Powrót do katalogu
Terminy szkolenia otwartego:
  • Potwierdzone
  • Planowane
  • Sugerowane
2017-11-08 1 400 / 2 dni Zgłoś chęć udziału
2017-11-27 1 400 / 2 dni Zgłoś chęć udziału
Pobierz program
Nie znalazłeś pasującego terminu?
Zaproponuj własny termin. Postaramy się uruchomić nowy specjalnie dla Ciebie.
Szukasz programu "skrojonego na miarę"?
Zapytaj o szkolenie dedykowane lub napisz nam o swoich preferencjach.
Chcesz się uczyć w trybie weekendowym?

Czekamy na kontakt od Ciebie.

Inżynieria oprogramowania > Aplikacje internetowe

Szkolenie: Bezpieczeństwo aplikacji internetowych
[W-BEZP-WEB]

Wprowadzenie

Aplikacje internetowe są szczególnie zagrożone atakami - istnieje do nich wiele kanałów dostępu, a środowisko klienta nie jest kontrolowane przez twórców serwisów. W czasach, gdy według statystyk nawet 97% badanych serwisów może być podatne na ataki hakerów, kluczowe jest wprowadzenie do procesu wytwarzania oprogramowania webowego technik pozwalających na wczesnym etapie programowania wykluczyć jak najwięcej podatności. Programista powinien znać kierunki ataków, wiedzieć czym się one charakteryzują, i jakimi metodami można im przeciwdziałać.

Cel szkolenia

Szkolenie ma na celu przedstawienie podstawowych zasad tworzenia aplikacji internetowych z uwzględnieniem zasad bezpieczeństwa. W trakcie szkolenia uczestnik pozna poprzez symulowane ataki na aplikację testową najpowszechniejsze sposoby włamań.

Adresaci szkolenia

Szkolenie adresowane jest dla programistów aplikacji internetowych, którzy nie zajmowali się wcześniej aspektami bezpieczeństwa w sieci.

Od uczestników kursu wymagana jest podstawowa znajomość sposobu funkcjonowania oraz architektury aplikacji działających w środowisku internetowym oraz protokołu HTTP. Przydatna lecz nie niezbędna jest doświadczenie w używaniu systemu operacyjnego Linux.

Czas i forma szkolenia

14 godzin (2 dni x 7 godzin), w tym wykłady i warsztaty praktyczne.

Plan szkolenia

  1. Źródła informacji
  2. Typy podatności
  3. Źródła zagrożeń
  4. Ataki na środowisko
    1. Serwery deweloperskie
    2. Serwery aplikacji
    3. Serwery baz danych
  5. Forced browsing
  6. Clickjacking
  7. Ataki na sesję
    1. Session Fixation
    2. Session Adoption
  8. Cross Site Request Forgery
  9. Cross Site Scripting
  10. Wstrzyknięcia
    1. Kodu
    2. Zapytań
    3. Plików
  11. Systemy IDS, filtrowania i ich omijanie
  12. Przechowywanie danych poufnych
  13. Same Origin Policy
  14. Enumeracja zasobów
  15. Narzędzia automatycznego wykrywania podatności
  16. Narzędzia wykrywające ataki typu injection
  17. Bezpieczeństwo w procesie rozwoju oprogramowania

Opinie uczestników