η εσφαλμένη χρήση ασφαλιστικών προϊόντων και τα προβλήματα σχετικά με την ώρα και την κατάσταση. Για αυτό, συζητούμε επιθέσεις όπως η παραίτηση open_basedir, απόβολη-διακοπή μέσω magic float ή την επίθεση σύγκρουσης hash table. Σε όλες τις περιπτώσεις, οι συμμετέχοντες θα γίνονται γνωστοί με τις πιο σημαντικές τεχνικές και λειτουργίες που θα χρησιμοποιήσουν για να αντιμετωπίσουν τα εξαιρετικά κινδύνων.

Ένα ειδικό βάρος δίδεται στην ασφάλεια πλευράς-πελάτη, εξετάζοντας τα ζητήματα ασφαλείας του JavaScript, Ajax και HTML5. Παρουσιάζονται μια σειρά από ασφαλειακές επεκτάσεις PHP όπως hash, mcrypt και OpenSSL για την κρυπτογράφηση, ή Ctype, ext/filter και HTML Purifier για επαλήθευση εισόδου. Οι καλύτερες πρακτικές σκληροποίησης δίνονται με σχέση με την ρύθμιση PHP (setting php.ini), Apache και του διακομιστή. Τέλος, δίδεται μια γενική εικόνα σε διάφορα ασφαλειακά εργαλεία και τεχνικές που οι προγραμματιστές και οι δοκιμαστές μπορούν να χρησιμοποιήσουν, συμπεριλαμβανομένων των ασφαλειακών σανίδων, επίθεσης και εκμετάλλευσης πακέτων, διαχύνατρων, ιδιοκτήτης διακομιστών, εργαλείων βέβαιου αποσκόπησης και στατικών αναλυτών πηγαίου κώδικα.

Η εισαγωγή των κινδύνων και οι πρακτικές ρύθμισης υποστηρίζονται από μια σειρά διευθυνόμενων εργασιών που δείχνουν τα αποτελέσματα επιτυχημένων επιθέσεων, υποδεικνύουν πώς να εφαρμοστούν τεχνικές αντιμετώπισης και ξεκινούν τη χρήση διάφορων επεκτάσεων και εργαλείων.

Οι συμμετέχοντες που συμμετέχουν σε αυτό το μάθημα θα

• Κατανοήσουν βασικά επιστημονικά όρια ασφαλείας, IT ασφαλείας και άμειρας κώδικα
• Μεταθέσουν Web κινδύνων πέρα από το OWASP Top Ten και θα γνωρίζουν πώς να τα εξαλείψουν
• Μεταθέσουν πλευρά-πελάτης κινδύνων και άμειρας κώδικα
• Έχουν βασική κατανόηση της κρυπτογράφησης
• Μεταθέσουν χρησιμοποίηση διάφορων ασφαλειακών προϊόντων του PHP
• Μεταθέσουν συνήθεις λάθη κώδικα και πώς να τα εξαλείψουν
• Ενημερωθούν για πρόσφατους κινδύνους στο PHP framework
• Θα έχουν πρακτική γνώση χρήσης ασφαλειακών εργαλείων δοκιμής
• Ενημερωθούν για πηγές και περαιτέρω μάθηση σχετικά με την άμειρα κώδικα

Δυστυχία

Προγραμματιστές

Η ενιαία κατάρτιση σε SDL core παρέχει εισβολή στη σχεδίαση, ανάπτυξη και δοκιμή ασφαλούς λογισμικού μέσω του Microsoft Secure Development Lifecycle (SDL). Παρέχει επιπέδου 100 γενική περίληψη των βασικών συστατικών του SDL, ακολουθούμενη από σχεδιαστικές τεχνικές που εφαρμόζονται για να ανιχνευτούν και διορθώνονται οι σφάλματα σε νωρίτερες φάσεις της διαδικασίας ανάπτυξης.

Κατά τη φάση ανάπτυξης, το μάθημα παρέχει επισκόπηση των συνηθισμένων ασφαλών κωδικοποίησης για και τον διαχειριστικό και τον ιδιόκτητο κώδικα. Παρουσιάζονται επιθετικές μέθοδοι για τα αναφερόμενα χρήσιμα που συνοδεύονται από τις σχετικές τεχνικές διόγκωσης, όλες εξηγούμενες μέσα από ένα αριθμό πρακτικών ασκήσεων που παρέχουν συντονισμένη χάκινγκ για τους συμμετέχοντες. Η εισαγωγή διαφόρων μεθόδων ασφαλούς κωδικοποίησης ακολουθείται από την παράδειξη της αποδοτικότητας διαφόρων εργαλείων δοκιμής. Οι συμμετέχοντες μπορούν να κατανοήσουν τη λειτουργία αυτών των εργαλείων μέσω πολλών πρακτικών ασκήσεων και εφαρμόζοντάς τα σε ήδη διαθέσιμο ασφαλό κώδικα.

