Azerbaycan Certified Java and Web application security Eğitimi

Bu NCSC Sertifikalı eğitimi, Avatao platformunu dünyaca ünlü Güvenli Kodlama ortağımız Scademy'nin uzman içeriğiyle birleştiren karma bir öğrenme deneyimi sunar.

Java'da web uygulamaları yazmak oldukça karmaşık olabilir; bunun nedenleri eski teknolojilerle veya yetersiz belgelenmiş üçüncü taraf bileşenlerle uğraşmaktan keskin teslim tarihlerine ve kod sürdürülebilirliğine kadar uzanır. Ancak tüm bunların ötesinde, saldırganların şu anda kodunuza girmeye çalıştığını söylesek? Başarılı olma olasılıkları ne kadar olurdu?

"Certified Java and Web application security" eğitimi Java kodunuza bakış açınızı değiştirecek. Bilgisayar korsanlarının sisteminize saldırmasına izin verebilecek yaygın zayıflıkları ve bunların sonuçlarını ve daha da önemlisi kendinizi korumak için uygulayabileceğiniz en iyi uygulamaları öğreteceğiz. Java çalışma zamanı ortamından modern AJAX ve HTML5 tabanlı ön uçlara kadar tüm yığında Java web uygulamalarını nasıl etkilediklerine odaklanarak tipik Web güvenlik açıklarını ele alıyoruz. Ayrıca, Java platformunun güvenlik yönlerini ve farkında olmanız gereken tipik Java programlama hatalarını tartışıyoruz. Tüm eğitimi ilgi çekici ve eğlenceli tutmak için canlı pratik alıştırmalarla sunuyoruz.

Güvenli kod yazmak, rakipleriniz karşısında size belirgin bir avantaj sağlayacaktır. Sürünün önünde olmak sizin seçiminizdir - bir adım atın ve siber suçla mücadelede oyunun kurallarını değiştirin.

"Certified Java and Web application security" eğitim konuları şunları içerir:

• BT güvenliği ve güvenli kodlama
• Web uygulaması güvenliği
• İstemci tarafı güvenliği
• Java güvenliğinin temelleri
• Pratik kriptografi
• Java güvenlik hizmetleri
• Yaygın kodlama hataları ve güvenlik açıkları
• Güvenlik ve güvenli kodlama ilkeleri
• Bilgi kaynakları

Katılımcılar, eğitimde öğrendiklerini uygulamak için Avatao platformuna iki hafta erişim sağlayabileceklerdir.

"Certified Java and Web application security" eğitimine katılım için genel Java geliştirme becerilerine ihtiyaç vardır.

• Güvenlik, BT güvenliği ve güvenli kodlamanın temel kavramlarını anlayın
• OWASP Top Ten'in ötesindeki Web güvenlik açıklarını öğrenin ve bunlardan nasıl kaçınacağınızı öğrenin
• XML güvenliği hakkında bilgi edinin
• Dağıtım ortamını güvenli bir şekilde nasıl kuracağınızı ve çalıştıracağınızı öğrenin
• İstemci tarafı güvenlik açıklarını ve güvenli kodlama uygulamalarını öğrenin
• Java geliştirme ortamının çeşitli güvenlik özelliklerini kullanmayı öğrenin
• Kriptografi hakkında pratik bir anlayışa sahip olun
• Tipik kodlama hataları ve bunlardan nasıl kaçınacağınızı öğrenin
• Java çerçevesindeki bazı son güvenlik açıkları hakkında bilgi edinin
• Güvenli kodlama uygulamaları hakkında kaynaklar ve daha fazla okuma edinin

Not: Bu eğitim, gerçek zamanlı etik hackleme eğlencesi sağlayan bir dizi anlaşılması kolay alıştırma ile birlikte gelir. Bu alıştırmaları eğitmenin desteğiyle gerçekleştirerek, katılımcılar güvenlik açığı olan kod parçacıklarını analiz edebilir ve belirli güvenlik sorunlarının temel nedenlerini tam olarak anlamak için bunlara karşı saldırılar gerçekleştirebilirler. Tüm alıştırmalar, tek tip bir geliştirme ortamı sağlayan önceden ayarlanmış bir masaüstü sanal makinesi kullanılarak tak ve çalıştır tarzında hazırlanır.

1. Gün

BT güvenliği ve güvenli kodlama

• Güvenliğin doğası
• Risk nedir?
• BT güvenliği ve güvenli kodlama
• Güvenlik açıklarından botnet'lere ve siber suçlara
• Güvenlik kusurlarının doğası
• Zorluk nedenleri
• Enfekte bir bilgisayardan hedefli saldırılara
• Yedi Zararlı Krallık
• OWASP İlk On 2017

Web uygulaması güvenliği

• Enjeksiyon
• Enjeksiyon prensipleri
• SQL enjeksiyonu
• Alıştırma – SQL Enjeksiyonu
• Alıştırma – SQL enjeksiyonu
• Tipik SQL Enjeksiyonu saldırı yöntemleri
• Kör ve zaman tabanlı SQL enjeksiyonu
• SQL enjeksiyonu koruma yöntemleri
• Diğer enjeksiyon kusurları
• Komut enjeksiyonu
• Vaka çalışması – ImageMagick
• Bozuk kimlik doğrulama
• Oturum işleme tehditleri
• Oturum işleme en iyi uygulamaları
• Java'da oturum işleme
• Çerez özniteliklerini ayarlama – en iyi uygulamalar
• Hassas veri ifşası
• Taşıma katmanı güvenliği
• HTTPS'yi uygulama
• XML harici varlık (XXE)
• XML Varlık tanıtımı
• XML bombası
• Alıştırma – XML bombası
• XML harici varlık saldırısı (XXE) – kaynak dahil etme
• XML harici varlık saldırısı – URL çağrısı
• XML harici varlık saldırısı – parametre varlıkları
• Alıştırma – XXE saldırısı
• Varlıkla ilgili saldırıları önleme
• Vaka çalışması – Google Araç Çubuğunda XXE
• Bozuk erişim denetimi
• Tipik erişim denetimi zayıflıkları
• Güvensiz doğrudan nesne referansı (IDOR)
• Alıştırma – Güvensiz doğrudan nesne referansı
• IDOR'a karşı koruma
• Vaka çalışması – Facebook Notları
• Alıştırma – Yetkilendirme atlama
• Güvenlik yanlış yapılandırması
• Yapılandırma yönetimi
• Güçlendirme
• Yama yönetimi
• Ortamı yapılandırma
• Güvensiz dosya yüklemeleri
• Alıştırma – Yürütülebilir dosyaları yükleme
• Dosya yüklemelerini filtreleme – doğrulama ve yapılandırma
• Siteler Arası Komut Dosyası Oluşturma (XSS)
• Kalıcı XSS
• Yansıyan XSS
• DOM tabanlı XSS
• Alıştırma – Siteler Arası Komut Dosyası Oluşturma
• Kullanım: CSS enjeksiyonu
• Kullanım: <base> etiketini enjekte etme
• Alıştırma – Temel etiketle HTML enjeksiyonu
• XSS önleme
• Java ve JSP'de XSS önleme araçları
• Güvensiz serileştirme
• Serileştirme temelleri
• Serileştirmenin güvenlik zorlukları
• Java'da serileştirme
• Serileştirmeden kod yürütmeye
• POP Apache Commons aygıtını (Java) hedefleyen yük
• Gerçek dünyadan Java'da serileştirme zafiyetleri örnekleri
• Serileştirme zafiyetleriyle ilgili sorunlar – JSON
• Serileştirme zafiyetlerine karşı en iyi uygulamalar

2. Gün

İstemci tarafı güvenliği

• JavaScript güvenliği
• Aynı Köken Politikası
• Çapraz Köken Kaynak Paylaşımı (CORS)
• Alıştırma – İstemci tarafı kimlik doğrulaması
• İstemci tarafı kimlik doğrulaması ve parola yönetimi
• JavaScript kodunu koruma
• Alıştırma – JavaScript karartma
• Tıklama korsanlığı
• Alıştırma – Beni seviyor musun?
• Clickjacking'e karşı koruma
• Çerçeve bozmaya karşı koruma – koruma betiklerini reddetme
• Çerçeve bozmaya karşı koruma
• AJAX güvenliği
• AJAX'ta XSS
• AJAX'ta betik enjeksiyon saldırısı
• Alıştırma – AJAX'ta XSS
• Ajax'ta XSS koruması
• Alıştırma AJAX'ta CSRF – JavaScript ele geçirme
• AJAX'ta CSRF koruması
• HTML5 güvenliği
• HTML5'te yeni XSS olasılıkları
• HTML5 tıklama kaçırma saldırısı – metin alanı enjeksiyonu
• HTML5 tıklama kaçırma – içerik çıkarma
• Form kurcalama
• Alıştırma – Form kurcalama
• Çapraz kökenli istekler
• Çapraz kökenli istekle HTML proxy'si
• Alıştırma – İstemci tarafı dahil etme

Java güvenliğinin temelleri

• Java ortamı
• Java güvenliği
• Düşük seviyeli güvenlik – Java dili ve ortamı
• Java dili güvenliği
• Tür güvenliği
• Otomatik bellek yönetimi
• Java yürütme genel bakışı
• Baytkod Doğrulayıcı
• Sınıf Yükleyici
• Java kodunu koruma
• Yüksek seviyeli güvenlik – erişim denetimi
• Koruma alanları
• Güvenlik Yöneticisi ve Erişim Denetleyicisi
• İzin denetimi
• doPrivileged'ın etkileri

Pratik kriptografi

• Kripto sistemleri
• Kripto sisteminin unsurları
• Simetrik anahtar kriptografisi
• Simetrik kriptografi ile gizlilik sağlama
• Simetrik şifreleme algoritmaları
• Blok şifreleri – çalışma modları
• Diğer kriptografik algoritmalar
• Karma veya mesaj özeti
• Karma algoritmaları
• SHAttered
• Mesaj Kimlik Doğrulama Kodu (MAC)
• Simetrik bir anahtarla bütünlük ve kimlik doğrulama sağlama
• Rastgele sayılar ve kriptografi
• Kriptografik olarak güçlü PRNG'ler
• Donanım tabanlı TRNG'ler
• Asimetrik (genel anahtar) kriptografi
• Genel anahtar şifrelemesiyle gizlilik sağlama
• Kural – özel anahtara sahip olma
• Simetrik ve asimetrik algoritmaları birleştirme
• Genel Anahtar Altyapısı (PKI)
• Ortak Adam (MitM) saldırısı
• MitM saldırısına karşı dijital sertifikalar
• Genel Anahtar Altyapısında Sertifika Yetkilileri
• X.509 dijital sertifika
• Egzersiz Kavanozları – İmzalanmış koda izin verme

Java güvenlik hizmetleri

• Java güvenlik hizmetleri – mimari
• Java Kriptografik Mimarisi
• Java Kriptografi Mimarisi / Uzantısı (JCA/JCE)
• Kriptografik Hizmet Sağlayıcılarını Kullanma
• Motor sınıfları ve algoritmalar
• Egzersiz İmzası – İmzaları oluşturma ve doğrulama

