Utbildning – Säker applikationsutveckling i java! Inte ens de mest sofistikerade brandväggar och säkerhetsfunktioner kan upprätthålla säkerheten hos applikationer med sårbarheter och säkerhetshål. En attackerare kan utnyttja sårbarheterna för att ta sig in bakvägen, utan att autentiseras, och ofta skaffa sig fullständiga accessrättigheter. ”Säker Applikationsutveckling” är en praktisk kurs i utveckling av säker mjukvara, dvs. hur du undviker säkerhetshål när du designar och utvecklar applikationer. Kursen utgår från en sårbar serverapplikation, specialskriven för kursen, som du steg för steg lär dig angripa och sedan säkra upp genom ändringar i design och programkod. Attacker och motsvarande motåtgärder innefattar injektionsattacker, cross-site scripting, cookie-hantering, säker inloggning, indatavalidering, säkerhetslogging med mera. ”Security Features are Not Secure Features” – Michael Howard, Microsoft Corp. Du får: • Se hur sårbarheter och säkerhetshål ser ut i programkod och design • Genomföra olika former av säkerhetsattacker mot mjukvarusystem • Testa vilka konsekvenser säkerhetsattacker kan få • Genomföra förändringar i design och kod för att säkra systemet • Lära dig hur man undviker sårbarheter redan under utvecklingen Figur 1 – Den specialskrivna, sårbara webbapplikationen Kursinnehåll Kursen utgår från The Open Web Application Security Project, OWASP, som på det viset blir en bekant och ovärderlig resurs för din fortsatta kompetensutveckling. De delar som inte täcks av OWASP kompletteras från referenslitteratur och kursledarnas egen forskning och erfarenhet. På det viset serveras du en dagsfärsk ”Expert’s View” av området säker mjukvara. Följande sårbarheter/attacker samt utvecklingslabbar ingår: • Injektionsattacker o Cross-site scripting nivå 1 (utan lagring av indata) o Cross-site scripting nivå 2 (med lagring av indata) o Cross-site request forgery o SQL-injektion o Blind SQL-injektion o Kringgå validering av indata på klienten • Sessionshantering och accesskontroll o Cookie replay o Cookie poisoning o Felaktig autenticering o Osäkra filreferenser • Design och implementation för säker utveckling o Designprinciper o Indatavalidering o Konsistent loggning o Saltning o Hashning o Verktyg för kodanalys o Säkerhetspolicies för applikationer o Kravhantering Figur 2 – Utvecklingsmiljön Eclipse med laboration om säkerhetsloggning Genomförande Kursen genomförs i Omegapoints lokaler där du får tillgång till en egen dator med en virtuell labbmiljö med eget nätverk, egen applikationsserver och databas, samt egen utvecklingsmiljö. Presentationer varvas hela tiden med övningar för att garantera att du får praktisk erfarenhet av det kursen täcker. Kursmaterial Utförligt kursmaterial i form av boken ”19 Deadly Sins of Software Security” och kurspärm med alla presentationer. Målgrupp Kursen vänder sig till utvecklare som vill lära sig mer om säkerhet. Erfarenhet av något objektorienterat språk såsom Java och/eller C++/C# är nödvändigt för att tillgodogöra sig kursen till hundra procent. Praktisk information Kursen är begränsad till högst 15 deltagare Pris: 23,500 :3 dagar Lunch, fika samt kursmaterial ingår Information och bokning För mer information samt bokning vänligen kontakta Joakim Borell på 0709158835, [email protected], alternativt Anna-Clara Bergman på 0706-508043, [email protected]. Åsikter från tidigare kursdeltagare Vi har gett kursen för cirka 90 deltagare runt om i Sverige och fått mycket goda betyg. Saxat från kursutvärderingarna: Mycket intressant! Fick många aha-upplevelser och det var kul att ha en applikation att ”busa” med. Karlstad, juni 2007 Bra att blanda hands-on och föreläsningar. Stockholm, augusti 2007 Väldigt lärorik. Bör ha högre prioritet på utvecklingsföretag. Lund, november 2007 Bra kurs där man får insikt i vanliga säkerhetsbrister och hur man kan hantera dessa. En ögonöppnare. Kalmar, mars 2008 Grymt med labbar, bra genomfört. Viktigt innehåll (och roligt)! Göteborg, april 2008 Om Omegapoint Omegapoint är experter inom avancerad systemutveckling, IT-ledning samt informations- och nätverkssäkerhet. Vi har mångårig erfarenhet av både systemutveckling inom säkerhetskritiska organisationer och branscher och oberoende säkerhetstesting av system. Verksamheten innefattar också akademisk forskning inom IT-säkerhet där nya tekniker utvecklas, evalueras och utsätts för forskarsamhällets granskning. Vi är idag Sverigeledande inom säkerhetsområdet. Om OWASP Open Web Application Security Project (OWASP) är en öppen, global, ickekommersiell organisation bestående av företag, utbildare och enskilda personer från hela världen. OWASP har med sina gratisverktyg, sitt oberoende och sina praktiska guider snabbt kommit att bli den auktoritet som alla refererar till inom säkra webbapplikationer. OWASP har idag lite över 13000 medlemmar världen över.