Tytuł szkolenia: Ochrona danych i zabezpieczanie przed
Transkrypt
Tytuł szkolenia: Ochrona danych i zabezpieczanie przed
Tytuł szkolenia: Ochrona danych i zabezpieczanie przed atakami z wykorzystaniem frameworka Spring Security w odniesieniu do OWASP TOP 10 Kod szkolenia: J-SPR-SECURITY Wprowadzenie Two r z enie aplikacji web o wy ch s am o w s o b ie nie jes t s z tuką łatwą , po nieważ tr z eb a uwz ględnić takie cz y nniki jak : wy dajno ś ć, s kalo walno ś ć, ko ns er wację cz y b ez piecz eńs two dany ch. Każdy z po wy żs z y ch as pektó w m o że wy dać s ię ważniejs z y niż dr ugi. N ie ulega żadnej wątpliwo ś ci, że jako ko ńco wy uży tko wnik chciałb y ś m ieć pewno ś ć, że Two je dane pr z echo wy wane w dany m s er wis ie b ędą b ez piecz ne i o dpo r ne na ws z elkie m o żliwe ataki cz y m anipulacje. W y s tawienie aplikacji web o wej na dla s z er o kiego gr o na o db io r ó w w glo b alnej s ieci inter neto wej b ez o dpo wiedniej o chr o ny to jawne pr o s z enie s ię o kło po ty. O cz y wiś cie więks z o ś ć takich aplikacji m us i pr z ejś ć s z cz egó ło wy o r az do kładny audy t b ez piecz eńs twa, ale war to wiedz ieć na jakie pr o b lem y i ataki jes t nar ażo na Two ja aplikacja o r az co m o żna r o b ić b y uniem o żliwić intr uz o wi m anipulacją lub kr adz ież ważny dany ch. Spr ing Secur ity to s pecjalis ty cz ny fr am ewo r k , któ r y po z wala na o chr o nę Two jej aplikacji pr z ed dz ies ięcio m a z nany m i z agr o żeniam i z awar ty m i w O WASP To p Ten. Z apewnia o n deklar aty wne b ez piecz eńs two z ar ó wno w war s twie wy wo łań s iecio wy ch jak i na po z io m ie wy wo łania m eto d b iz nes o wy ch. Decy dując s ię na wy b ó r r o z wiąz ania o par tego na Spr ing Secur ity o tr z y m ujes z w z am ian : elastycz ność wsz echstronność metod autoryz acji i autentykacji z abez piecz enie prz ed atakami OWASP prz enośność roz wiąz aniach dojrz ałość pewność integrację z różnymi protokołami i roz wiąz aniami jak : OpenID OAuth SSO JASS , etc Is tnieje też inna dr o ga, m iano wicie wy b ó r innego r o z wiąz ania lub s am o dz ielna im plem entacja b ez piecz eńs twa w o b r ęb ie danej aplikacji. Z pr akty ki jednak po ws z echnie wiado m o taka decy z ja o z nacz a więks z y ko s z t całko wity pr o jektu z uwagi na ko s z to wne tes ty i m o żliwo ś ć po z o s tawienia jakiś luk b ez piecz eńs twa. Po pr awne z as to s o wanie Spr ing Secur ity gwar antuje s z cz elno ś ć Two jej aplikacji i niez awo dno ś ć po par tą ty s iącam i wdr o żeń pr o dukcy jny ch na cały m ś wiecie. Spr ing Secur ity to do s ko nały s pr z y m ier z eniec dlatego z aws z e war to go m ieć po s wo jej s tr o nie. Adresaci szkolenia Adr es atam i s z ko lenia s ą pr o gr am iś ci Jav a pr agnący do głęb nie po z nać fr am ewo r k Spr ing Secur ity o r az z z as ady two r z enia b ez piecz ny ch aplikacji. Po dcz as s z ko lenia o m ó wim y s o b ie najleps z e pr akty ki o r az po tencjalne pułapki po dcz as two r z enia o pr o gr am o wania wy s o ce o dpo r nego na r ó żnego r o dz aju ataki z pakietu O WASP To p Ten. C o r ó wnież jes t ważne adr es aci do s taną niepo wtar z alną m o żliwo ś ć po s z er z enia s wo jej wiedz y na tem at s am ego Spr inga, Spr ing Secur ity o r az inny ch ważny ch as pektó w b ez piecz eńs twa. Z ało żenia ucz estnik z na jęz yk obiektowy java ucz estnik z na prz ynajmniej podstawy Springa Cel szkolenia C elem s z ko lenia jes t nab y cie pr akty cz ny ch um iejętno ś ci two r z enia b ez piecz ny ch aplikacji z ar ó wno intr aneto wy ch jak i inter neto wy ch. W tr akcie s z ko lenia kur s anci s po tkają s ię z r z ecz y wis ty m i pr o b lem am i o r az po z nają m eto dy i r o z wiąz ania dz ięki któ r y m b ędą m o gli po dejm o wać tr afne decy z je pr o jekto we o r az s pr awie im plem ento wać s wo je r o z wiąz ania, któ r e b az ują na wy żej wy m ienio ny m fr am ewo r ku. N agr o dą b ędz ie pr agm aty z m , efekty wno ś ć i wiedz a na tem at b ez piecz eńs twa i z ab ez piecz ania aplikacji, któ r a nab ędą po s ko ńcz o ny m kur s ie. Vavatech Sp. z o.o., ul. Olesińska 21, 02-548 Warszawa, tel. (+48 22) 845 09 70, fax (+48 22) 213 81 27 e-mail: [email protected], www.vavatech.pl Czas i forma szkolenia 28 godz in (4 dni x 7 godz in), w tym wykłady i warsz taty praktycz ne. Plan szkolenia 1. Wprowadz enie do ogólnego problemu bez piecz eństwa aplikacji 2. Konfiguracja Spring Security oraz integracja z frameworkiem Spring z a pomocą : a. XML b. JavaConfig 3. Omówienie klucz owych pojęć jak : a. autoryz acja b. uwierz ytelnianie c. kontrola dostępu d. integralność danych e. poufność f. niez aprz ecz alność 4. Ochrona prz ed dz iesięcioma atakami OWASP Top Ten 5. Zabez piecz anie URL 'i 6. Zabez piecz anie metod biz nesowych 7. Autoryz acja i autenyykacja w Spring Security baz ując na : a. baz ie danych : ORM lub NoSql b. L DAP c. OpenID d. X509 8. Zabez piecz anie serwisów typu REST 9. Integracja z Apache CXF 10. Omówienie z abez piecz eń warstwy widoku : a. JSP b. Thymeleaf 11. Zastosowanie listy kontroli dostępu cz yli : ACL 12. Zwiększ anie bez piecz eństwa danych poprz ez : a. sz yfrowanie danych b. odpowiednie z abez piecz anie haseł 13. Integracja z Spring Social : a. F acebook b. Twitter 14. Omówienie najlepsz ych praktyk dotycz ących z astosowania Spring Security Vavatech Sp. z o.o., ul. Olesińska 21, 02-548 Warszawa, tel. (+48 22) 845 09 70, fax (+48 22) 213 81 27 e-mail: [email protected], www.vavatech.pl