Security Aware Developer - Szkolenie z bezpieczeństwa aplikacji dla programistów

Kod: sec-SAD
Kategoria: Bezpieczeństwo
Forma: 50% wykładów, 50% dyskusji i ćwiczeń
Czas trwania: 1 dzień
Odbiorcy: testerzy, architekci, developerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Utrzymanie bezpieczeństwa aplikacji polegające wyłącznie na weryfikacji bezpieczeństwa i usuwaniu defektów jest nieefektywne.

Ciągnie za sobą wiele kosztów dodatkowych (np. czas poświęcony na usuwanie defektów czy przebudowę aplikacji, kary umowne) i potencjalnych kłopotów (np. wyciek danych związany z istniejącym, niewykrytym błędem bezpieczeństwa).

W naszym szkoleniu stawiamy na:

  • Podnoszenie świadomości problemów bezpieczeństwa aplikacji
  • Pokazywanie realnych przykładów z życia wziętych w formie scenariuszy
  • Unikalną na rynku formułę – dla każdego z omawianych scenariuszy:
    • omówienie łańcuchu podatności i jego skutkach
    • pracę nad możliwymi sposobami zabezpieczeń
    • omówieniem dobrych i złych stron proponowanych zabezpieczeń
  • Pracę w grupie, bez komputerów, tylko długopis i papier, gdzie nic nie rozprasza uczestników

Omawiane w trakcie szkolenia scenariusze są stworzone na bazie naszych doświadczeń, opakowane w atrakcyjną graficzną formę zeszytu A4. Prowadzący szkolenie są specjalistami w bezpieczeństwie aplikacji z wieloletnim stażem, ich pasją jest szukanie dziur w aplikacjach.

Po informacji zwrotnej widzimy, że poruszane przykłady, dyskusje oraz praca uczestników związana z wymyślaniem poprawek i zabezpieczeń realnie wpływa na podniesienie świadomości wśród uczestników oraz powoduje, że po powrocie do codziennej pracy chcą realizować pomysły związane z bezpieczeństwem aplikacji, które wykiełkowały w trakcie szkolenia.

Wyróżniki szkolenia

  • Szkolenie prowadzone jest przez osoby, które wcześniej pracowali jako programiści, znają wyzwania i problemy “od podszewki”
  • Formuła szkolenia - nie jest to szkolenie w formie nudnego wykładu. W trakcie szkolenia uczestnicy mają rzeczywisty wpływ na jego rozwój i rodzaj przekazywanych treści
  • Skupiamy się na zapobieganiu podatnościom, a nie na ich tworzeniu. W trakcie szkolenia omawiane są wyłącznie przypadki “z życia”

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. Wprowadzenie – tworzenie oprogramowania a bezpieczeństwo, standardy, wymagania klientów
  2. Omówienie przygotowanych scenariuszy
    1. Przedstawienie aplikacji
    2. Przedstawienie scenariusza ataku i jego efektów (demo)
    3. Ćwiczenia naprowadzające na znalezienie właściwych rozwiązań
    4. Dobór zabezpieczeń (dyskusja moderowana przez prowadzącego)
  3. Wybranie zabezpieczeń które dają się zastosować w przypadku aplikacji tworzonych przez zespół
    1. Dyskusja na temat potencjalnych wyzwań przy wdrożeniu
  4. Błąd kontroli dostępu
    1. Nieprawidłowe przetwarzanie plików XML
    2. Wywołanie dowolnej komendy na serwerze
    3. Wykradnięcie plików z serwera
  5. Błąd walidacji
    1. Stored XSS w szablonach Angular
    2. Trwała awaria aplikacji
  6. Jak przejąć kontrolę nad kodem?
    1. Phishing
    2. Uzyskanie loginu i hasła do jednego z serwisów developerskich
    3. Nadużycie SSO
    4. Uzyskanie dostępu do kodu źródłowego
  7. Nadmiarowy moduł aplikacji
    1. Domyślne ustawienia
    2. Zapisywanie wrażliwych danych do logów
    3. Uzyskanie uprawnień administratora aplikacji
  8. Nieoczywiste SQL Injection - Walidacja danych wejściowych
    1. Obejście filtrów
    2. SQL Injection
  9. Case study jednego z banków: Defekt w komponencie
    1. Przejęcie kontroli nad frontendem
    2. Modyfikacja javascript
    3. Obejście dodatkowej autoryzacji
    4. Kradzież środków z kont


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna