OWASP Top 10 z przykładami w ASP.NET MVC

Kod: sec-OWASP
Kategoria: Bezpieczeństwo
Forma: 50% wykłady / 50% praktyczne demonstracje
Czas trwania: 2 dni
Grupa docelowa: architekci
testerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.

Niniejsze szkolenie stanowi łagodne wprowadzenie do tematyki bezpieczeństwa aplikacji Webowych.

Lista 10 najpowszechniejszych zagrożeń dla tego typu aplikacji publikowana przez organizację OWASP jest najpopularniejszym w branży IT opracowaniem tego typu i stanowi pierwszy przystanek na drodze do systemó wolnych od dziur.

Dla każdego z zagrożeń przedstawimy:
  • Mechanizm działania
  • Sposoby wykrycia
  • Sposoby przeciwdziałania
  • Przykładowy scenariusz ataku

Wybrane zagrożenia zostanę zilustrowane studiami konkretnych przypadków firm i instytucji, które padły ofiarą ataków.

Szkolenie przeznaczone jest dla wszystkich osób związanych z wytwarzaniem aplikacji opartych o technologie Webowe.

Wyróżniki szkolenia

  • Informacje na temat zagrożeń dla aplikacji Webowych podane w łatwej i zrozumiałej formie
  • Przykłady firm i organizacji, które padły ofiarą przedstawionych zagrożeń
  • Praktyczne demonstracje ataków na aplikację ASP.NET MVC

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. OWASP Top 10
    1. Jak powstaje lista?
    2. Jaki jest cel istnienia listy?
  2. WebGoat - nasz kozioł ofiarny
    1. Narzędzia, których będziemy potrzebowali
    2. Budujemy kod źródłowy i uruchamiamy aplikację
  3. Zagrożenia - krok po kroku
    1. Wstrzykiwanie poleceń SQL
      1. Zapobiegamy atakowi SQL injection: ADO.NET
      2. Zapobiegamy atakowi SQL injection: Entity Framework
    2. Nieprawidłowe uwierzytelnianie i zarządzanie sesjami
      1. Framework ASP.NET Identity
      2. Zarządzanie stanem sesji w ASP.NET MVC
    3. Cross-Site Scripting (XSS)
      1. Zabezpieczamy wynikowy kod HTML za pomocą klasy AntiXssEncoder
    4. Niezabezpieczony dostęp do danych
      1. Kontrola dostępu za pomocą atrybutu [Authorize]
      2. Obfuskacja i mapowanie referencji do danych
    5. Błędna konfiguracja funkcji bezpieczeństwa
      1. "Utwardzamy" Web.config
      2. Wyłączamy funkcje diagnostyczne
      3. Chronimy połączenie przeglądarki z serwerem za pomocą HTTPS
    6. Ujawnianie danych wrażliwych
      1. Funkcje kryptograficzne na platformie .NET
      2. Bezpieczne przechowywanie haseł
    7. Brak kontroli dostępu na poziomie funkcji
      1. Kontrola dostępu
      2. Atrybut [Authorize]
    8. Cross-Site Request Forgery (XSRF)
      1. Tokeny - co to jest i do czego służy?
      2. Używamy @Html.AntiForgeryToken() po stronie widoku
    9. Używanie komponentów ze znanymi dziurami w zabezpieczeniach
      1. Używamy NuGeta do aktualizacji pakietów
      2. Skąd czerpać wiedzę na temat błędów związanych z bezpieczeństwem?
    10. Brak walidacji przekierowań
      1. Eliminujemy otwarte przekierowania


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna