Cursos de Application Security em Coimbra

Este treinamento ao vivo conduzido por instrutor em Coimbra (no local ou remoto) é destinado a desenvolvedores de nível intermediário a avançado que desejam entender e aplicar práticas de codificação seguras, identificar riscos de segurança em software e implementar defesas contra ameaças cibernéticas.

No final deste treinamento, os participantes serão capazes de:

• Compreender as vulnerabilidades de segurança comuns em aplicações web e de software.
• Analisar ameaças de segurança e explorar técnicas usadas por invasores.
• Implementar práticas de codificação seguras para mitigar os riscos de segurança.
• Utilizar ferramentas de teste de segurança para identificar e corrigir vulnerabilidades.

EC-Council Engenheiro Certificado DevSecOps (ECDE) é um curso prático projetado para equipar profissionais com as habilidades necessárias para incorporar segurança ao longo do ciclo de vida DevOps, habilitando o desenvolvimento seguro de software desde a fase de planejamento até a implantação.

Esta formação presencial ou online, conduzida por um instrutor, destina-se a profissionais intermediários de software e DevOps que desejam integrar práticas de segurança em pipelines CI/CD, garantindo a entrega de código seguro e conforme.

No final desta formação, os participantes serão capazes de:

• Compreender os princípios e práticas do DevSecOps.
• Segurar cada etapa dos pipelines CI/CD usando ferramentas automatizadas.
• Implementar práticas de codificação segura e varreduras de vulnerabilidades.
• Preparar-se para a certificação ECDE com laboratórios práticos e revisão.

Formato do Curso

• Aula interativa e discussão.
• Uso prático de ferramentas DevSecOps em pipelines simulados.
• Exercícios guiados focados no desenvolvimento seguro e implantação.

Opções de Personalização do Curso

• Para solicitar uma formação personalizada para este curso com base nos fluxos de trabalho ou cadeia de ferramentas da sua equipe, entre em contato conosco para agendar.

Android é uma plataforma aberta para dispositivos móveis como telefones e tablets. Possui uma grande variedade de características de segurança para facilitar o desenvolvimento de software seguro; no entanto, também falta certos aspectos de segurança presentes em outras plataformas portáteis. O curso fornece um overview abrangente dessas características e destaca as principais deficiências a serem observadas relacionadas ao Linux, ao sistema de arquivos e ao ambiente geral, bem como quanto ao uso de permissões e outros componentes de desenvolvimento de software do Android.

Pitfalls de segurança comuns e vulnerabilidades são descritos tanto para código nativo quanto para aplicativos Java, juntamente com recomendações e melhores práticas para evitá-los e mitigá-los. Em muitos casos discutidos, os problemas são apoiados por exemplos da vida real e estudos de caso. Finalmente, fornecemos uma breve visão geral sobre como usar ferramentas de teste de segurança para revelar quaisquer bugs de programação relacionados à segurança.

Os participantes deste curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender as soluções de segurança do Android
• Aprender a usar várias características de segurança da plataforma Android
• Obter informações sobre algumas vulnerabilidades recentes em Java no Android
• Aprender sobre erros de codificação típicos e como evitá-los
• Compreender as vulnerabilidades do código nativo no Android
• Realizar as graves consequências do tratamento inseguro dos buffers em código nativo
• Compreender as técnicas de proteção arquitetural e suas fraquezas
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Profissionais

Atualmente, está disponível uma série de linguagens de programação para compilar código para as estruturas .NET e ASP.NET. O ambiente fornece meios poderosos para o desenvolvimento da segurança, mas os programadores devem saber como aplicar as técnicas de programação ao nível da arquitetura e da codificação, de modo a implementar a funcionalidade de segurança pretendida e evitar vulnerabilidades ou limitar a sua exploração.

O objetivo deste curso é ensinar aos programadores, através de numerosos exercícios práticos, como evitar que código não confiável execute acções privilegiadas, proteger recursos através de autenticação e autorização fortes, fornecer chamadas de procedimentos remotos, tratar sessões, introduzir diferentes implementações para determinadas funcionalidades e muito mais. Uma secção especial é dedicada à configuração e reforço do ambiente .NET e ASP.NET para segurança.

Uma breve introdução aos fundamentos da criptografia fornece uma base prática comum para compreender o objetivo e o funcionamento de vários algoritmos, com base nos quais o curso apresenta as funcionalidades criptográficas que podem ser utilizadas no .NET. Segue-se a introdução de algumas vulnerabilidades criptográficas recentes relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, bem como com ataques de canais laterais.

A introdução de diferentes vulnerabilidades começa com a apresentação de alguns problemas típicos de programação cometidos quando se utiliza .NET, incluindo categorias de erros de validação de entrada, tratamento de erros ou condições de corrida. É dado um enfoque especial à segurança XML, enquanto o tópico das vulnerabilidades específicas do ASP.NET aborda alguns problemas especiais e métodos de ataque: como o ataque ao ViewState ou os ataques de terminação de strings.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento .NET
• Ter uma compreensão prática da criptografia
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes em .NET e ASP.NET
• Conhecer os erros típicos de codificação e como evitá-los
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Este curso oferece expertise em codificação segura cross-platform combinando C/C++, Java e segurança de aplicações web em um treinamento integrado. Os participantes aprendem vulnerabilidades modernas, métodos de ataque e práticas de desenvolvimento seguro em ambientes heterogêneos.

Este treinamento conduzido por instrutor (online ou presencial) é voltado para desenvolvedores de nível intermediário a avançado que desejam fortalecer suas práticas de codificação segura para aplicações empresariais e web.

Ao final deste treinamento, os participantes serão capazes de:

• Aplicar princípios de codificação segura em ambientes de desenvolvimento C/C++ e Java.
• Identificar e mitigar vulnerabilidades comuns, como estouro de buffer, injeção SQL e XSS.
• Implementar e configurar serviços de segurança Java e APIs de forma eficaz.
• Compreender o OWASP Top Ten e além, incluindo riscos de segurança no lado do cliente.
• Usar criptografia de forma segura para proteção de dados e comunicação.
• Analisar código em busca de fraquezas arquiteturais e aplicar estratégias defensivas de codificação.
• Manter-se informado sobre vulnerabilidades recentes em plataformas, frameworks e bibliotecas.

Formato do Curso

• Palestra interativa e discussão.
• Laboratórios práticos de codificação segura e demonstrações de exploração.
• Estudos de caso e análise de vulnerabilidades do mundo real.

Opções de Customização do Curso

• Para solicitar um treinamento personalizado para este curso, por favor, entre em contato conosco para agendar.

A adoção de nuvem muda como as aplicações são construídas, implantadas e operadas — transferindo responsabilidades entre fornecedor e cliente enquanto introduz cloud-native platforms (contêineres, sem servidor, serviços gerenciados) que exigem controles de segurança adaptados. A segurança deve, portanto, abordar o fortalecimento da infraestrutura, a gestão de identidade e acesso, a proteção de dados, práticas de desenvolvimento seguro e vetores de ameaças específicos da nuvem.

Este treinamento ministrado por instrutor (online ou presencial) é voltado para desenvolvedores intermediários, engenheiros de segurança e gerentes de TI que desejam adquirir habilidades práticas, hands-on, para garantir a segurança de aplicações em nuvem e sua infraestrutura de suporte, enquanto aprendem controles repetíveis e técnicas de avaliação que se mapeiam para os frameworks da indústria e as orientações dos provedores de nuvem atuais.

Ao final deste treinamento, os participantes serão capazes de:

• Explicar o modelo de responsabilidade compartilhada na nuvem e aplicá-lo a decisões de segurança de aplicações.
• Fortalecer infraestrutura em nuvem (IaaS), garantir serviços de plataforma (PaaS) e avaliar configurações SaaS.
• Aplicar práticas de codificação segura e padrões de mitigação baseados no OWASP a aplicações hospedadas em nuvem.
• Integrar ferramentas de segurança aos pipelines CI/CD (SAST/DAST/DAST/IAST/RASP) e adotar práticas shift-left.

Formato do Curso

• Aula interativa e discussão vinculadas a demonstrações ao vivo.
• Laboratórios práticos usando consoles de nuvem, contêineres, funções sem servidor e pipelines CI/CD.
• Exercícios práticos: configuração segura, varredura de vulnerabilidades, simulação de ataques e planejamento de remediação.

Opções de Personalização do Curso

• Para solicitar um treinamento personalizado para este curso, entre em contato conosco para agendar.

