Azerbaycan SECURING .NET WEB APPLICATIONS (TT8320-N) Eğitimi

Bu eğitim OWASP Top Ten, Web Hizmetlerini, Zengin Arayüzleri ve daha fazlasını kapsamaktadır. 

Bu eğitimde, XML işleme ve web hizmetleri de dahil olmak üzere .NET web uygulamalarını savunma amaçlı kodlamaya yönelik en iyi uygulamaları kapsamlı bir şekilde inceleyeceksiniz. Tam işlevli bir web uygulamasıyla ilişkili çeşitli varlıklara defalarca saldıracak ve ardından savunacaksınız. Bu uygulamalı yaklaşım, .NET web uygulamalarının güvenliğinin en pratik terimlerle nasıl sağlanacağına ilişkin mekanizmayı ortaya çıkarır. Bu atölye, çeşitli geliştirici odaklı eğitim ve seminerleri içeren tamamlayıcı bir eğitimdir. Eğitimin bu versiyonu .NET'e özel olmasına rağmen JEE veya diğer programlama dilleri kullanılarak da sunulabilir.

PCI Compliant Developer Eğitimi: Ödeme Kartı Bilgi Veri Güvenliği Standardı (PCI-DSS) Sürüm 3.0 ve Ödeme Uygulaması Veri Güvenliği Standardı (PA-DSS), bilgi güvenliği eğitimi ve farkındalığına artan bir önem vermiştir. Bu eğitim, geliştiricileriniz ve satıcılarınız için yıllık eğitim gereksinimlerini karşılamanıza yardımcı olabilir. Bu güvenli kodlama eğitimi, yazılım geliştirme süreçlerindeki yaygın kodlama açıklarını giderir. Bu eğitim PCI DSS'nin ana katılımcılarından biri tarafından kullanılır. Birden fazla PCI denetimini geçen bu eğitimin PCI gereksinimlerini karşıladığı gösterilmiştir. Bu eğitim gereksinimlerinin özellikleri, Kasım 2013 tarihli PCI DSS Gereksinimleri 3.0 belgesinin 55 ila 59. sayfalarındaki 6.5.1 ila 6.5.10 arasında ayrıntılı olarak açıklanmıştır.

Kimler Katılmalı?

• Güvenilmeyen veriler için potansiyel kaynaklar
• Hizmet reddi, siteler arası komut dosyası çalıştırma ve ekleme gibi güvenilmeyen verilerin düzgün şekilde işlenmemesinin sonuçları
• Katmanlı savunmaların varlığını ve etkinliğini belirlemek için web uygulamalarını çeşitli saldırı teknikleriyle test edin
• Güvenilmeyen verilerle ilişkili birçok potansiyel güvenlik açığını önleyin ve savunun
• Kimlik doğrulama ve yetkilendirmeyle ilgili güvenlik açıkları
• Kimlik doğrulama ve yetkilendirme işlevleri ve hizmetlerine yönelik savunmaları tespit edebilme, saldırabilme ve uygulayabilme
• Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Enjeksiyon saldırılarının ardındaki tehlikeler ve mekanizmalar
• Kimlik doğrulama ve yetkilendirme işlevleri ve hizmetlerine yönelik savunmaları tespit edin, saldırın ve uygulayın
• Savunma, güvenlik ve kodlamanın arkasındaki kavramlar ve terminoloji
• Varlıklara yönelik gerçekçi tehditlere dayalı olarak yazılım açıklarını belirlemeye yönelik bir araç olarak Tehdit Modellemesi
• Web uygulamalarındaki güvenlik açıklarını ortaya çıkarmak için statik kod incelemeleri ve dinamik uygulama testleri
• .NET bağlamında güçlü, dayanıklı kimlik doğrulama ve yetkilendirme uygulamaları tasarlayın ve geliştirin
• XML Dijital İmza ve XML Şifrelemenin temelleri ve bunların web hizmetleri alanında nasıl kullanıldığı
• XML tabanlı hizmetler ve işlevlere yönelik savunmaları tespit edin, saldırın ve uygulayın
• Web ve uygulama sunucularının yanı sıra altyapınızdaki diğer bileşenleri güçlendirmek için kullanılabilecek teknikler ve önlemler

1. Giriş: Kavram Yanılgıları

• Güvenlik: Resmin Tamamı
• TJX: Bir Felaketin Anatomisi?
• Veri İhlallerinin Nedenleri
• Heartland - PCI Uyumluluğunu Aşmak
• Hedefin Acı Noeli
• Uyumlu Olmanın Anlamı
• Verizon'un 2013 Veri İhlali Raporu

2. Temel

• Güvenlik Kavramları

1. Motivasyonlar: Maliyetler ve Standartlar
2. Açık Web Uygulama Güvenliği Projesi
3. Web Uygulama Güvenliği Konsorsiyumu
4. CERT Güvenli Kodlama Standartları
5. Varlıklar Hedeflerdir
6. Güvenlik Faaliyetleri Maliyet Kaynakları
7. Tehdit Modellemesi
8. Sistem/Güven Sınırları

