Web Application Security for PCI DSS- Part 1 (WASEC-PD1) – Outline

Детальна програма курсу

1 ДЕНЬ
Основи кібербезпеки

  • Що таке безпека?
  • Загроза та ризик
  • Типи загроз кібербезпеці - тріада ЦРУ
  • Типи загроз кібербезпеці - модель STRIDE
  • Наслідки небезпечного програмного забезпечення
  • Обмеження та ринок
  • Темна сторона
  • Категоризація помилок
    • Сім згубних королівств
    • Перелік загальних слабких місць (CWE)
    • CWE: 25 найнебезпечніших вразливостей програмного забезпечення
  • Кібербезпека у фінансовому секторі
    • Загрози та тенденції у фінтеху
  • PCI DSS
    • Огляд
    • Вимоги та безпечне кодування (Вимоги 1-5)
    • Вимог. 6 - Розробляти та підтримувати безпечні системи та програми
    • Вимога 6.5 - Усунення поширених вразливостей кодування
    • Вимоги та безпечне кодування (Вимоги 7-12)

Десять найкращих за версією OWASP 2021
A04 - Небезпечний дизайн

  • Модель загроз STRIDE
  • Принципи безпечного проектування Зальцера та Шредера
  • Безпека на стороні клієнта
    • Рамкова пісочниця
      • Атаки з крос-фрейм-скриптингом (XFS)
      • Лабораторія - Clickjacking
      • Clickjacking крім захоплення кліка
      • Найкращі практики захисту від клікджекінгу
      • Лабораторна робота - Використання CSP для запобігання клікджекінгу.

A05 - Неправильна конфігурація безпеки

  • Принципи конфігурації
  • Неправильна конфігурація сервера
  • Безпека файлів cookie
    • Найкращі практики безпеки файлів cookie
    • Атрибути cookie
  • XML-сутності
    • DTD та сутності
    • Атрибут вибуху
    • Розширення сутності
    • Атака на зовнішню сутність (XXE)
      • Увімкнення файлу із зовнішніми об'єктами
      • Підробка запитів на стороні сервера із зовнішніми об'єктами
      • Лабораторна робота – Атака на зовнішню сутність.
      • Приклад використання - вразливість XXE у SAP Store
      • Лабораторна робота – Заборона розширення DTD.

A06 - Вразливі та застарілі компоненти

  • Використання вразливих компонентів
  • Практичний приклад - витік даних Equifax
  • Оцінка навколишнього середовища
  • Загартування
  • Імпорт ненадійної функціональності
  • Управління вразливістю
    • Управління виправленнями
    • Бази даних уразливостей
    • Рейтинг вразливості - CVSS
    • Програми Bug Bounty
    • DevOps, процес складання та CI / CD

A09 - Збої реєстрації та моніторингу безпеки

  • Принципи ведення журналу та моніторингу
  • Недостатнє ведення журналу
  • Приклад використання - паролі у вигляді простого тексту у Facebook
  • Найкращі практики ведення журналу
  • Моніторинг кращих практик
  • Міжмережеві екрани та міжмережні екрани веб-застосунків (WAF)
  • Виявлення та запобігання вторгненням
  • Приклад використання - порушення даних Marriott Starwood