Java και Ασφάλεια Δικτυακών Εφαρμογών Κομμάτι εκπαίδευσης

Το Android είναι μια ανοιχτή πλατφόρμα για κινητά συστήματα, όπως τηλεφώνια και tablet. Προσφέρει μια ευρεία ποικιλία λειτουργιών ασφάλειας για να κάνει την ανάπτυξη ασφαλού λογισμικού ελαφρύτερη; ωστόσο, διαθέτει ορισμένες ασφαλειακές πτυχές που λείπουν σε άλλες πλατφόρμες κινητών συστημάτων. Το μάθημα είναι μια ολοκληρωτική περιγραφή αυτών των λειτουργιών, και δείχνει τα πιο σημαντικά παρεξήγησα που είναι υπό ένδειξη σχετικά με τον υποβάθρω Linux, το αρχείο σύστημα και τον γενικό περιβάλλον, καθώς επίσης ορισμένες δυνατότητες χρήσης και άλλων συστατικών ανάπτυξης λογισμικού Android.

Περιγράφονται τα τυπικά πλήγματα και αδυναμίες ασφάλειας για εγκαθεστημένους κώδικες και εφαρμογές Java, μαζί με προτάσεις και καλές πρακτικές για την αποφυγή και μείωση αυτών. Σε πολλά εξήγημα σχεδιασμός προβλημάτων υποστηρίζονται με πρακτικά παραδείγματα και περιπτώσεις. Τέλος, δίνουμε μια σύντομη εισαγωγή για τον τρόπο χρήσης εργαλείων ελέγχου ασφάλειας για να αποκαλύψουμε οποιεσδήποτε σχετικές λάθη προγραμματισμού.

Οι ενδιαφερόμενοι που θα συμμετέχουν σε αυτό το μάθημα, θα

• Θα καταλάβουν βασικές έννοιες ασφάλειας, υπολογιστικής ασφάλειας και σωστής προγραμματιστικής
• Θα μάθουν τις λύσεις ασφάλειας για Android
• Θα μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφάλειας της πλατφόρμας Android
• Θα αποκτήσουν πληροφορίες για μερικές πρόσφατες αδυναμίες σε Java του Android
• Θα μάθουν περί της ενδιαφέροντος λάθων κώδικα και τον τρόπο αποφυγής τους
• Θα περιληπτικά κατανοήσουν υποβάθρω νεύρων κώδικα ασφάλειας του Android
• Θα εξαγάγουν τις σοβαρές προπτυχιακές διαμόρφωση για την αδύναμη χειρισμό buffer σε εγκαθεστημένους κώδικες
• Θα καταλάβουν τους τεχνικούς προστασίας αρχιτεκτονικής και την αδυναμία τους
• Θα αποκτήσουν πηγές πληροφοριών και περισσότερα διαβάσιμα για ελευθεριωτική τεχνική προγραμματιστική

Ακροατές

Επαγγελματίες

Η εφαρμογή μιας ασφαλούς δικτυωμένης εφαρμογής μπορεί να είναι δύσκολη, ακόμη και για προγραμματιστές που μπορεί να έχουν χρησιμοποιήσει διάφορα κρυπτογραφικά δομικά στοιχεία (όπως κρυπτογράφηση και ψηφιακές υπογραφές) εκ των προτέρων. Προκειμένου οι συμμετέχοντες να κατανοήσουν τον ρόλο και τη χρήση αυτών των πρωτόγονων κρυπτογραφικών αρχών, δίνεται πρώτα μια στέρεη βάση στις κύριες απαιτήσεις της ασφαλούς επικοινωνίας – ασφαλής αναγνώριση, ακεραιότητα, εμπιστευτικότητα, απομακρυσμένη αναγνώριση και ανωνυμία – ενώ παρουσιάζονται και τα τυπικά προβλήματα που μπορεί να βλάψει αυτές τις απαιτήσεις μαζί με λύσεις πραγματικού κόσμου.

Καθώς μια κρίσιμη πτυχή της ασφάλειας του δικτύου είναι η κρυπτογραφία, συζητούνται επίσης οι πιο σημαντικοί κρυπτογραφικοί αλγόριθμοι στη συμμετρική κρυπτογραφία, τον κατακερματισμό, την ασύμμετρη κρυπτογραφία και τη συμφωνία κλειδιού. Αντί να παρουσιάζεται ένα σε βάθος μαθηματικό υπόβαθρο, αυτά τα στοιχεία συζητούνται από την οπτική γωνία ενός προγραμματιστή, δείχνοντας τυπικά παραδείγματα περιπτώσεων χρήσης και πρακτικές εκτιμήσεις που σχετίζονται με τη χρήση κρυπτογράφησης, όπως οι υποδομές δημόσιου κλειδιού. Εισάγονται πρωτόκολλα ασφαλείας σε πολλούς τομείς ασφαλούς επικοινωνίας, με μια εις βάθος συζήτηση για τις πιο ευρέως χρησιμοποιούμενες οικογένειες πρωτοκόλλων όπως το IPSEC και το SSL/TLS.