Este curso de três dias aborda os fundamentos da segurança do código C/C++ contra usuários mal-intencionados que podem explorar muitas vulnerabilidades no código, relacionadas à gestão de memória e tratamento de entrada. O curso cobre os princípios de escrita de código seguro.

Mesmo os programadores experientes da Java não dominam de todo os vários serviços de segurança oferecidos pela Java e não estão igualmente conscientes das diferentes vulnerabilidades que são relevantes para as aplicações Web escritas em Java.

O curso - para além de introduzir os componentes de segurança da Edição Standard Java - aborda as questões de segurança da Edição Empresarial Java (JEE) e dos serviços Web. A discussão de serviços específicos é precedida dos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativas e programáticas em JEE, enquanto a segurança da camada de transporte e de ponta a ponta dos serviços Web é discutida. A utilização de todos os componentes é apresentada através de vários exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também analisa e explica as falhas de programação mais frequentes e graves da linguagem Java e as vulnerabilidades relacionadas com a plataforma e a Web. Para além dos erros típicos cometidos pelos programadores de Java, as vulnerabilidades de segurança introduzidas abrangem questões específicas da linguagem e problemas decorrentes do ambiente de execução. Todas as vulnerabilidades e os ataques relevantes são demonstrados através de exercícios fáceis de compreender, seguidos das diretrizes de codificação recomendadas e das possíveis técnicas de mitigação.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Compreender os conceitos de segurança dos serviços Web
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Compreender as soluções de segurança do Java EE
• Conhecer os erros típicos de codificação e saber como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes na estrutura Java
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

Mesmo os programadores experientes não dominam por completo os vários serviços de segurança oferecidos pelas suas plataformas de desenvolvimento, e também não estão conscientes das diferentes vulnerabilidades que são relevantes para os seus desenvolvimentos. Este curso destina-se aos programadores que utilizam Java e PHP, fornecendo-lhes as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet.

Os níveis da arquitetura de segurança Java são percorridos abordando o controlo de acesso, autenticação e autorização, comunicação segura e várias funções criptográficas. Também são apresentadas várias APIs que podem ser usadas para proteger seu código em PHP, como OpenSSL para criptografia ou HTML Purifier para validação de entrada. No lado do servidor, são dadas as melhores práticas para reforçar e configurar o sistema operativo, o contentor Web, o sistema de ficheiros, o servidor SQL e o próprio PHP, enquanto é dada especial atenção à segurança do lado do cliente através de questões de segurança do JavaScript, Ajax e HTML5.

As vulnerabilidades gerais da Web são discutidas através de exemplos alinhados com o OWASP Top Ten, mostrando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. Os vários problemas específicos das linguagens Java e PHP e as questões decorrentes do ambiente de tempo de execução são introduzidos agrupados nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou inadequada, utilização inadequada de caraterísticas de segurança, tratamento incorreto de erros e excepções, problemas relacionados com o tempo e o estado, problemas de qualidade do código e vulnerabilidades relacionadas com o código móvel.

Os participantes podem experimentar as API, as ferramentas e os efeitos das configurações discutidas, enquanto a introdução das vulnerabilidades é apoiada por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como corrigir os erros e aplicar técnicas de atenuação, e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Aprender a utilizar vários recursos de segurança do PHP
• Compreender os conceitos de segurança dos serviços Web
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Conhecer os erros típicos de codificação e como evitá-los
• Ser informado sobre as vulnerabilidades recentes das estruturas e bibliotecas Java e PHP
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

Descrição

A linguagem Java e o Ambiente de Tempo de Execução (JRE) foram projetados para serem livres das vulnerabilidades de segurança mais problemáticas encontradas em outras linguagens, como C/C++. No entanto, desenvolvedores de software e arquitetos não devem apenas saber como usar os diversos recursos de segurança do ambiente Java (segurança positiva), mas também devem estar cientes das numerosas vulnerabilidades que ainda são relevantes para o desenvolvimento em Java (segurança negativa).

A introdução dos serviços de segurança é precedida por uma breve visão geral dos fundamentos da criptografia, fornecendo uma base comum para entender a finalidade e o funcionamento dos componentes aplicáveis. O uso desses componentes é apresentado através de vários exercícios práticos, onde os participantes podem experimentar as APIs discutidas por si mesmos.

