Curso de Application Security para Desenvolvedores

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Escrever código seguro em C e C++ exige uma defesa rigorosa contra exploração maliciosa, corrupção de memória e burlas de validação de entrada. Este programa analisa padrões de vulnerabilidade, incluindo estouro de buffer, uso após liberação, estouro inteiro e confusão de tipos. Os participantes aplicam diretrizes de programação segura, ferramentas de análise estática e técnicas de programação defensiva para eliminar falhas, impor a sanitização de entradas e entregar software endurecido, resistente a ciberataques.

Até mesmo programadores experientes em Java nem sempre dominam todos os serviços de segurança oferecidos pela linguagem, além de desconhecirem as diversas vulnerabilidades relevantes para aplicações web escritas em Java.

Além de introduzir os componentes de segurança da Standard Java Edition (Java SE), este curso aborda questões de segurança do Java Enterprise Edition (JEE) e de serviços web. A discussão sobre serviços específicos é precedida pelos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativa e programática no JEE, enquanto a segurança em nível de transporte e de ponta a ponta nos serviços web é discutida. O uso de todos os componentes é apresentado por meio de exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também revisa e explica as falhas de programação mais frequentes e graves da linguagem Java e de sua plataforma, bem como as vulnerabilidades relacionadas à web. Além dos bugs típicos cometidos por programadores Java, as vulnerabilidades de segurança abordadas cobrem tanto questões específicas da linguagem quanto problemas derivados do ambiente de execução. Todas as vulnerabilidades e os ataques pertinentes são demonstrados por meio de exercícios de fácil compreensão, seguidos pelas diretrizes recomendadas de codificação e pelas possíveis técnicas de mitigação.

Os participantes que concluírem este curso serão capazes de:

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura.
• Aprender sobre vulnerabilidades web além das OWASP Top Ten e saber como evitá-las.
• Compreender os conceitos de segurança de serviços web.
• Aprender a utilizar vários recursos de segurança do ambiente de desenvolvimento Java.
• Ter um entendimento prático de criptografia.
• Compreender as soluções de segurança do Java EE.
• Aprender sobre erros de codificação típicos e como evitá-los.
• Obter informações sobre algumas vulnerabilidades recentes no framework Java.
• Adquirir conhecimento prático no uso de ferramentas de teste de segurança.
• Obter fontes e leituras complementares sobre práticas de codificação segura.

Público-alvo

Desenvolvedores

Existem diversas linguagens de programação disponíveis atualmente para compilar código para os frameworks .NET e ASP.NET. O ambiente oferece meios poderosos para o desenvolvimento seguro, mas os desenvolvedores devem saber como aplicar técnicas de programação nos níveis de arquitetura e de código para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar os desenvolvedores, por meio de numerosos exercícios práticos, a impedir que código não confiável realize ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, gerenciar sessões, introduzir diferentes implementações para determinadas funcionalidades, entre outros aspectos.

A introdução às diferentes vulnerabilidades começa apresentando problemas de programação típicos cometidos ao utilizar .NET, enquanto a discussão sobre vulnerabilidades do ASP.NET também aborda as diversas configurações de ambiente e seus efeitos. Finalmente, o tópico das vulnerabilidades específicas do ASP.NET não trata apenas de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque, como ataques ao ViewState ou ataques de terminação de string.

Os participantes que cursarem este material aprenderão

• A compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• A conhecer vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• A utilizar os diversos recursos de segurança do ambiente de desenvolvimento .NET
• A adquirir conhecimento prático no uso de ferramentas de teste de segurança
• A aprender sobre erros de codificação típicos e como evitá-los
• A obter informações sobre algumas vulnerabilidades recentes no .NET e no ASP.NET
• A ter acesso a fontes e leituras complementares sobre práticas de codificação segura

Público-alvo

Desenvolvedores

O curso fornece aos programadores de PHP as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet. As vulnerabilidades da Web são discutidas através de exemplos baseados em PHP que vão além dos OWASP dez principais, abordando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões de PHP, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. As vulnerabilidades relacionadas com o PHP são introduzidas agrupadas nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou incorrecta, tratamento incorreto de erros e excepções, utilização incorrecta de caraterísticas de segurança e problemas relacionados com o tempo e o estado. Neste último caso, são discutidos ataques como a evasão do open_basedir, a negação de serviço através do magic float ou o ataque de colisão de tabelas de hash. Em todos os casos, os participantes familiarizar-se-ão com as técnicas e funções mais importantes a utilizar para mitigar os riscos enumerados.