Οι συμμετέχοντες που επισκευάζονται σε αυτό το μάθημα θα

Κατανοήσουν βασικές εννοίες ασφάλειας, IT ασφάλειας και συμπληρωματικής κωδικοποίησης

Μάθουν τα βασικά βήματα του Microsoft Secure Development Lifecycle

Μελετήσουν πρακτικές σχεδίασης και ανάπτυξης με στοιχεία ασφάλειας

Μάθουν για τα βασικά πρинτίπια ασφαλούς υλοποίησης

Κατανοήσουν μέθοδο λειτουργίας των εργαλείων ασφαλούς δοκιμής

• Θα λάβουν πηγές και περισσότερες αναγνώσεις για τις πρακτικές ασφαλούς κωδικοποίησης

Ακροατήριο

Προγραμματιστές, Διευθυντές

Σε αυτό το κεφαλαικά καθοδηγούμενο, ζωντανό μάθημα σε Ελλάδα, οι συμμετέχοντες θα μάθουν πώς να διαμορφώσουν την κατάλληλη στρατηγική ασφάλειας για να αντιμετωπίσουν το πρόβλημα της ασφάλειας DevOps.

Η εκπαίδευση Μηχανικού DevSecOps του EC-Council (ECDE) είναι μια πρακτική και διδακτική εκπαίδευση σχεδιασμένη για να παρέχει στους επαγγελματίες τα δεξιότητες ώστε να ενσωματώσουν την ασφάλεια κατά μήκος του κύκλου ζωής DevOps, επιτρέποντάς τους να αναπτύσσουν ασφαλές λογισμικό από τη σχεδίαση μέχρι την κατανομή.

Αυτή η εκπαίδευση υπό διεύθυνση Εκπαιδευτή (online ή σε εγχώριες αίθουσες) απευθύνεται σε επαγγελματίες λογισμικού και DevOps με διάφορη εμπειρία, που θέλουν να ολοκληρώσουν την ασφάλεια στα CI/CD pipelines, εξασφαλίζοντας ασφαλή και υπό έλεγχο παροχή λογισμικού.

Μέχρι το τέλος αυτής της εκπαίδευσης, οι συμμετέχοντες θα μπορούν να:

• Κατανοήσουν τα βασικά αρχές και πρακτικές του DevSecOps.
• Ασφαλίσουν κάθε σημείο του CI/CD pipeline χρησιμοποιώντας αυτοματοποιημένα εργαλεία.
• Εφαρμόσουν πρακτικές ασφαλούς κωδικού και σάρωση ευάλωτοτήτων.
• Προετοιμαστούν για την πίστωση ECDE με πρακτικά εργαστήρια και αξιολόγηση.

Μορφή του Μαθήματος

• Ανταλλαγή πληροφοριών και συζήτηση.
• Πρακτική χρήση εργαλείων DevSecOps σε προσομοιωμένους pipelines.
• Οδηγούμενες ασκήσεις με έμφαση στην ασφάλεια κατά την ανάπτυξη και τη διαθέτη.

Επιλογές Προσαρμογής του Μαθήματος

• Για να ζητήσετε μια προσαρμοσμένη εκπαίδευση γι' αυτό το μάθημα βάσει των ρυθμίσεων ή του toolchain της ομάδας σας, παρακαλώ επικοινωνήστε μαζί μας για να διατυπώσετε τις απαιτήσεις σας.

Αυτή η Μάθηση στο Ελλάδα όριζε να βοηθήσει στο εξής:

1. Να βοηθήσει τους Προγραμματιστές να κυριάρτησουν τις τεχνικές γραφής Ασφαλού Κώδικα
2. Να βοηθήσει τους Δοκιμαστές λογισμικού να δοκιμάσουν την ασφάλεια της εφαρμογής πριν τη δημοσίευσή της στο περιβάλλον παραγωγής
3. Να βοηθήσει τους Αρχιτέκτονες λογισμικού να καταλάβουν τις επιθετικές κινήσεις που περιβάλλουν τις εφαρμογές
4. Να βοηθήσει τους ηγέτες ομάδων να καθορίσουν τις ασφαλειακές πρότυπα για τους προγραμματιστές
5. Να βοηθήσει τους Αδελφούς του Δικτύου να ρυθμίσουν τα Server για να αποφύγουν λάθος κατασκευές

Αυτό το μάθημα καλύπτει τα συνцепτά ασφαλούς κώδικα και τους κανόνες με Java, μέσω της μεθοδολογίας δοκιμής Open Web Application Security Project (OWASP). Το Open Web Application Security Project είναι μια διαδικτυακή κοινότητα που δημιουργεί ελεύθερα διαθέσιμα άρθρα, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες στο πεδίο της ασφάλειας διαδικτυακών εφαρμογών.

Αυτό το μάθημα κάλυπτει τους αρχές και τα ιδιωτήρια σύγχρονης προγραμματισμού με ASP.net, μέσω της μεθοδολογίας εξέτασης Open Web Application Security Project (OWASP). Το OWASP είναι μια διαδικτυακή κοινότητα που δημιουργεί υλικά, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες από τον τομέα της ασφάλειας διαδικτυακών εφαρμογών, που είναι δωρεάν και διαθέσιμα σε όλους. 

Αυτό το μάθημα εξερευνά τις λειτουργίες ασφαλείας του Dot Net Framework και πώς να ασφαλίσεις διαδικτυακές εφαρμογές.