O curso também aborda e explica as falhas de programação mais frequentes e graves da linguagem Java e plataforma, cobrindo tanto os erros típicos cometidos pelos programadores Java quanto os problemas específicos da linguagem e do ambiente. Todas as vulnerabilidades e os ataques relevantes são demonstrados através de exercícios fáceis de entender, seguidos pelas diretrizes de codificação recomendadas e pelas técnicas de mitigação possíveis.

Os participantes que frequentarem este curso irão

• Entender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender sobre vulnerabilidades Web além do OWASP Top Ten e saber como evitá-las
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Aprender sobre erros de codificação típicos e como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes no framework Java
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores

Descrição

Para além de conhecimentos sólidos na utilização de componentes Java, mesmo para programadores Java experientes é essencial ter um conhecimento profundo das vulnerabilidades relacionadas com a Web, tanto do lado do servidor como do lado do cliente, as diferentes vulnerabilidades que são relevantes para as aplicações Web escritas em Java e as consequências dos vários riscos.

As vulnerabilidades gerais baseadas na Web são demonstradas através da apresentação dos ataques relevantes, enquanto as técnicas de codificação recomendadas e os métodos de atenuação são explicados no contexto de Java com o objetivo mais importante de evitar os problemas associados. Além disso, é dada especial atenção à segurança do lado do cliente, abordando questões de segurança de JavaScript, Ajax e HTML5.

O curso introduz os componentes de segurança da edição padrão Java, que é precedida dos fundamentos da criptografia, fornecendo uma base comum para a compreensão do objetivo e do funcionamento dos componentes aplicáveis. A utilização de todos os componentes é apresentada através de exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

Finalmente, o curso explica as falhas de programação mais frequentes e graves da linguagem e da plataforma Java. Para além dos erros típicos cometidos pelos programadores de Java, as vulnerabilidades de segurança introduzidas abrangem tanto questões específicas da linguagem como problemas decorrentes do ambiente de execução. Todas as vulnerabilidades e os ataques relevantes são demonstrados através de exercícios fáceis de compreender, seguidos das diretrizes de codificação recomendadas e das possíveis técnicas de mitigação.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática da criptografia
• Aprender sobre erros típicos de codificação e como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes na estrutura Java
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

Participantes que frequentam este curso em Coimbra irão

• Compreender conceitos básicos de segurança, segurança de TI e codificação segura
• Aprender vulnerabilidades web além do Top Ten OWASP e saber como evitá-las
• Aprender vulnerabilidades client-side e práticas de codificação segura
• Aprender a usar diversos recursos de segurança do ambiente de desenvolvimento Java
• Ter uma compreensão prática de criptografia
• Compreender conceitos de segurança de serviços web
• Compreender soluções de segurança de Java EE
• Aprender sobre erros típicos de codificação e como evitá-los
• Obter informações sobre algumas vulnerabilidades recentes no framework Java
• Adquirir conhecimento prático no uso de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Como programador, o seu dever é escrever código à prova de bala.

E se lhe disséssemos que, apesar de todos os seus esforços, o código que tem escrito durante toda a sua carreira está cheio de pontos fracos que nunca soube que existiam? E se, enquanto está a ler isto, os hackers estivessem a tentar entrar no seu código? Qual seria a probabilidade de terem sucesso? E se eles pudessem roubar a sua base de dados e vendê-la no mercado negro?

Este curso de segurança de aplicações Web vai mudar a forma como olha para o código. Uma formação prática durante a qual lhe ensinaremos todos os truques dos atacantes e como os atenuar, deixando-o apenas com o desejo de saber mais.

É a sua escolha para estar à frente do pelotão e ser visto como um agente de mudança na luta contra o cibercrime.

Os delegados participantes irão:

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Saber mais sobre Node.js segurança
• Conhecer a segurança MongoDB
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender os conceitos de segurança dos serviços Web
• Conhecer a segurança JSON
• Obter conhecimentos práticos sobre a utilização de técnicas e ferramentas de teste de segurança
• Aprender a lidar com vulnerabilidades nas plataformas, estruturas e bibliotecas utilizadas
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Há várias linguagens de programação disponíveis hoje para compilar código para os frameworks .NET e ASP.NET. O ambiente fornece meios poderosos para o desenvolvimento de segurança, mas os desenvolvedores devem saber como aplicar as técnicas de programação nos níveis de arquitetura e codificação para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar aos desenvolvedores, através de numerosos exercícios práticos, como prevenir que o código não confiável execute ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, lidar com sessões, introduzir diferentes implementações para certa funcionalidade, entre muitos outros aspectos.

