Utbildning – Säker applikationsutveckling i java!

Utbildning – Säker applikationsutveckling
i java!
Inte ens de mest sofistikerade brandväggar och
säkerhetsfunktioner kan upprätthålla säkerheten hos applikationer
med sårbarheter och säkerhetshål. En attackerare kan utnyttja
sårbarheterna för att ta sig in bakvägen, utan att autentiseras,
och ofta skaffa sig fullständiga accessrättigheter.
”Säker Applikationsutveckling” är en praktisk kurs i utveckling av
säker mjukvara, dvs. hur du undviker säkerhetshål när du
designar och utvecklar applikationer. Kursen utgår från en
sårbar serverapplikation, specialskriven för kursen, som du
steg för steg lär dig angripa och sedan säkra upp genom
ändringar i design och programkod. Attacker och motsvarande
motåtgärder innefattar injektionsattacker, cross-site scripting,
cookie-hantering, säker inloggning, indatavalidering,
säkerhetslogging med mera.
”Security Features are Not Secure Features”
– Michael Howard, Microsoft Corp.
Du får:
• Se hur sårbarheter och säkerhetshål ser ut i programkod och design
• Genomföra olika former av säkerhetsattacker mot mjukvarusystem
• Testa vilka konsekvenser säkerhetsattacker kan få
• Genomföra förändringar i design och kod för att säkra systemet
• Lära dig hur man undviker sårbarheter redan under utvecklingen
Figur 1 – Den specialskrivna, sårbara webbapplikationen
Kursinnehåll
Kursen utgår från The Open Web Application Security Project, OWASP, som
på det viset blir en bekant och ovärderlig resurs för din fortsatta
kompetensutveckling. De delar som inte täcks av OWASP kompletteras från
referenslitteratur och kursledarnas egen forskning och erfarenhet. På det
viset serveras du en dagsfärsk ”Expert’s View” av området säker mjukvara.
Följande sårbarheter/attacker samt utvecklingslabbar ingår:
• Injektionsattacker
o Cross-site scripting nivå 1 (utan lagring av indata)
o Cross-site scripting nivå 2 (med lagring av indata)
o Cross-site request forgery
o SQL-injektion
o Blind SQL-injektion
o Kringgå validering av indata på klienten
• Sessionshantering och accesskontroll
o Cookie replay
o Cookie poisoning
o Felaktig autenticering
o Osäkra filreferenser
• Design och implementation för säker utveckling
o Designprinciper
o Indatavalidering
o Konsistent loggning
o Saltning
o Hashning
o Verktyg för kodanalys
o Säkerhetspolicies för applikationer
o Kravhantering
Figur 2 – Utvecklingsmiljön Eclipse med laboration om säkerhetsloggning
Genomförande
Kursen genomförs i Omegapoints lokaler där du får tillgång till en egen
dator med en virtuell labbmiljö med eget nätverk, egen applikationsserver
och databas, samt egen utvecklingsmiljö. Presentationer varvas hela tiden
med övningar för att garantera att du får praktisk erfarenhet av det kursen
täcker.
Kursmaterial
Utförligt kursmaterial i form av boken ”19 Deadly Sins of Software Security”
och kurspärm med alla presentationer.
Målgrupp
Kursen vänder sig till utvecklare som vill lära sig mer om säkerhet.
Erfarenhet av något objektorienterat språk såsom Java och/eller C++/C# är
nödvändigt för att tillgodogöra sig kursen till hundra procent.
Praktisk information
Kursen är begränsad till högst 15 deltagare
Pris: 23,500 :3 dagar
Lunch, fika samt kursmaterial ingår
Information och bokning
För mer information samt bokning vänligen kontakta Joakim Borell på 0709158835, [email protected], alternativt Anna-Clara Bergman på
0706-508043, [email protected].
Åsikter från tidigare kursdeltagare
Vi har gett kursen för cirka 90 deltagare runt om i Sverige och fått mycket
goda betyg. Saxat från kursutvärderingarna:
Mycket intressant! Fick många aha-upplevelser och det var kul att ha en
applikation att ”busa” med.
Karlstad, juni 2007
Bra att blanda hands-on och föreläsningar.
Stockholm, augusti 2007
Väldigt lärorik. Bör ha högre prioritet på utvecklingsföretag.
Lund, november 2007
Bra kurs där man får insikt i vanliga säkerhetsbrister och hur man kan
hantera dessa. En ögonöppnare.
Kalmar, mars 2008
Grymt med labbar, bra genomfört. Viktigt innehåll (och roligt)!
Göteborg, april 2008
Om Omegapoint
Omegapoint är experter inom avancerad systemutveckling, IT-ledning samt
informations- och nätverkssäkerhet. Vi har mångårig erfarenhet av både
systemutveckling inom säkerhetskritiska organisationer och branscher och
oberoende säkerhetstesting av system. Verksamheten innefattar också
akademisk forskning inom IT-säkerhet där nya tekniker utvecklas,
evalueras och utsätts för forskarsamhällets granskning. Vi är idag
Sverigeledande inom säkerhetsområdet.
Om OWASP
Open Web Application Security Project (OWASP) är en öppen, global, ickekommersiell organisation bestående av företag, utbildare och enskilda
personer från hela världen. OWASP har med sina gratisverktyg, sitt
oberoende och sina praktiska guider snabbt kommit att bli den auktoritet
som alla refererar till inom säkra webbapplikationer. OWASP har idag lite
över 13000 medlemmar världen över.