Συζητούνται τυπικά τρωτά σημεία κρυπτογράφησης που σχετίζονται με ορισμένους αλγόριθμους κρυπτογράφησης και κρυπτογραφικά πρωτόκολλα, όπως BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE και παρόμοια, καθώς και με την επίθεση χρονισμού RSA. Σε κάθε περίπτωση, οι πρακτικές εκτιμήσεις και οι πιθανές συνέπειες περιγράφονται για κάθε πρόβλημα, και πάλι, χωρίς να υπεισέλθω σε βαθιές μαθηματικές λεπτομέρειες.

Τέλος, καθώς η τεχνολογία XML είναι κεντρική για την ανταλλαγή δεδομένων από δικτυωμένες εφαρμογές, περιγράφονται οι πτυχές ασφάλειας του XML. Αυτό περιλαμβάνει τη χρήση του XML εντός των υπηρεσιών ιστού και των μηνυμάτων SOAP παράλληλα με μέτρα προστασίας όπως η υπογραφή XML και η κρυπτογράφηση XML – καθώς και αδυναμίες σε αυτά τα μέτρα προστασίας και συγκεκριμένα ζητήματα ασφαλείας για το XML, όπως XML ένεση, XML επιθέσεις εξωτερικής οντότητας (XXE), XML βόμβες και XPath έγχυση.

Οι συμμετέχοντες που θα παρακολουθήσουν αυτό το μάθημα θα

• Κατανόηση βασικών εννοιών ασφάλειας, ασφάλειας πληροφορικής και ασφαλούς κωδικοποίησης
• Κατανοήστε τις απαιτήσεις της ασφαλούς επικοινωνίας
• Μάθετε για τις επιθέσεις και τις άμυνες δικτύου σε διαφορετικά επίπεδα OSI
• Να έχουν πρακτική κατανόηση της κρυπτογραφίας
• Κατανοήστε βασικά πρωτόκολλα ασφαλείας
• Κατανοήστε ορισμένες πρόσφατες επιθέσεις κατά κρυπτοσυστημάτων
• Λάβετε πληροφορίες σχετικά με ορισμένες πρόσφατες σχετικές ευπάθειες
• Κατανοήστε τις έννοιες ασφάλειας των υπηρεσιών Ιστού
• Λάβετε πηγές και περαιτέρω αναγνώσεις σχετικά με πρακτικές ασφαλούς κωδικοποίησης

Ακροατήριο

Προγραμματιστές, Επαγγελματίες

Αυτή η τριήμερη εκπαίδευση καλύπτει τα βασικά στοιχεία της προστασίας του κώδικα C/C++ από κακονοείντες χρήστες που μπορούν να εκμεταλλευτούν πολλές αδυναμίες του κώδικα σχετικά με τη διαχείριση μνήμης και τη χειρισμό εισόδου. Η εκπαίδευση καλύπτει τα βασικά αρχές της γραφής σε έναν ασφαλή κώδικα.

Ακόμη και οι εμπειροί πrogrammatistes Java δεν μαστερίζουν απαραιτήτως όλες τις διάφορες υπηρεσίες ασφάλειας που προσφέρει η Java, και επίσης δεν είναι ευαισθητοποιημένοι σχετικά με τις διάφορες πωλήματες ασφάλειας που είναι σημαντικές για οικοδοχήσεις web γραμμένες σε Java.

Το μάθημα – εκτός από την παρουσίαση των υπηρεσιών ασφάλειας της έκδοσης Standard Java – ασχολείται με ζητήματα ασφάλειας της Έκδοσης Επιχείρησης Java (JEE) και των web υπηρεσιών. Η συζήτηση για συγκεκριμένες υπηρεσίες προηγείται από τα βασικά θεμελίωματα της κρυπτογράφησης και της ασφαλούς επικοινωνίας. Διάφορα άσκημα ασχολούνται με διακηρυκτικές και προγραμματικές τεχνικές ασφάλειας στη JEE, ενώ συζητείται η ασφάλεια σε διαθέτη υποδομή και η τερματική ασφάλεια των web υπηρεσιών. Η χρήση όλων των συστατικών παρουσιάζεται μέσα από διάφορα πρακτικά άσκημα, όπου οι συμμετέχοντες μπορούν να δοκιμάσουν τις εξεταζόμενες APIs και εργαλεία ασφάλειας.

