Szkolenia IT • Kursy Komputerowe • Szkolenia
Transkrypt
Szkolenia IT • Kursy Komputerowe • Szkolenia
Rozszerzone bezpieczeństwo aplikacji webowych Who should attend Szkolenie skierowane do programistów posiadających doświadczenie w programowaniu webowych w JEE, chcących poszerzyć swoje umiejętności związane z atakowaniem i zabezpieczaniem tych aplikacji. Przy grupach zamkniętych, na życzenie klienta jest możliwość przeprowadzenie zajęć w wariancie.NET. Course outline 1. Podstawowe informacje na temat bezpieczeństwa Podstawowe pojęcia związane z bezpieczeństwem Kwestie odpowiedzialności karnej w Polsce Funkcje bezpieczeństwa (poufność, niezaprzeczalność, ...) a mechanizmy bezpieczeństwa (uwierzytelnianie, autoryzacja, ...) Modele bezpieczeństwa i bazy wiedzy (STRIDE, OWASP, CVE, CWE, ...) 2. Bezpieczeństwo aplikacji WWW Omówienie protokołu HTTP - metody, nagłówki, sesja, kody odpowiedzi, ciasteczka Zagrożenia związane z przejęciem sesji HTTP - kradzież sesji i jej warianty (fixation, adoption, poisoning, ...), obrona Ataki XSS, HRS, manipulacja protokołem HTTP - warianty XSS (reflected, stored, ...), HTTP Response Splitting, ograniczenia, obrona Fałszowanie żądań HTTP - XSRF/CSRF, Same Origin Policy, Cross-Origin Resource Sharing, JSONP Wstrzyknięcia kodu - warianty (SQL, CODE, XPATH, LDAP, blind, timing, ...), obrona Forcefull browsing, Path Traversal Directory listing Google Hacking Tabnabbing Clickjacking Ataki na logowanie, CAPTCHA, uwierzytelnianie z wykorzystaniem kluczy publicznych (PKI, X.509, 1waySSL, 2waySSL, ...) Ataki na mechanizmy kontenerów aplikacyjnych, SSL/TLS i podstawy kryptografii (PKI, klucze pub/prv, ...) 3. Dobre praktyki Testy penetracyjne, fuzzing, black box testing Code review i audyty, statyczna analiza kodu 4. Bezpieczeństwo kodu aplikacji Dobre i złe praktyki programistyczne Bezpieczny kod źródłowy Frameworki i modele bezpieczeństwa tj SOLID Inżynieria odwrotna kodu - dekompilacja i disassemblacja Zaciemnianie kodu Podpisywanie kodu 5. Rootkity Rootkity trwałe (np.: modyfikacja bibliotek .NET Framework / JDK) i nietrwałe (np.: wykorzystanie podatności WinAPI / POSIX API) Architektura współczesnych systemów operacyjnych, modele jądra OS (mikrojądro, hybrydowe, ...) Rootkity na poziomie OS w userspace i kernelspace Course Advantages Copyright © Altkom Akademia S.A. • Infolinia 801 25 85 66 • www.altkomakademia.pl 1/2 Poznasz techniki i narzędzia służące do wykonywania ataków na aplikacje WWW. Poznasz techniki i narzędzia służące do realizacji testów penetracyjnych. Dowiesz się jakie są najpopularniejsze ataki i w jaki sposób można zabezpieczyć aplikacje webowe przed nimi. Assumed participants knowledge level Minimum dwunastomiesięczne doświadczenie w programowaniu w języku zorientowanym obiektowo (JAVA ) i w programowaniu aplikacji WWW. Course delivery method Code WEB_02 Duration Workshops Lecture 4 dni / 28 h Level Advanced Authorization Copyright © Altkom Akademia S.A. • Infolinia 801 25 85 66 • www.altkomakademia.pl 2/2