A introdução a diferentes vulnerabilidades começa apresentando alguns problemas de programação típicos quando se usa .NET, enquanto a discussão sobre as vulnerabilidades do ASP.NET também aborda várias configurações de ambiente e seus efeitos. Finalmente, o tópico de vulnerabilidades específicas do ASP.NET não apenas trata de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque como o ataque ao ViewState ou os ataques de terminação de strings.

Os participantes que frequentarem este curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Aprender sobre vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• Aprender a usar várias funcionalidades de segurança do ambiente de desenvolvimento .NET
• Obter conhecimento prático no uso de ferramentas de testes de segurança
• Aprender sobre erros de codificação típicos e como evitá-los
• Obter informações sobre vulnerabilidades recentes no .NET e ASP.NET
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores

Para além de conhecimentos sólidos na utilização de várias funcionalidades de segurança do .NET e do ASP.NET, mesmo para programadores experientes é essencial ter um conhecimento profundo das vulnerabilidades relacionadas com a Web, tanto do lado do servidor como do lado do cliente, bem como das consequências dos vários riscos.

Neste curso, as vulnerabilidades gerais baseadas na Web são demonstradas através da apresentação dos ataques relevantes, enquanto as técnicas de codificação recomendadas e os métodos de atenuação são explicados no contexto do ASP.NET. É dada especial atenção à segurança do lado do cliente, abordando questões de segurança de JavaScript, Ajax e HTML5.

O curso também aborda a arquitetura de segurança e os componentes da estrutura .NET, incluindo o controlo de acesso baseado em código e funções, a declaração de permissões e os mecanismos de verificação e o modelo de transparência. Uma breve introdução aos fundamentos da criptografia fornece uma base prática comum para compreender o objetivo e o funcionamento de vários algoritmos, com base na qual o curso apresenta as caraterísticas criptográficas que podem ser utilizadas em .NET.

A introdução de diferentes falhas de segurança segue as categorias de vulnerabilidade bem estabelecidas, abordando a validação de entradas, as funcionalidades de segurança, o tratamento de erros, os problemas relacionados com o tempo e o estado, o grupo de problemas gerais de qualidade do código e uma secção especial sobre vulnerabilidades específicas do ASP.NET. Estes tópicos são concluídos com uma visão geral das ferramentas de teste que podem ser utilizadas para revelar automaticamente alguns dos erros detectados.

Os tópicos são apresentados através de exercícios práticos em que os participantes podem experimentar as consequências de determinadas vulnerabilidades, as atenuações, bem como as APIs e ferramentas discutidas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Aprender a usar vários recursos de segurança do ambiente de desenvolvimento .NET
• Ter uma compreensão prática da criptografia
• Obter informações sobre algumas vulnerabilidades recentes em .NET e ASP.NET
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Conhecer os erros de codificação típicos e como evitá-los
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O curso introduz alguns conceitos de segurança comuns, fornece uma visão geral sobre a natureza das vulnerabilidades independentemente das linguagens de programação e plataformas utilizadas, e explica como lidar com os riscos relacionados à segurança do software em todas as fases do ciclo de vida de desenvolvimento de software. Sem entrar em detalhes técnicos profundos, destaca algumas das vulnerabilidades mais interessantes e dolorosas em diversas tecnologias de desenvolvimento de software, e apresenta os desafios do teste de segurança, juntamente com algumas técnicas e ferramentas que podem ser aplicadas para encontrar problemas existentes no código.