3. Gün

Yaygın kodlama hataları ve güvenlik açıkları

• Giriş doğrulama
• Giriş doğrulama kavramları
• Tamsayı sorunları
• Negatif tamsayıların gösterimi
• Tamsayı taşması
• Alıştırma IntOverflow
• Math.abs(Integer.MIN_VALUE) değeri nedir?
• Tamsayı sorunu – en iyi uygulamalar
• Java vaka çalışması
• Yol geçişi güvenlik açığı
• Yol geçişi azaltma
• Vaka çalışması – LastPass'ta yetersiz URL doğrulaması
• Geçersiz yönlendirmeler ve iletmeler
• Güvenli olmayan yerel çağrılar
• Güvenli olmayan JNI
• Alıştırma Güvenli olmayan JNI
• Güvenli olmayan yansıma
• Bir komut dağıtıcısının uygulanması
• Güvenli olmayan yansıma – hatayı tespit edin!
• Güvenli olmayan yansımanın azaltılması
• Günlük sahteciliği
• Günlük dosyalarıyla ilgili diğer bazı tipik sorunlar
• Güvenlik özelliklerinin uygunsuz kullanımı
• Güvenlik özelliklerinin kullanımıyla ilgili tipik sorunlar
• Güvensiz rastgelelik
• Java'da zayıf PRNG'ler
• RastgeleTest Egzersizi
• Java'da rastgele sayılar kullanma – hatayı bulun!
• Şifre yönetimi
• Alıştırma – Karma şifrelerin zayıflığı
• Şifre yönetimi ve depolama
• Şifre depolama için özel amaçlı karma algoritmaları
• Java'da Argon2 ve PBKDF2 uygulamaları
• Java'da bcrypt ve scrypt uygulamaları
• Vaka çalışması – Ashley Madison veri ihlali
• Şifre yönetimindeki tipik hatalar
• Alıştırma – Sabit kodlanmış şifreler
• Erişilebilirlik değiştiricileri
• Java'da yansıma ile özel alanlara erişim
• Alıştırma Yansıma – Yansıma ile özel alanlara erişim
• Alıştırma ScademyPay – Bütünlük koruma zayıflığı
• Uygun olmayan hata ve istisna işleme
• Hata ve istisna işleme ile ilgili tipik sorunlar
• Boş yakalama bloğu
• Aşırı geniş atışlar
• Aşırı geniş yakalama
• Çoklu yakalama kullanma
• NullPointerException yakalama
• İstisna işleme – hatayı tespit edin!
• Egzersiz ScademyPay – Hata işleme
• Egzersiz – Hata raporlaması yoluyla bilgi sızıntısı
• Kod kalitesi sorunları
• Düşük kod kalitesinden kaynaklanan tehlikeler
• Düşük kod kalitesi – hatayı bulun!
• Yayınlanmamış kaynaklar
• Özel diziler – hatayı bulun!
• Özel diziler – genel bir yöntemden döndürülen türlendirilmiş alan
• Egzersiz Nesne Kaçırma
• Son olmayan genel yöntem – nesne kaçırma
• Değiştirilemez Dize – hatayı bulun!
• Egzersiz Değiştirilemez Dize
• Değiştirilemezlik ve güvenlik
• Serileştirme – hatayı bulun!
• Egzersiz Serileştirilebilir Hassas

Güvenlik ve güvenli kodlama ilkeleri

• Matt Bishop'un sağlam programlama ilkeleri
• Saltzer ve Schroeder'in güvenlik ilkeleri

Bilgi kaynakları

• Güvenli kodlama kaynakları – başlangıç seti
• Güvenlik açığı veritabanları
• Java güvenli kodlama kaynakları
• Önerilen kitaplar – Java

Sınav Bilgileri

Bu bir NCSC Sertifikalı eğitimidir. Sınav, eğitimden sonra delegelerin kendi zamanlarında girecekleri Sertifika için bir Proctor-U APMG sınavıdır. Delegeler, genellikle sınavdan iki hafta sonra erişilebilen AMPG aday portallarına erişmek için bireysel e-postalar alacaklardır.

Katılımcılar, eğitimde öğrendiklerini pratik etmek için Avatao dijital platformuna iki hafta erişim sağlarlar.