Το μάθημα επίσης περιέχει και εξηγεί τα συχνότερα και σοβαρότερα λαθή πrogrammation της γλώσσας Java και του πλατφόρματός της, καθώς και υποθέσεις σχετικά με την ασφάλεια web. Εκτός από τα τυπικά λάθη που διαπιστώνουν οι πrogrammatistes Java, τα παρουσιαζόμενα ζητήματα ασφάλειας καλύπτουν επίσης προβλήματα συγκεκριμένων γλωσσών και θέματα προέλευσης από το runtime environment. Όλα τα ζητήματα ασφάλειας και οι σχετικοί επιθέσεις δείχνονται μέσω κατανοητών άσκησεων, ακολουθούμενες από τους συστήματες πrogrammation καίρια για την ασφάλεια και τις δυνατές τεχνικές μείωσης.

Οι συμμετέχοντες που συμμετέχουν σε αυτό το μάθημα θα

• Καταλάβουν βασικά συμπτώματα ασφάλειας, IT ασφάλειας και της ασφαλούς πrogrammation
• Μαθήσουν ζητήματα ασφάλειας web πέρα από OWASP Top Ten και γνωρίζουν πώς να τα αποφύγουν
• Καταλάβουν συμπτώματα ασφάλειας υπηρεσιών web
• Μαθήσουν να χρησιμοποιούν διάφορα συστήματα ασφάλειας του περιβάλλοντος πrogrammation Java
• Έχουν πρακτική κατανόηση για την κρυπτογράφηση
• Καταλάβουν τα συμπτώματα ασφάλειας Java EE
• Μαθήσουν για τα κοινά λάθη πrogrammation και πώς να τα αποφύγουν
• Θα λάβουν πληροφορίες για πρόσφατα ζητήματα ασφάλειας στο πλαίσιο Java
• Θα κατακτήσουν πρακτική γνώση στη χρήση εργαλείων δοκιμασίας ασφάλειας
• Θα λάβουν πηγές και περαιτέρω αναγνώσιμα σχετικά με την ασφαλή πrogrammation

Ακούσια Αυτοδίδακτοι

Πrogrammatistes

Περιγραφή

Η γλώσσα Java και το Runtime Environment (JRE) σχεδιάστηκαν ώστε να είναι απόλυτα ελεύθερες από τις πιο δραματικές κοινές προβλήματα ασφάλειας που εμφανίζονται σε άλλες γλώσσες, όπως το C/C++. Ωστόσο, οι λογισμικοί προγραμματιστές και αρχιτέκτονες δεν θα πρέπει μόνο να γνωρίζουν πώς να χρησιμοποιούν τις διάφορες λειτουργίες ασφάλειας του περιβάλλοντος Java (θετική ασφάλεια), αλλά και να είναι ευαισθημένοι για τις αρκετές αδυναμίες που εξακολουθούν να έχουν σημασία για την ανάπτυξη Java (αρνητική ασφάλεια).

Η παρουσίαση υπηρεσιών ασφάλειας είναι προηγούμενη με ένα σύντομο ολοκληρωμένο των βασικών κανόνων της κρυπτογράφησης, παρέχοντας μια κοινή βάση για να καταλαβεί το σκοπό και τη λειτουργία των εφαρμοσμένων συστάδων. Η χρήση αυτών των συστάδων παρουσιάζεται μέσω πολλών πρακτικών εξασκήσεων, όπου οι συμμετέχοντες μπορούν να δοκιμάσουν τις συζητημένες APIs για τον εαυτό τους.

Το μάθημα οδηγεί επίσης από διαδρομή και εξηγεί τα πιο συχνά και ακριβώς κρίσιμα λαθηματικά προγραμματισμού της γλώσσας Java και του περιβάλλοντός, καλύπτοντας και τα κλασικά λάθη που διαπιστώνονται από τους Java προγραμματιστές και τις γλωσσικές και περιβαλλοντικές ιδιαιτερότητες. Όλες οι αδυναμίες και οι σχετικές επιθέσεις δείχνονται μέσω ασκήσεων που είναι εύκολες να κατανοηθούν, ακολουθούμενες από τις συστάσεις για κώδικα και τις πιθανές μεθόδους μείωσης.