Os participantes deste curso irão

• Compreender conceitos básicos de segurança, segurança da TI e codificação segura
• Entender vulnerabilidades web tanto no lado do servidor quanto do cliente
• Reconhecer as sérias consequências de um tratamento inadequado de buffers
• Ficar informados sobre algumas vulnerabilidades recentes em ambientes e frameworks de desenvolvimento
• Aprender sobre erros de codificação típicos e como evitá-los
• Compreender abordagens e metodologias de teste de segurança

Público-alvo

Gerentes

O curso fornece aos programadores de PHP as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet. As vulnerabilidades da Web são discutidas através de exemplos baseados em PHP que vão além dos OWASP dez principais, abordando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões de PHP, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. As vulnerabilidades relacionadas com o PHP são introduzidas agrupadas nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou incorrecta, tratamento incorreto de erros e excepções, utilização incorrecta de caraterísticas de segurança e problemas relacionados com o tempo e o estado. Neste último caso, são discutidos ataques como a evasão do open_basedir, a negação de serviço através do magic float ou o ataque de colisão de tabelas de hash. Em todos os casos, os participantes familiarizar-se-ão com as técnicas e funções mais importantes a utilizar para mitigar os riscos enumerados.

É dada especial atenção à segurança do lado do cliente, abordando as questões de segurança de JavaScript, Ajax e HTML5. São introduzidas várias extensões de PHP relacionadas com a segurança, como hash, mcrypt e OpenSSL para criptografia, ou Ctype, ext/filter e HTML Purifier para validação de entradas. As melhores práticas de proteção são apresentadas em relação à configuração do PHP (definição do php.ini), do Apache e do servidor em geral. Finalmente, é dada uma visão geral de várias ferramentas e técnicas de teste de segurança que os desenvolvedores e testadores podem usar, incluindo scanners de segurança, testes de penetração e pacotes de exploração, sniffers, servidores proxy, ferramentas de fuzzing e analisadores estáticos de código-fonte.

Tanto a introdução de vulnerabilidades como as práticas de configuração são apoiadas por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como aplicar técnicas de mitigação e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Ter um conhecimento prático de criptografia
• Aprender a utilizar várias funcionalidades de segurança do PHP
• Conhecer os erros típicos de codificação e saber como evitá-los
• Ser informado sobre as vulnerabilidades recentes da estrutura PHP
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O treinamento principal do SDL Combinado fornece uma visão do design, desenvolvimento e teste de software seguro por meio do Microsoft Secure Development Lifecycle (SDL). Ele fornece uma visão geral de nível 100 dos blocos de construção fundamentais do SDL, seguidos por técnicas de design a serem aplicadas para detectar e corrigir falhas nos estágios iniciais do processo de desenvolvimento.

Lidando com a fase de desenvolvimento, o curso oferece uma visão geral dos erros típicos de programação relevantes de segurança, tanto do código gerenciado quanto nativo. Os métodos de ataque são apresentados para as vulnerabilidades discutidas, juntamente com as técnicas de mitigação associadas, todas explicadas através de vários exercícios práticos proporcionando diversão ao vivo dos hackers para os participantes. A introdução de diferentes métodos de teste de segurança é seguida pela demonstração da eficácia de várias ferramentas de teste. Os participantes podem entender o funcionamento dessas ferramentas por meio de vários exercícios práticos, aplicando as ferramentas ao código vulnerável já discutido.

Os participantes deste curso aprenderão a

Compreender conceitos básicos de segurança, segurança de TI e codificação segura

Familiarizar-se com os passos essenciais do Microsoft Secure Development Lifecycle

Aprender práticas de design e desenvolvimento seguro

Aprender sobre princípios de implementação segura

Compreender a metodologia de teste de segurança

• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público

Desenvolvedores, gerentes

Depois de se familiarizarem com as vulnerabilidades e os métodos de ataque, os participantes ficam a conhecer a abordagem geral e a metodologia dos testes de segurança, bem como as técnicas que podem ser aplicadas para revelar vulnerabilidades específicas. Os testes de segurança devem começar com a recolha de informações sobre o sistema (ToC, ou seja, o objetivo da avaliação) e, em seguida, uma modelação exaustiva das ameaças deve revelar e classificar todas as ameaças, chegando ao plano de testes mais adequado baseado na análise de riscos.

