Claranet cyber security

AppSec for developers

2 day practical class

AppSec [Segurança de Aplicações] para Programadores é um dos nossos cursos de Defesa Especializada, abrangendo as últimas normas industriais, incluindo a OWASP Top 10. O curso aborda uma variedade das melhores práticas de segurança e foca-se detalhadamente na escrita e auditoria do código de segurança contra falhas de segurança.

  • Visão Geral
  • Detalhes
  • Pré-requisitos e Público
  • Download de Brochura

O teste de intrusão (teste de segurança) como uma atividade tende a captar as vulnerabilidades de segurança no terminal SDLC e normalmente é demasiado tarde para conseguir influenciar alterações fundamentais no modo como o código é escrito.

Concebemos este curso devido à crescente necessidade dos programadores desenvolverem códigos com segurança. É crucial introduzir a segurança como um componente de qualidade no ciclo de desenvolvimento. Este curso procura educar os programadores sobre diversas vulnerabilidades de segurança através da prática direta, utilizando a nossa aplicação web insegura criada de propósito, a qual é construída na plataforma Microsoft NET. Através deste curso, os programadores poderão estar ao mesmo nível dos profissionais de segurança, compreendendo a sua língua, aprendendo a solucionar ou mitigar as vulnerabilidades aprendidas durante a tarde e também aprender sobre falhas do mundo real, por exemplo, a falha da Equifax em setembro de 2017 e as vulnerabilidades de aplicações de websites populares como o Facebook, Google, Instagram, Paypal, etc.

As técnicas discutidas nesta aula focar-se-ão maioritariamente nas tecnologias .NET e JAVA, devido à sua forte adoção em diversos empreendimentos na construção de aplicações web. No entanto, a abordagem é genérica e os programadores com formação em outras línguas poderão facilmente compreender e implementar o conhecimento apreendido nos seus próprios ambientes.

  • Abordagem das normas industriais mais recentes, como a OWASP Top 10, com demonstrações práticas das vulnerabilidades, complementada com a prática em laboratório
  • Conhecimento sobre as mais recentes vulnerabilidades de segurança (como a Injeção de Cabeçalho do Recetor, Injeção de Identidade XML, Serviços Web e Segurança API, Vulnerabilidades de de-serialização)
  • Orientação completa relativamente às melhores práticas de segurança (Introdução a diversos Enquadramentos de Segurança e ferramentas e técnicas para o Desenvolvimento Seguro)
  • Referências a analogias reais para cada vulnerabilidade (compreender e apreciar porque o Facebook pagaria 33.000$ para a Vulnerabilidade de Injeção de Entidade XML?)
  • Laboratório online disponível para prática durante e após o curso (2 Dias)
  • Distribuição online de todos os materiais do curso

Um curso altamente prático destinado a programadores, testadores de intrusão e qualquer outro indivíduo que deseje escrever códigos seguros ou realizar auditorias de códigos contra falhas. Este curso aborda uma variedade das melhores práticas de segurança e as abordagens de defesa aprofundadas que os programadores deverão conhecer aquando do desenvolvimento de aplicações. Este curso aborda também algumas técnicas rápidas que os programadores podem utilizar para identificar vários problemas de segurança no processo de revisão do código.

Os estudantes poderão aceder ao nosso laboratório online que está propositadamente repleto de diversas vulnerabilidades. Os estudantes receberão demonstrações e prática das vulnerabilidades, de modo a melhor compreender e apreender os problemas, seguido de diversas técnicas e recomendações para a sua resolução. Embora a aula aborde as normas industriais como a OWASP Top 10 e a SANS Top 25 de problemas de segurança, aborda ainda problemas do mundo real como as diversas falhas de Lógica Comercial e Autorização.

Day 1

  • Module 1.

    Application Security Basics

  • Module 2.

    Understanding HTTP protocol

  • Module 3.

    Security Misconfigurations

  • Module 4.

    Insufficient Logging and Monitoring

  • Module 5.

    Authentication Flaws

  • Module 6.

    Authorization Bypass

  • Module 7.

    Cross Site Scripting (XSS)

Day 2

  • Module 8.

    Cross Site Request Forgery (CSRF)

  • Module 9.

    SQL Injection

  • Module 10.

    XML External Entity (XXE) Attacks

  • Module 11.

    Insecure File Uploads

  • Module 12.

    Deserialization Vulnerabilities

  • Module 13.

    Client Side Security

  • Module 14.

    Source Code Review

Público

Esta formação é ideal para: Programadores de Software/Web, Programadores PL/SQL, Testadores de Intrusão, Auditores de Segurança, Administradores, DBA e Gestores de Segurança.

A experiência prévia em testes de intrusão não é um requisito rigoroso; no entanto, seria benéfico deter algum conhecimento sobre Serviços em Nuvem e estar familiarizado com a sintaxe das linhas de comando comuns.

Pré-requisitos

O único requisito para este curso é trazer o seu próprio computador portátil com a mais recente versão do Java (JDK) instalada. Aos participantes será disponibilizado o acesso ao nosso laboratório online, o qual foi construído com o mais recente enquadramento .NET ASPX. Ser-lhe-ão fornecidas todas as ferramentas e materiais necessários durante o curso.

Reserve o seu lugar

A Claranet visa garantir as regras e princípios relativos à proteção e tratamento de dados pessoais, desenvolvendo todos os esforços possíveis para assegurar a segurança desses mesmos dados, de acordo com as normas e procedimentos definidos na legislação aplicável.

O titular dos dados pessoais terá o direito de se opor expressamente e de forma gratuita, via correio eletrónico, ao envio pela Claranet de comunicações eletrónicas para fins de marketing, enviando comunicação escrita desse teor para dpo@claranet.pt

Para mais informações sobre o tratamento de dados pessoais, consultar a Política de Privacidade Claranet.

Esclareça as suas dúvidas connosco

Fale com um membro da nossa equipa

Ligue-nos através dos números 707 50 51 52 e/ou 21 319 92 00, entre as 09:00 - 18:00 de Segunda a Sexta, para falar com um membro da nossa equipa comercial ou de suporte.