Świadomość problemów bezpieczeństwa (OWASP, Cloud, CD) dla programistów Java, .Net, Node.js

Kod: sec-OWASP
Kategoria: Bezpieczeństwo
Forma: 50% wykłady / 50% praktyczne demonstracje
Czas trwania: 3 dni
Grupa docelowa: architekci
developerzy
testerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.

Niniejsze szkolenie stanowi wprowadzenie do tematyki bezpieczeństwa aplikacji Webowych.

W trakcie szkolenie wyjdziemy daleko poza OWASP.

Dla każdego z zagrożeń przedstawimy:
  • Mechanizm działania
  • Sposoby wykrycia
  • Sposoby przeciwdziałania
  • Przykładowy scenariusz ataku

Wybrane zagrożenia zostanę zilustrowane studiami konkretnych przypadków firm i instytucji, które padły ofiarą ataków.

Warsztaty praktyczne będą przeprowadzone w zależności od potrzeb grupy w Javie, C#, Node.js.

Wyróżniki szkolenia

  • Wychodzimy poza OWASP w kierunku Cloud i Continous Delivery
  • Praktyczne demonstracje ataków zależne od wybranego stosu technologicznego
  • Trener pracujący na codzień w ogólnoświatowej organizacji zajmującej się rozwiązaniami z zakresu bezpieczeństwa

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. OWASP Top 10
    1. Wstrzyknięcia
    2. Błędy w uwierzytelnianiu
    3. Wyciek danych wrażliwych
    4. XML External Entities
    5. Błędy w kontroli dostępu
    6. Błędna konfiguracja zabezpieczeń
    7. Cross-site Scripting (XSS)
    8. Błędy deserializacji
    9. Komponenty ze znanymi podatnościami
    10. Brak logowania i monitoringu
  2. OWASP - co dalej?
    1. Proactive controls
    2. ASVS
    3. Testing Guide
  3. OWASP Top 10 w praktyce programisty Java/.NET/Node.js
    1. Obrona przed wstrzyknięciami
    2. Uwierzytelnianie z OAuth 2.0 i OpenID Connect
    3. Ochrona danych wrażliwych z Azure Key Vault
    4. Ochrona przed XSS
  4. Bezpieczeństwo w Continuous Delivery
    1. Monitoring podatności za pomocą Dependency Check i Dependency Track
    2. Statyczna analiza kodu za pomocą find-sec-bugs
    3. Skanowanie za pomocą OWASP ZAP
  5. Bezpieczeństwo w chmurze
    1. HTTPS i nagłówki HTTP dot. Bezpieczeństwa
    2. Web Application Firewalls i OWASP Core Rule Set
    3. Kontrola dostępu do klastra Kubernetesa
    4. Kontrola dostępu do środowiska CI/CD
    5. Logowanie i monitoring za pomocą systemu klasy SIEM na przykładzie SumoLogic
  6. API Security
    1. Użycie OAuth 2.0 oraz tokenów JWT w celu zabezpieczenia dostępu do API
    2. Wprowadzenie do Azure Active Directory
    3. Wprowadzenie do Azure API Management and policies
    4. API access control z wykorzystaniem Azure API Management
      1. Network access control i IP restrictions
      2. Ochrona przed atakami DoS z wykorzystaniem throttling and caching
      3. Wykorzystanie OAuth 2.0 i tokenów JWT z Azure API Management


Pobierz program w formacie PDF

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Wyrażam zgodę na przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych w związku z wysłaniem zapytania przez formularz kontaktowy.

Podanie danych jest dobrowolne ale niezbędne do przetworzenia zapytania. Zastałem/am poinformowany/na, że przysługuje mi prawo dostępu do swoich danych, możliwości ich poprawienia, żądania zaprzestania ich przetwarzania.

Administratorem danych osobowych jest Bottega IT Minds, ul. Jana Sawy 2, 20-632 Lublin.


Klauzula informacyjna