As avaliações de segurança podem ocorrer em várias etapas do SDLC, pelo que discutimos a revisão da conceção, a revisão do código, o reconhecimento e a recolha de informações sobre o sistema, o teste da implementação e o teste e reforço do ambiente para uma implantação segura. São introduzidas em pormenor muitas técnicas de teste da segurança, como a análise de manchas e a revisão de código baseada em heurísticas, a análise de código estático, o teste dinâmico de vulnerabilidades da Web ou o fuzzing. São apresentados vários tipos de ferramentas que podem ser aplicadas para automatizar a avaliação da segurança de produtos de software, o que também é apoiado por uma série de exercícios, em que estas ferramentas são executadas para analisar o código vulnerável já discutido. Muitos estudos de caso da vida real apoiam uma melhor compreensão de várias vulnerabilidades.

Este curso prepara os testadores e o pessoal de QA para planear adequadamente e executar com precisão os testes de segurança, selecionar e utilizar as ferramentas e técnicas mais apropriadas para encontrar falhas de segurança ocultas e, assim, fornece competências práticas essenciais que podem ser aplicadas no dia de trabalho seguinte.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além do OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Compreender as abordagens e metodologias dos testes de segurança
• Obter conhecimentos práticos sobre a utilização de técnicas e ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Programadores, testadores

A proteção de aplicativos acessíveis via web requer profissionais de segurança bem preparados que estejam sempre cientes dos métodos e tendências de ataque atuais. Existem diversas tecnologias e ambientes que permitem o desenvolvimento confortável de aplicativos web. Não se deve apenas estar ciente das questões de segurança relevantes para essas plataformas, mas também de todas as vulnerabilidades gerais que se aplicam independentemente das ferramentas de desenvolvimento utilizadas.

O curso oferece uma visão geral das soluções de segurança aplicáveis em aplicativos web, com foco especial na compreensão das soluções criptográficas mais importantes a serem aplicadas. As várias vulnerabilidades de aplicativos web são apresentadas tanto no lado do servidor (segundo o OWASP Top Ten) quanto no lado do cliente, demonstradas através dos ataques relevantes, e seguidas pelas técnicas de codificação recomendadas e métodos de mitigação para evitar os problemas associados. O tema da codificação segura é concluído com a discussão de alguns erros de programação típicos no domínio da validação de entrada, uso inadequado de recursos de segurança e qualidade do código.

O teste desempenha um papel muito importante na garantia da segurança e robustez dos aplicativos web. Diversas abordagens – desde auditorias de alto nível até testes de penetração e hacking ético – podem ser aplicadas para encontrar vulnerabilidades de diferentes tipos. No entanto, se você quiser ir além das vulnerabilidades fáceis de encontrar, os testes de segurança devem ser bem planejados e executados adequadamente. Lembre-se: os testadores de segurança deveriam idealmente encontrar todos os bugs para proteger um sistema, enquanto para os adversários basta encontrar uma única vulnerabilidade explorável para penetrar nele.

Exercícios práticos ajudarão na compreensão das vulnerabilidades de aplicativos web, erros de programação e, mais importante, nas técnicas de mitigação, juntamente com testes práticos de várias ferramentas de teste, desde scanners de segurança, passando por sniffers, servidores proxy, ferramentas de fuzzing até analisadores estáticos de código-fonte. Este curso fornece as habilidades práticas essenciais que podem ser aplicadas no dia seguinte no local de trabalho.

Os participantes deste curso

• Compreenderão conceitos básicos de segurança, segurança da TI e codificação segura
• Aprenderão sobre vulnerabilidades web além do OWASP Top Ten e saberão como evitá-las
• Aprenderão sobre vulnerabilidades no lado do cliente e práticas de codificação segura
• Terão uma compreensão prática da criptografia
• Compreenderão abordagens e metodologias de teste de segurança
• Obterão conhecimento prático na utilização de técnicas e ferramentas de teste de segurança
• Serão informados sobre vulnerabilidades recentes em várias plataformas, frameworks e bibliotecas
• Receberão fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores, Testadores

A Web Application Security é a disciplina de proteção de aplicações online contra ameaças e vulnerabilidades modernas de segurança, incluindo aquelas que são independentes da plataforma e afetam a arquitetura central das aplicações e o tratamento de entrada.

Esta formação presencial (online ou no local) é direcionada para desenvolvedores intermediários que desejam entender e aplicar técnicas de codificação segura para mitigar vulnerabilidades da web e implementar uma segurança robusta em aplicações web.