Οι συμμετέχοντες που επιλέγουν αυτό το μάθημα θα

• Κατανοήσουν τα βασικά σύμφωνα για την ασφάλεια, την ασφάλεια IT και την ορθή προγραμματισμό
• Μάθουν για ιστού λαθών πέρα από OWASP Top Ten και θα είναι σε θέση να τα φυλάξουν
• Θα μάθουν να χρησιμοποιούν διάφορες λειτουργίες ασφάλειας του περιβάλλοντός Java
• Θα έχουν πρακτική κατανόηση για την κρυπτογράφηση
• Θα μάθουν για τα συμβαίνοντα λάθη προγραμματισμού και πώς να τα φυλάξουν
• Θα ενημερωθούν για τις πιο πρόσφατες αδυναμίες στο πλαίσιο Java
• Θα λάβουν πηγές και επιπλέον διαβαστικό υλικό για τις πρακτικές ορθού προγραμματισμού

Ακροατήριο

Προγραμματιστές

Ορισμένες γλώσσες προγραμματισμού είναι διαθέσιμες σήμερα για να μεταγλωττίσετε κώδικα σε .NET και ASP.NET πλαίσια. Το περιβάλλον παρέχει ισχυρά μέσα για την ανάπτυξη της ασφάλειας, αλλά οι προγραμματιστές θα πρέπει να γνωρίζουν πώς να εφαρμόζουν τις τεχνικές προγραμματισμού σε επίπεδο αρχιτεκτονικής και κωδικοποίησης, προκειμένου να εφαρμόσουν την επιθυμητή λειτουργικότητα ασφαλείας και να αποφύγουν τις τρωτές λειτουργίες ή να περιορίσουν την εκμετάλλευσή τους.

Ο στόχος αυτού του μαθήματος είναι να διδάξει στους προγραμματιστές μέσω πολυάριθμων πρακτικών ασκήσεων πώς να αποτρέψει την εμπιστοσύνη του κώδικα από την εκτέλεση προνομιούχων ενεργειών, την προστασία των πόρων μέσω ισχυρής πιστοποίησης και εξουσιοδότησης, την παροχή τηλεφωνικών κλήσεων, τη διαχείριση περιόδων λειτουργίας, περισσότερο.

Η εισαγωγή διαφορετικών τρωτών σημείων ξεκινά με την παρουσίαση κάποιων χαρακτηριστικών προβλημάτων προγραμματισμού τα οποία διαπράττονται κατά τη χρήση του .NET, ενώ η συζήτηση για τα τρωτά σημεία του ASP.NET ασχολείται επίσης με διάφορες περιβαλλοντικές ρυθμίσεις και τα αποτελέσματά τους. Τέλος, το θέμα των τρωτών σημείων που σχετίζονται με το ASP.NET δεν ασχολείται μόνο με ορισμένες γενικές προκλήσεις ασφάλειας για εφαρμογές ιστού, αλλά και με ειδικά θέματα και μεθόδους επίθεσης, όπως επίθεση στο ViewState ή επιθέσεις τερματισμού συμβολοσειρών.

Οι συμμετέχοντες που παρακολουθούν αυτό το μάθημα θα το κάνουν

• Κατανοήστε τις βασικές έννοιες της ασφάλειας, της ασφάλειας πληροφορικής και της ασφαλούς κωδικοποίησης
• Μάθετε τα τρωτά σημεία του Web πέρα από το OWASP Top Ten και ξέρετε πώς να τα αποφύγετε
• Μάθετε να χρησιμοποιείτε διάφορες λειτουργίες ασφαλείας του περιβάλλοντος ανάπτυξης .NET
• Λάβετε πρακτικές γνώσεις σχετικά με τη χρήση εργαλείων ελέγχου της ασφάλειας
• Μάθετε για τα τυπικά σφάλματα κωδικοποίησης και πώς να τα αποφύγετε
• Λάβετε πληροφορίες σχετικά με ορισμένες πρόσφατες ευπάθειες στο .NET και το ASP.NET
• Λάβετε πηγές και περαιτέρω αναγνώσεις σε ασφαλείς πρακτικές κωδικοποίησης

Κοινό

Προγραμματιστές

Το μάθημα εισάγει σε κάποια βασικά συνόρα ασφάλειας, δίνει μια περιγραφή του χαρακτήρα των εξιλώσεων οποιαδήποτε γλώσσας προγραμματισμού και πλατφόρμας, και εξηγεί πώς να αντιμετωπίζουμε τους κινδύνους που ισχύουν σχετικά με την ασφάλεια λογισμικού σε όλες τις φάσεις του κυκλοθόρητη ανάπτυξης λογισμικού. Χωρίς να προβαίνουμε σε βαθύτερες τεχνικές λεπτομέρειες, φαρμάρει κάποιες από τις πιο ενδιαφέρουσες και πιο πυρηνικές εξιλώσεις σε διάφορες τεχνολογίες ανάπτυξης λογισμικού, και παρουσιάζει τις πρόκλησης της δοκιμής ασφάλειας, μαζί με κάποιες τεχνικές και εργαλεία που μπορεί καθένας να εφαρμόσει για να βρει όποια υπάρχουν προβλήματα στο κώδικα του.

