Bezpečnost v prostředí webových aplikací (dle OWASP TOP10) (BZP5)

Bezpečnost, Bezpečnost ICT

Kurz seznámí posluchače se základními možnostmi útoků na webové aplikace dle hodnocení OWASP TOP10. Open Web Application Security Project (OWASP) je otevřená komunita, která má za cíl zvýšit povědomí o zabezpečení aplikací tím, že identifikuje některé z nejkritičtějších rizik, kterým organizace čelí. Na projekt Top 10 se odkazuje mnoho norem, knih, nástrojů a organizací.
Školení je určeno nejen pro vývojáře, ale také pro manažery bezpečnosti či administrátory. V rámci kurzu se seznámí s nástroji pro testování níže uvedených bezpečnostních rizik a obecnými postupy pro jejich zabezpečení. U firemních kurzů na míru je možné kurz zaměřit na specifický jazyk (PHP, .NET Framework, Java, apod.)

Lokalita, termín kurzu



Brno
21.3. - 23. 3. 2018
Objednat
16.5. - 18. 5. 2018
Objednat
12.7. - 13. 7. 2018
Objednat
Praha
9.4. - 11. 4. 2018
Objednat
4.6. - 6. 6. 2018
Objednat
30.7. - 31. 7. 2018
Objednat
Vlastní Školení na míru (termín, lokalita, obsah, délka)

Náplň kurzu:

Skrýt detaily
  • Injektování (Injection)
    1. Chyby umožňující napadení aplikace vložením kódu přes neošetřený vstup.
    2. Ukázka SQL Injection
  • Chybná autentizace a správa relace (Broken Authentication and Session Management)
    1. Zranitelnosti umožňující napadení funkcí aplikace, které souvisí s autentizací a správou sezení s cílem převzít identitu jiného uživatele.
  • Cross Site Scripting (XSS)
    1. Zranitelnosti umožňující napadení vkládáním skriptů či jejich částí do webového prohlížeče.
  • Nezabezpečený přímý odkaz na objekt (Insecure Direct Object References)
    1. Chyby umožňující neoprávněné přístupy k datům nezabezpečeným přístupem k vnitřnímu objektu aplikace (souboru, adresáři, databázovému klíči).
  • Nezabezpečená konfigurace (Security Misconfiguration)
    1. Zranitelnost umožňující napadení využitím nedostatků v zabezpečení konfigurací aplikačních serverů, webových serverů, databázových serverů, softwarových platforem atd. 
  • Expozice citlivých dat (Sensitive Data Exposure)
    1. Zranitelnosti umožňující napadení nechráněných citlivých dat.
    2. Nechráněné kryptografické ukládání (Insecure Cryptographic Storage) - nedostatečně chráněná uložená data.
    3. Nedostatečná ochrana transportní vrstvy (Insufficient Transport Layer Protection) - zranitelnost odposlechnutím provozu na síti.
  • Chyby v řízení úrovní přístupů (Missing Function Level Access Control)
    1. Zranitelnosti umožňující napadení neoprávněným přístupem k funkcionalitě.
  • Cross-Site Request Forgery (CSRF)
    1. Zranitelnosti umožňující napadení podvržením požadavku webové aplikace.
  • Použití známých zranitelných komponent (Using Known Vulnerable Components)
    1. Zneužití znamých chyb v neaktualizovaných systémech nebo aplikacích.
  • Neošetřené přesměrování (Unvalidated Redirects and Forwards)
    1. Zranitelnosti umožňující napadení přesměrováním na jiné stránky.
Předpokládané znalosti:
Orientace v IT. Výhodnou je znalost programování webových aplikací.
Doporučený předchozí kurz:
Bezpečnost v prostředí Windows a internetových služeb (BZP1)
Časový rozvrh:
2 dny (9:00hod. - 17:00hod.)
Cena kurzu:
12 400,00 Kč (15 004,00 Kč včetně 21% DPH)