• Bilgi Güvenliği İlkeleri

1. Güvenlik Bir Yaşam Döngüsü Sorunudur
2. Saldırı Yüzey Alanını En Aza İndirin
3. Savunma Katmanları: İnatçı D
4. Bölümlere ayır
5. Tüm Uygulama Durumlarını Göz önünde bulundurun
6. Güvenilmeyene Güvenmeyin

3. Güvenlik açıkları

• Doğrulanmamış Giriş

1. Arabellek Taşmaları
2. Tam Sayılı Aritmetik Güvenlik Açıkları
3. Doğrulanmamış Giriş: Web'den
4. Güven Sınırlarını Savunmak

• Beyaz listeye alma ve kara listeye alma

1. Normal İfadelere Genel Bakış
2. Normal İfadeler
3. .NET'te Regex'lerle Çalışmak
4. Normal İfadeleri Uygulama

• Bozuk Erişim Kontrolü

1. Erişim Kontrolü Sorunları
2. Aşırı Ayrıcalıklar
3. Yetersiz Akış Kontrolü
4. Korumasız URL/Kaynak Erişimi
5. Eski püskü Erişim Kontrolü Örnekleri
6. Oturum ve Oturum Yönetimi

• Bozuk Kimlik Doğrulaması

1. Bozuk Kalite/DoS
2. Kimlik Doğrulama Verileri
3. Kullanıcı Adı/Şifre Koruması
4. İstismarlar Önemini Artırıyor
5. Şifrelerin Sunucu Tarafında Kullanımı
6. Tek Oturum Açma (SSO)

• Siteler Arası Komut Dosyası Çalıştırma (XSS)

1. Kalıcı XSS
2. Yansıtıcı XSS
3. Güvenilmeyen Verilere İlişkin En İyi Uygulamalar

• Enjeksiyon

1. Enjeksiyon Kusurları
2. SQL Enjeksiyon Saldırıları Gelişiyor
3. Saklı Prosedürleri Ayrıntılı Olarak İnceleyin
4. Diğer Enjeksiyon Şekilleri
5. Enjeksiyon Kusurlarının En Aza İndirilmesi

• Hata İşleme ve Bilgi Sızıntısı

1. Bir Web Sitesine Parmak İzi Alma
2. Hata İşleme Sorunları
3. Adli Tıp Desteğinde Oturum Açma
4. DLP Sorunlarını Çözme

• Güvenli Olmayan Veri İşleme

1. Verileri Korumak Etkiyi Azaltabilir
2. Bellek İçi Veri İşleme
3. Güvenli Borular
4. SSL Çerçevesinde Arızalar Ortaya Çıkıyor

• Güvenli Olmayan Yapılandırma Yönetimi

1. Sistem Güçlendirme: IA Azaltma
2. Uygulama Beyaz Listesine Ekleme
3. En Az Ayrıcalıklar
4. Sömürü Karşıtı
5. Güvenli Temel

• Doğrudan Nesne Erişimi

1. Dinamik Yükleme
2. Yarış Koşulları
3. Doğrudan Nesne Referansları

• Sahtekarlık, CSRF ve Yönlendirmeler

1. Ad Çözümleme Güvenlik Açıkları
2. Sahte Sertifikalar ve Mobil Uygulamalar
3. Hedefli Kimlik Sahtekarlığı Saldırıları
4. Siteler Arası İstek Sahteciliği (CSRF)
5. CSRF Savunmaları Tamamen Sunucu Tarafındadır
6. Güvenli Yönlendirmeler ve İletmeler

4. En İyi Uygulamalar

• .NET Sorunları ve En İyi Uygulamalar

1. Kod ve Arabellek Taşmalarını Yönetme
2. .NET İzinleri
3. ActiveX Denetimleri
4. Uygun İstisna İşleme

• Neyin Önemli Olduğunu Anlamak

1. Yaygın Güvenlik Açıkları ve Etkilenmeler
2. OWASP 2013'ün İlk 10'u
3. CWE/SANS En Tehlikeli 25 Yazılım Hatası
4. Canavar Azaltımları
5. Güçlendirme Eğitimi: Proje Ekipleri/Geliştiriciler
6. Güçlendirme Eğitimi: BT Organizasyonları

5. XML'i, Hizmetleri ve Zengin Arayüzleri Savunmak

• XML'i savunmak

1. XML İmzası
2. XML Şifreleme
3. XML Saldırıları: Yapı
4. XML Saldırıları: Ekleme
5. Güvenli XML İşleme

• Web Hizmetlerini Savunmak

1. Web Hizmeti Güvenliği Açıkları
2. Taşıma Seviyesi Tek Başına Yeterli Olmadığında
3. Mesaj Düzeyinde Güvenlik
4. WS-Güvenlik Yol Haritası
5. Web Hizmeti Saldırıları
6. Web Hizmeti Aracı/Ağ Geçitleri

• Zengin Arayüzleri ve REST'i Savunmak

1. Saldırganlar Zengin Arayüzleri Nasıl Görüyor?
2. Saldırı Yüzeyi Ne Zaman Değişir?
3. Zengin Arayüzlere Geçiş
4. Köprüleme ve Potansiyel Sorunları
5. Güvenli Zengin Arayüzler için Üç Temel İlke
6. OWASP REST Güvenlik Önerileri