No final desta formação, os participantes serão capazes de:

• Compreender conceitos básicos de segurança, segurança de TI e codificação segura.
• Aprender sobre vulnerabilidades da Web além das Top Ten OWASP e saber como evitá-las.
• Aprender sobre vulnerabilidades do lado do cliente e práticas de codificação segura.
• Ter uma compreensão prática de criptografia.
• Compreender conceitos de segurança de serviços Web.
• Obter conhecimento prático no uso de ferramentas de teste de segurança.
• Obter fontes e leituras adicionais sobre práticas de codificação segura.

Formato do Curso

• Aula interativa e discussão.
• Muitos exercícios e prática.
• Implementação prática em um ambiente de laboratório ao vivo.

Opções de Personalização do Curso

• Para solicitar uma formação personalizada para este curso, entre em contato conosco para agendar.

Neste curso ministrado por um instrutor e ao vivo em Coimbra, os participantes aprenderão como formular a estratégia de segurança adequada para enfrentar o desafio da segurança DevOps.

Esta formação ao vivo orientada por um instrutor (online ou no local) destina-se a programadores, engenheiros e arquitectos que procuram proteger as suas aplicações e serviços Web.

No final desta formação, os participantes serão capazes de integrar, testar, proteger e analisar as suas aplicações e serviços Web utilizando a estrutura e as ferramentas de teste OWASP

Este Curso em Coimbra visa ajudar nos seguintes aspectos:

1. Ajudar Desenvolvedores a dominar as técnicas de escrita de Código Seguro
2. Ajudar Testadores de Software a testar a segurança da aplicação antes de publicá-la no ambiente de produção
3. Ajudar Arquitetos de Software a compreender os riscos associados às aplicações
4. Ajudar Líderes de Equipe a estabelecer as bases de segurança para os desenvolvedores
5. Ajudar Web Masters a configurar os Servidores para evitar configurações incorretas

Este curso aborda os conceitos e princípios de codificação segura com Java através da metodologia de testes do Open Web Application Security Project (OWASP). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentações, ferramentas e tecnologias de forma gratuita na área de segurança de aplicativos web.

Este curso aborda os conceitos e princípios de codificação segura com ASP.NET através da metodologia de teste do Open Web Application Security Project (OWASP). O OWASP é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias gratuitamente disponíveis na área de segurança de aplicativos web.

Este Curso explora as funcionalidades de segurança do Framework .NET e como proteger aplicativos web.   
    
    
    
    
    

Descrição:

Este curso dará aos participantes um conhecimento profundo sobre conceitos de segurança, conceitos de aplicações Web e estruturas utilizadas pelos programadores para poderem explorar e proteger aplicações específicas. No mundo de hoje, que está a mudar rapidamente e, portanto, todas as tecnologias utilizadas também mudam a um ritmo acelerado, as aplicações web estão expostas a ataques de hackers 24/7. Para proteger as aplicações de atacantes externos, é necessário conhecer todos os elementos que constituem a aplicação Web, como as estruturas, as linguagens e as tecnologias utilizadas no desenvolvimento de aplicações Web, e muito mais do que isso. O problema é que o atacante tem de conhecer apenas uma forma de invadir a aplicação e o programador (ou administrador de sistemas) tem de conhecer todas as explorações possíveis para evitar que isso aconteça. Por esse motivo, é muito difícil ter uma aplicação Web segura à prova de bala e, na maioria dos casos, a aplicação Web é vulnerável a alguma coisa. Esta vulnerabilidade é regularmente explorada por cibercriminosos e hackers casuais e pode ser minimizada através de um planeamento, desenvolvimento, teste e configuração corretos da aplicação Web.

Objectivos:

Fornecer as competências e os conhecimentos necessários para compreender e identificar possíveis explorações em aplicações Web activas e para explorar as vulnerabilidades identificadas. Graças aos conhecimentos adquiridos durante a fase de identificação e exploração, o formando deverá ser capaz de proteger a aplicação Web contra ataques semelhantes. Após este curso, o participante será capaz de compreender e identificar as OWASP 10 principais vulnerabilidades e de incorporar esse conhecimento no esquema de proteção de aplicações Web.

Público-alvo:

Programadores, polícia e outros agentes da autoridade, pessoal da defesa e militar, profissionais de segurança eletrónica, administradores de sistemas, profissionais da banca, seguros e outros, agências governamentais, gestores de TI, CISO e CTO.