Οι συμμετέχοντες που επισκέπτονται αυτό το μάθημα θα

• Συνιούν βασικά σύνορα ασφάλειας, IT ασφάλεια και ασφαλή προγραμματισμό
• Συνιούν εξιλώσεις Web και με τον server και με το client side
• Υπογραμμίζουν τις ακραίες συνέπειες της ασφαλής διαχείρισης buffers
• Είναι πληροφορημένοι για κάποιες πρόσφατες εξιλώσεις σε αναπτυκτικά περιβάλω και frameworks
• Μάθουν για τυπικούς λάθους εγγραφής και πώς να τα αποφύγετε
• Συνιούν προσεγγίσεις δοκιμής ασφάλειας και μεθοδολογίες

Δημόσιο

Διευθυντές

To μάθημα προσφέρει απαραίτητες δεξιότητες για PHP προγραμματιστές απαραίτητες για να κάνουν τις εφαρμογές τους ανθистατικές σε σύγχρονες επιθέσεις μέσω του διαδικτύου. Τα web κίνδυνα συζητούνται μέσω παραδειγμάτων βασισμένων στο PHP, πηγάζοντας από τα δέκα κορυφαία OWASP, επιτέλουν διάφορες επιθέσεις ένταξης, επιθέσεις σεναρίων, επιθέσεις κατά της διαχείρισης συνεδριών PHP, αναπήρειες άμεσων αναφορών αντικειμένων, θέματα με την κατανόηση αρχείων, και πολλά άλλα. Τα κίνδυνα σχετικά με το PHP εισάγονται ομαδοποιημένα στους κανονικούς τύπους κινδύνων, όπως η απώλεια ή εσφαλμένη επαλήθευση εισόδου, λανθασμένη διαχείριση λαθών και εξαίρεσεων, η εσφαλμένη χρήση ασφαλιστικών προϊόντων και τα προβλήματα σχετικά με την ώρα και την κατάσταση. Για αυτό, συζητούμε επιθέσεις όπως η παραίτηση open_basedir, απόβολη-διακοπή μέσω magic float ή την επίθεση σύγκρουσης hash table. Σε όλες τις περιπτώσεις, οι συμμετέχοντες θα γίνονται γνωστοί με τις πιο σημαντικές τεχνικές και λειτουργίες που θα χρησιμοποιήσουν για να αντιμετωπίσουν τα εξαιρετικά κινδύνων.

Ένα ειδικό βάρος δίδεται στην ασφάλεια πλευράς-πελάτη, εξετάζοντας τα ζητήματα ασφαλείας του JavaScript, Ajax και HTML5. Παρουσιάζονται μια σειρά από ασφαλειακές επεκτάσεις PHP όπως hash, mcrypt και OpenSSL για την κρυπτογράφηση, ή Ctype, ext/filter και HTML Purifier για επαλήθευση εισόδου. Οι καλύτερες πρακτικές σκληροποίησης δίνονται με σχέση με την ρύθμιση PHP (setting php.ini), Apache και του διακομιστή. Τέλος, δίδεται μια γενική εικόνα σε διάφορα ασφαλειακά εργαλεία και τεχνικές που οι προγραμματιστές και οι δοκιμαστές μπορούν να χρησιμοποιήσουν, συμπεριλαμβανομένων των ασφαλειακών σανίδων, επίθεσης και εκμετάλλευσης πακέτων, διαχύνατρων, ιδιοκτήτης διακομιστών, εργαλείων βέβαιου αποσκόπησης και στατικών αναλυτών πηγαίου κώδικα.

Η εισαγωγή των κινδύνων και οι πρακτικές ρύθμισης υποστηρίζονται από μια σειρά διευθυνόμενων εργασιών που δείχνουν τα αποτελέσματα επιτυχημένων επιθέσεων, υποδεικνύουν πώς να εφαρμοστούν τεχνικές αντιμετώπισης και ξεκινούν τη χρήση διάφορων επεκτάσεων και εργαλείων.

Οι συμμετέχοντες που συμμετέχουν σε αυτό το μάθημα θα

• Κατανοήσουν βασικά επιστημονικά όρια ασφαλείας, IT ασφαλείας και άμειρας κώδικα
• Μεταθέσουν Web κινδύνων πέρα από το OWASP Top Ten και θα γνωρίζουν πώς να τα εξαλείψουν
• Μεταθέσουν πλευρά-πελάτης κινδύνων και άμειρας κώδικα
• Έχουν βασική κατανόηση της κρυπτογράφησης
• Μεταθέσουν χρησιμοποίηση διάφορων ασφαλειακών προϊόντων του PHP
• Μεταθέσουν συνήθεις λάθη κώδικα και πώς να τα εξαλείψουν
• Ενημερωθούν για πρόσφατους κινδύνους στο PHP framework
• Θα έχουν πρακτική γνώση χρήσης ασφαλειακών εργαλείων δοκιμής
• Ενημερωθούν για πηγές και περαιτέρω μάθηση σχετικά με την άμειρα κώδικα

Δυστυχία

Προγραμματιστές

Η ενιαία κατάρτιση σε SDL core παρέχει ένα επικεφαλίδα για τον συμβιβασμό μεταξύ ασφαλούς σχεδιασμού, ανάπτυξης και δοκιμής λογισμικού μέσω του Microsoft Secure Development Lifecycle (SDL). Παρέχει ένα επίπεδο 100 περιοχή αφορμή για τους βασικούς κτιριακούς στοιχεία του SDL, ακολουθούμενη από διαδικασίες σχεδιασμού που μπορούν να εφαρμοστούν για την κατάληψη και τη διόρθωση αδυναμιών σε πρώιμες φάσεις του προγράμματος ανάπτυξης.

Σχετικά με τη φάση ανάπτυξης, η κατάρτιση δίνει ένα επισκόπηση των συνηθισμένων προβλήματων που σχετίζονται με την ασφάλεια κατά την προγραμματισμό τόσο κωδικού διαχείρισης όσο και ενδυναμωμένου. Απαιτούνται μέθοδοι επίθεσης για τις αδυναμίες που συζητούνται, καθώς και οι σχετικές τεχνικές μεταβολής, όλες εξηγούνται δια μέσου πρακτικών ασκήσεων που παρέχουν άμεση πρόσβαση στη βιωμική επίθεση για τους μετέχοντες. Η παρουσίαση διαφορετικών μεθόδων ασφάλειας δοκιμής επιβεβαιώνεται με την εξέταση της αποδοτικότητας ποικίλων εργαλείων δοκιμής. Οι συμμετέχοντες μπορούν να κατανοήσουν τη λειτουργία αυτών των εργαλείων δια πρακτικές ασκήσεις, εφαρμόζοντάς τα σε ήδη συζητημένο ασφαλώς και ευάλωτο λογισμικό.

Οι μετέχοντες που παρείστανται σε αυτή τη διαδικασία θα

Κατανοήσουν βασικά επιπέδων ασφάλειας, IT ασφάλειας και ασφαλούς προγραμματισμού

Θα γίνουν γνωστοί με τα θεμελιώδη βήματα του Microsoft Secure Development Lifecycle

Θα αποκτήσουν γνώση σχετικά με τις πρακτικές ασφαλούς σχεδιασμού και ανάπτυξης

Θα μάθουν για τις αρχές της ασφαλούς εφαρμογής

Κατανοήσουν την μεθοδολογία της ασφάλειας δοκιμής

• Θα έχουν πρόσβαση σε πηγές και επιπλέον μελέτη για τις ασφάλειας πρακτικές

Ακροατήριο

Διαμόρφωση, Διαχειριστές

Μετά την εξοικείωση με τους κινδύνους και τους τρόπους επίθεσης, οι συμμετέχοντες μαθαίνουν για τη γενική προσέγγιση και την μεθοδολογία των δοκιμών ασφάλειας, καθώς και για τους τεχνικούς τρόπους που μπορούν να εφαρμοστούν για να αποκαλυφθούν συγκεκριμένοι κίνδυνοι. Οι δοκιμές ασφάλειας πρέπει να ξεκινήσουν με τη συστηματική συγκέντρωση πληροφοριών για το σύστημα (ToC, δηλαδή Target of Evaluation), και η λεπτομερής μοντελοποίηση απειλών πρέπει να αποκαλύψει και να χαρακτηρίσει όλες τις απειλές, φθάνοντας στο πιό κατάλληλο πλάνο δοκιμών οδηγούμενο από την ανάλυση ρίσκου.

Η εξέταση ασφάλειας μπορεί να γίνει σε διάφορα βήματα του κύκλου ζωής λογισμικού (SDLC) και, επομένως, συζητάμε για αξιολόγηση σχεδίασης, εξέταση κώδικα, προσκομή και συγκέντρωση πληροφοριών για το σύστημα, δοκιμή της εφαρμογής και της έκδοσης του λογισμικού και δοκιμή και ανάληψη μέτρων για ασφαλή εγκαίνιο. Παρουσιάζονται πολλές τεχνικές δοκιμών ασφάλειας με λεπτομέρειες, όπως η ανάλυση καταμάρτυρης (taint analysis) και η εξέταση κώδικα βασισμένη σε εργονομική (heuristics-based), η ατυχής ανάλυση κώδικα, η δυναμική δοκιμή των κινδύνων του web ή το fuzzing. Παρουσιάζονται περίπους τύποι εργαλείων που μπορούν να χρησιμοποιηθούν για να αυτοματοποιηθεί η εξέταση ασφάλειας των προϊόντων λογισμικού, κάτι που υποστηρίζεται επίσης από μια σειρά άσκησεων, όπου εκτελούμε αυτά τα εργαλεία για να αναλύσουμε τον κώδικα που έχει ήδη συζητηθεί. Πολλές πραγματικές περιπτώσεις υποστηρίζουν καλύτερη κατανόηση των διάφορων κινδύνων.

