Tytuł szkolenia: Ochrona danych i zabezpieczanie przed

Tytuł szkolenia: Ochrona danych i zabezpieczanie przed atakami z
wykorzystaniem frameworka Spring Security w odniesieniu do
OWASP TOP 10
Kod szkolenia: J-SPR-SECURITY
Wprowadzenie
Two r z enie aplikacji web o wy ch s am o w s o b ie nie jes t s z tuką łatwą , po nieważ tr z eb a uwz ględnić takie cz y nniki jak :
wy dajno ś ć, s kalo walno ś ć, ko ns er wację cz y b ez piecz eńs two dany ch. Każdy z po wy żs z y ch as pektó w m o że wy dać s ię
ważniejs z y niż dr ugi. N ie ulega żadnej wątpliwo ś ci, że jako ko ńco wy uży tko wnik chciałb y ś m ieć pewno ś ć, że Two je dane
pr z echo wy wane w dany m s er wis ie b ędą b ez piecz ne i o dpo r ne na ws z elkie m o żliwe ataki cz y m anipulacje. W y s tawienie
aplikacji web o wej na dla s z er o kiego gr o na o db io r ó w w glo b alnej s ieci inter neto wej b ez o dpo wiedniej o chr o ny to jawne
pr o s z enie s ię o
kło po ty. O cz y wiś cie więks z o ś ć takich
aplikacji m us i pr z ejś ć
s z cz egó ło wy
o r az
do kładny
audy t
b ez piecz eńs twa, ale war to wiedz ieć na jakie pr o b lem y i ataki jes t nar ażo na Two ja aplikacja o r az co m o żna r o b ić b y
uniem o żliwić intr uz o wi m anipulacją lub kr adz ież ważny dany ch. Spr ing Secur ity to s pecjalis ty cz ny fr am ewo r k , któ r y
po z wala na o chr o nę Two jej aplikacji pr z ed dz ies ięcio m a z nany m i z agr o żeniam i z awar ty m i w O WASP To p Ten. Z apewnia o n
deklar aty wne b ez piecz eńs two z ar ó wno w war s twie wy wo łań s iecio wy ch jak i na po z io m ie wy wo łania m eto d b iz nes o wy ch.
Decy dując s ię na wy b ó r r o z wiąz ania o par tego na Spr ing Secur ity o tr z y m ujes z w z am ian :
elastycz ność
wsz echstronność metod autoryz acji i autentykacji
z abez piecz enie prz ed atakami OWASP
prz enośność roz wiąz aniach
dojrz ałość
pewność
integrację z różnymi protokołami i roz wiąz aniami jak :
OpenID
OAuth
SSO
JASS , etc
Is tnieje też inna dr o ga, m iano wicie wy b ó r innego r o z wiąz ania lub s am o dz ielna im plem entacja b ez piecz eńs twa w o b r ęb ie
danej aplikacji. Z pr akty ki jednak po ws z echnie wiado m o taka decy z ja o z nacz a więks z y ko s z t całko wity pr o jektu z uwagi na
ko s z to wne tes ty i m o żliwo ś ć po z o s tawienia jakiś luk b ez piecz eńs twa. Po pr awne z as to s o wanie Spr ing Secur ity gwar antuje
s z cz elno ś ć Two jej aplikacji i niez awo dno ś ć po par tą ty s iącam i wdr o żeń pr o dukcy jny ch na cały m ś wiecie. Spr ing Secur ity to
do s ko nały s pr z y m ier z eniec dlatego z aws z e war to go m ieć po s wo jej s tr o nie.
Adresaci szkolenia
Adr es atam i s z ko lenia s ą pr o gr am iś ci Jav a pr agnący do głęb nie po z nać fr am ewo r k Spr ing Secur ity o r az z z as ady two r z enia
b ez piecz ny ch aplikacji. Po dcz as s z ko lenia o m ó wim y s o b ie najleps z e pr akty ki o r az po tencjalne pułapki po dcz as two r z enia
o pr o gr am o wania wy s o ce o dpo r nego na r ó żnego r o dz aju ataki z pakietu O WASP To p Ten. C o r ó wnież jes t ważne adr es aci
do s taną niepo wtar z alną m o żliwo ś ć po s z er z enia s wo jej wiedz y na tem at s am ego Spr inga, Spr ing Secur ity o r az inny ch
ważny ch as pektó w b ez piecz eńs twa.
Z ało żenia
ucz estnik z na jęz yk obiektowy java
ucz estnik z na prz ynajmniej podstawy Springa
Cel szkolenia
C elem s z ko lenia jes t nab y cie pr akty cz ny ch um iejętno ś ci two r z enia b ez piecz ny ch aplikacji z ar ó wno intr aneto wy ch jak i
inter neto wy ch. W tr akcie s z ko lenia kur s anci s po tkają s ię z r z ecz y wis ty m i pr o b lem am i o r az po z nają m eto dy i r o z wiąz ania
dz ięki któ r y m b ędą m o gli po dejm o wać tr afne decy z je pr o jekto we o r az s pr awie im plem ento wać s wo je r o z wiąz ania, któ r e
b az ują na wy żej wy m ienio ny m fr am ewo r ku. N agr o dą b ędz ie pr agm aty z m , efekty wno ś ć i wiedz a na tem at b ez piecz eńs twa i
z ab ez piecz ania aplikacji, któ r a nab ędą po s ko ńcz o ny m kur s ie.
Vavatech Sp. z o.o., ul. Olesińska 21, 02-548 Warszawa, tel. (+48 22) 845 09 70, fax (+48 22) 213 81 27
e-mail: [email protected], www.vavatech.pl
Czas i forma szkolenia
28 godz in (4 dni x 7 godz in), w tym wykłady i warsz taty praktycz ne.
Plan szkolenia
1. Wprowadz enie do ogólnego problemu bez piecz eństwa aplikacji
2. Konfiguracja Spring Security oraz integracja z frameworkiem Spring z a pomocą :
a. XML
b. JavaConfig
3. Omówienie klucz owych pojęć jak :
a. autoryz acja
b. uwierz ytelnianie
c. kontrola dostępu
d. integralność danych
e. poufność
f. niez aprz ecz alność
4. Ochrona prz ed dz iesięcioma atakami OWASP Top Ten
5. Zabez piecz anie URL 'i
6. Zabez piecz anie metod biz nesowych
7. Autoryz acja i autenyykacja w Spring Security baz ując na :
a. baz ie danych : ORM lub NoSql
b. L DAP
c. OpenID
d. X509
8. Zabez piecz anie serwisów typu REST
9. Integracja z Apache CXF
10. Omówienie z abez piecz eń warstwy widoku :
a. JSP
b. Thymeleaf
11. Zastosowanie listy kontroli dostępu cz yli : ACL
12. Zwiększ anie bez piecz eństwa danych poprz ez :
a. sz yfrowanie danych
b. odpowiednie z abez piecz anie haseł
13. Integracja z Spring Social :
a. F acebook
b. Twitter
14. Omówienie najlepsz ych praktyk dotycz ących z astosowania Spring Security
Vavatech Sp. z o.o., ul. Olesińska 21, 02-548 Warszawa, tel. (+48 22) 845 09 70, fax (+48 22) 213 81 27
e-mail: [email protected], www.vavatech.pl