É dada especial atenção à segurança do lado do cliente, abordando as questões de segurança de JavaScript, Ajax e HTML5. São introduzidas várias extensões de PHP relacionadas com a segurança, como hash, mcrypt e OpenSSL para criptografia, ou Ctype, ext/filter e HTML Purifier para validação de entradas. As melhores práticas de proteção são apresentadas em relação à configuração do PHP (definição do php.ini), do Apache e do servidor em geral. Finalmente, é dada uma visão geral de várias ferramentas e técnicas de teste de segurança que os desenvolvedores e testadores podem usar, incluindo scanners de segurança, testes de penetração e pacotes de exploração, sniffers, servidores proxy, ferramentas de fuzzing e analisadores estáticos de código-fonte.

Tanto a introdução de vulnerabilidades como as práticas de configuração são apoiadas por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como aplicar técnicas de mitigação e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Ter um conhecimento prático de criptografia
• Aprender a utilizar várias funcionalidades de segurança do PHP
• Conhecer os erros típicos de codificação e saber como evitá-los
• Ser informado sobre as vulnerabilidades recentes da estrutura PHP
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O treinamento combinado de SDL core fornece uma visão sobre o design, desenvolvimento e teste de software seguro através do ciclo de vida de desenvolvimento seguro da Microsoft (SDL). Ele oferece uma visão geral de nível 100 dos elementos fundamentais do SDL, seguida por técnicas de design para detectar e corrigir falhas em estágios iniciais do processo de desenvolvimento.

Em relação à fase de desenvolvimento, o curso apresenta uma visão geral dos bugs típicos de segurança em código gerenciado e nativo. Métodos de ataque são demonstrados para as vulnerabilidades discutidas, juntamente com as técnicas de mitigação associadas, todas explicadas através de exercícios práticos que proporcionam diversão ao vivo de hacking aos participantes. A introdução de diferentes métodos de teste de segurança é seguida pela demonstração da eficácia de diversas ferramentas de teste. Os participantes podem entender o funcionamento dessas ferramentas através de vários exercícios práticos, aplicando-as ao código vulnerável já discutido.

Os participantes que frequentarem este curso

Compreenderão conceitos básicos de segurança, segurança da TI e codificação segura

Conhecerão os passos essenciais do ciclo de vida de desenvolvimento seguro da Microsoft (SDL)

Aprenderão práticas de design e desenvolvimento seguros

Conhecerão princípios de implementação segura

Compreenderão a metodologia de teste de segurança

• Obterão fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores, Gerentes

Neste curso ministrado por um instrutor e ao vivo em Portugal, os participantes aprenderão como formular a estratégia de segurança adequada para enfrentar o desafio da segurança DevOps.

EC-Council Engenheiro Certificado DevSecOps (ECDE) é um curso prático projetado para equipar profissionais com as habilidades necessárias para incorporar segurança ao longo do ciclo de vida DevOps, habilitando o desenvolvimento seguro de software desde a fase de planejamento até a implantação.

Esta formação presencial ou online, conduzida por um instrutor, destina-se a profissionais intermediários de software e DevOps que desejam integrar práticas de segurança em pipelines CI/CD, garantindo a entrega de código seguro e conforme.

No final desta formação, os participantes serão capazes de:

• Compreender os princípios e práticas do DevSecOps.
• Segurar cada etapa dos pipelines CI/CD usando ferramentas automatizadas.
• Implementar práticas de codificação segura e varreduras de vulnerabilidades.
• Preparar-se para a certificação ECDE com laboratórios práticos e revisão.

Formato do Curso

• Aula interativa e discussão.
• Uso prático de ferramentas DevSecOps em pipelines simulados.
• Exercícios guiados focados no desenvolvimento seguro e implantação.

Opções de Personalização do Curso

• Para solicitar uma formação personalizada para este curso com base nos fluxos de trabalho ou cadeia de ferramentas da sua equipe, entre em contato conosco para agendar.

Este Curso em Portugal visa ajudar nos seguintes aspectos:

1. Ajudar Desenvolvedores a dominar as técnicas de escrita de Código Seguro
2. Ajudar Testadores de Software a testar a segurança da aplicação antes de publicá-la no ambiente de produção
3. Ajudar Arquitetos de Software a compreender os riscos associados às aplicações
4. Ajudar Líderes de Equipe a estabelecer as bases de segurança para os desenvolvedores
5. Ajudar Web Masters a configurar os Servidores para evitar configurações incorretas

Este curso aborda os conceitos e princípios de codificação segura com Java através da metodologia de testes do Open Web Application Security Project (OWASP). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentações, ferramentas e tecnologias de forma gratuita na área de segurança de aplicativos web.

Este curso aborda os conceitos e princípios de codificação segura com ASP.NET através da metodologia de teste do Open Web Application Security Project (OWASP). O OWASP é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias gratuitamente disponíveis na área de segurança de aplicativos web.

Este Curso explora as funcionalidades de segurança do Framework .NET e como proteger aplicativos web.