Αυτή η εκπαίδευση προετοιμάζει τους υπαλλήλους δοκιμών και QA να σχεδιάσουν αποτελεσματικά και να εκτελέσουν με ακρίβεια τις δοκιμές ασφάλειας, να επιλέξουν και να χρησιμοποιήσουν τα πιο κατάλληλα εργαλεία και τεχνικές για να βρουν ακόμη και κρυφές σφάλματα ασφάλειας, και έτσι δίνει βασικές πρακτικές δεξιότητες που μπορούν να εφαρμοστούν από την πρώτη ημέρα εργασίας.

Οι συμμετέχοντες που ακολουθούν αυτή την εκπαίδευση θα

• Κατανοήσουν βασικά συμπέρασματα για ασφάλεια, IT ασφάλεια και ασφαλή προγραμματισμό
• Μαθαίνουν τα κινδύνων των web εκτός της OWASP Top Ten και θα γνωρίζουν πώς να τα αποφευχθούν
• Μαθαίνουν τους κινδύνους εκτός από την πλευρά του χρήστη και τους σχετικούς τρόπους ασφαλούς προγραμματισμού
• Κατανοώντας τους τρόπους δοκιμών και μεθοδολογίες ασφάλειας
• Αποκτούν πρακτική γνώση στη χρήση των δοκιμών και εργαλείων ασφάλειας
• Αποκτούν πηγές και περαιτέρω ανάγνωση σχετικά με τους τρόπους ασφαλούς προγραμματισμού

Ακροατήριο

Προγραμματιστές, Υπευθύνους δοκιμών

Η προστασία των εφαρμογών που είναι προσβάσιμες μέσω του διαδικτύου απαιτεί καλοεquipπαρμένους ειδικούς σε ασφάλεια, οι οποίοι να γνωρίζουν τα τρέχοντα μέθοδους και τRENDS επίθεσης. Υπάρχουν πλήθος τεχνολογιών και περιβαλλόντων που διευκολύνουν την ανάπτυξη εφαρμογών διαδικτύου. Εκτός από τη γνώση των ζητημάτων ασφάλειας που σχετίζονται με αυτές τις πλατφόρμες, θα πρέπει να γνωρίζει και όλες τις γενικές ευθυγράμμισης που εφαρμόζονται ανεξάρτητα από τα εργαλεία ανάπτυξης.

Το μάθημα δίνει ένα γενικό ολιστικό που αφορά στις εφαρμογές ασφάλειας στις εφαρμογές διαδικτύου, με εξαιρετική έμφαση στην κατανόηση των πιο σημαντικών κρυπτογραφικών λύσεων που πρέπει να εφαρμοστούν. Οι διάφορες αδυναμίες των εφαρμογών διαδικτύου παρουσιάζονται και στο διακομιστή (ακολουθώντας τη λίστα OWASP Top Ten) και στον επεξεργαστή, μέσω των αντίστοιχων επιθέσεων, και ακολουθούμενες από τις προτεινόμενες τεχνικές κώδικα και τους μέθοδους διάσωσης για να εξαλείψουν τα συνδυαζόμενα προβλήματα. Το θέμα του ασφαλούς κώδικα ολοκληρώνεται με συζήτηση επί των τυπικών λάθων προγραμματισμού που αφορούν την επαλήθευση εισόδου, την άρχων χρήση των λειτουργιών ασφάλειας και την ποιότητα του κώδικα.

Η δοκιμασία έχει μεγάλη σημασία για να εξασφαλιστεί η ασφάλεια και το ρωβόστ των εφαρμογών διαδικτύου. Διάφορες προσεγγίσεις – από την άυψη εποπτεία μέχρι την εισβολή συμπεριφορά και την ηθική πειρατεία – μπορούν να απλωθούν για να βρουν αδυναμίες διάφορων ειδών. Ωστόσο, αν θέλετε να πάρετε μπροστά από τα εύκολα για να βρεθούν και χαμηλή καρποφορία, η δοκιμασία ασφάλειας πρέπει να σχεδιαστεί καλά και να εκτελεστεί κατάλληλα. Ξυμούργησε: οι δοκιμαστές ασφάλειας θα πρέπει να βρουν όλα τα λάθη και για να προστατεύσει ένα σύστημα, ενώ για τους αντίπαλους είναι αρκετό να βρουν μια εξευτελίζων καρδιοφυλάκηση προσβολή για να διεκδικήσουν το.

Πρακτικές εξασκήσεις θα βοηθήσουν στην κατανόηση των αδυναμιών των εφαρμογών διαδικτύου, προγραμματισμού λάθη και ιδίως τους μέθοδους πρόληψης, σε συνδυασμό με εκπειρήματα χειρονομίας για διάφορα εργαλεία δοκιμασίας από τους σαρωτές ασφάλειας, μέχρι σκυθρωποί, διαμεσολαβητές διακομιστές, εργαλεία fuzzer και αναλυτές κώδικα πηγή σε ηρεμία, αυτό το μάθημα δίνει τα βασικά πρακτικά δεξιότητες που μπορούν να εφαρμοστούν από όλη την ημέρα στην εργασία.

Οι συμμετέχοντες που συμμετέχουν σε αυτό το μάθημα θα

• Κατανοήσουν τα βασικά εννοιών της ασφάλειας, της IT ασφάλειας και του ασφαλούς κώδικα
• Μαθήσουν Τρεχόντων αδυναμιών διαδικτύου πέρα από τη λίστα OWASP Top Ten και να γνωρίζουν πώς να το εξαλείψουν
• Μαθήσουν Τυχερά αδυναμιών στην πλευρά του πελάτη και τα μέθοδους ασφαλούς κώδικα
• Έχουν πρακτική κατανόηση της κρυπτογραφίας
• Κατανοήσουν τα προσεγγίσεις δοκιμασίας ασφάλειας και μεθόδων
• Θα λάβουν πρακτική γνώση στη χρήση τεχνικών δοκιμασίας ασφάλειας και εργαλείων
• Θα ενημερωθούν για πρόσφατες αδυναμίες σε διάφορα πλατφόρμες, κατασκευαστές και βιβλιοθήκες
• Θα λάβουν πηγές και περαιτέρω αναγνώσματα στις μεθόδους του ασφαλούς κώδικα

Αυτή είναι η Αυτοκρατορία

Προγραμματιστές, Δοκιμαστές

Σε αυτό το κεφαλαικά καθοδηγούμενο, ζωντανό μάθημα σε Ελλάδα, οι συμμετέχοντες θα μάθουν πώς να διαμορφώσουν την κατάλληλη στρατηγική ασφάλειας για να αντιμετωπίσουν το πρόβλημα της ασφάλειας DevOps.

Αυτή η Μάθηση στο Ελλάδα όριζε να βοηθήσει στο εξής:

1. Να βοηθήσει τους Προγραμματιστές να κυριάρτησουν τις τεχνικές γραφής Ασφαλού Κώδικα
2. Να βοηθήσει τους Δοκιμαστές λογισμικού να δοκιμάσουν την ασφάλεια της εφαρμογής πριν τη δημοσίευσή της στο περιβάλλον παραγωγής
3. Να βοηθήσει τους Αρχιτέκτονες λογισμικού να καταλάβουν τις επιθετικές κινήσεις που περιβάλλουν τις εφαρμογές
4. Να βοηθήσει τους ηγέτες ομάδων να καθορίσουν τις ασφαλειακές πρότυπα για τους προγραμματιστές
5. Να βοηθήσει τους Αδελφούς του Δικτύου να ρυθμίσουν τα Server για να αποφύγουν λάθος κατασκευές

Αυτό το μάθημα καλύπτει τα συνцепτά ασφαλούς κώδικα και τους κανόνες με Java, μέσω της μεθοδολογίας δοκιμής Open Web Application Security Project (OWASP). Το Open Web Application Security Project είναι μια διαδικτυακή κοινότητα που δημιουργεί ελεύθερα διαθέσιμα άρθρα, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες στο πεδίο της ασφάλειας διαδικτυακών εφαρμογών.

Αυτό το μάθημα κάλυπτει τους αρχές και τα ιδιωτήρια σύγχρονης προγραμματισμού με ASP.net, μέσω της μεθοδολογίας εξέτασης Open Web Application Security Project (OWASP). Το OWASP είναι μια διαδικτυακή κοινότητα που δημιουργεί υλικά, μεθοδολογίες, τεκμηρίωση, εργαλεία και τεχνολογίες από τον τομέα της ασφάλειας διαδικτυακών εφαρμογών, που είναι δωρεάν και διαθέσιμα σε όλους. 

Αυτό το μάθημα εξερευνά τις λειτουργίες ασφαλείας του Dot Net Framework και πώς να ασφαλίσεις διαδικτυακές εφαρμογές.