Course Overview
Ваше приложение, написанное на любом языке программирования, работает так, как задумано, так что все готово, верно? Но считали ли вы, что вводите неправильные значения? 16 ГБ данных? Нуль? Апостроф? Отрицательные числа, или конкретно -1 или -2 ^ 31? Потому что именно так поступают плохие парни - и этот список далеко не полный.
PCI DSS - это обязательный стандарт безопасности для всех компаний, разрабатывающих системы для работы с кредитными картами или работающих с ними. Это не только требует соблюдения существующих правил безопасного кодирования, но также требует от разработчиков обучения использованию новейших передовых методов. Но делать отметку ежегодно недостаточно.
Обеспечение безопасности требует здорового уровня паранойи, и это то, что предлагает этот курс: сильное эмоциональное вовлечение множества практических лабораторных работ и историй из реальной жизни, чтобы существенно улучшить гигиену кода. Ошибки, последствия и передовой опыт - это наша кровь, пот и слезы.
Учебная программа охватывает общие проблемы безопасности веб-приложений, следующие за OWASP Top Ten, но выходит далеко за рамки как по охвату, так и по деталям. Все это помещено в контекст Java и расширено основными проблемами программирования, обсуждая подводные камни безопасности Java. язык.
Так что вы готовы к силам темной стороны.
Чтобы ничего неожиданного не случилось.
Ничего такого.
Примечание. Этот курс адаптирован для соответствия требованиям стандарта PCI DSS 6.3 в отношении как содержания, так и структуры доставки.
Курс охватывает основные навыки безопасного кодирования, которые необходимы всем разработчикам, работающим с данными о держателях карт, и включает ряд тематических исследований из финансового сектора.
В соответствии с требованиями соответствия, проведение учебных дней можно проводить отдельно, разбив курс на два отдельных мероприятия, которые могут охватывать границы года, в соответствии с вашими долгосрочными планами соответствия.
Важно: доставка однодневного начального пленарного заседания может быть организована только в пакетном режиме (с как минимум двумя объединенными сессиями).
Кому следует посетить
Менеджеры и разработчики, работающие над веб-приложениями в сфере финансов
Предварительные требования
Никаких
Цели курса
- Знакомство с основными концепциями кибербезопасности
- Изучение специальностей безопасности финансового сектора
- Знание требований PCI DSS
- Управление уязвимостями в сторонних компонентах
- Понимание проблем безопасности веб-приложений
- Подробный анализ элементов OWASP Top Ten
- Внедрение безопасности веб-приложений в контекст любого языка программирования
- Выходя за пределы низко висящих фруктов
- Понимание того, как криптография поддерживает безопасность
- Знакомство с методами и инструментами тестирования безопасности
Содержание курса
1 ДЕНЬ
Основы кибербезопасности
- Что такое безопасность?
- Угроза и риск
- Типы угроз кибербезопасности - триада ЦРУ
- Типы угроз кибербезопасности - модель STRIDE
- Последствия небезопасного программного обеспечения
- Ограничения и рынок
- Темная сторона
- Категоризация ошибок
- Семь пагубных королевств
- Перечень общих слабых мест (CWE)
- CWE: 25 самых опасных уязвимостей программного обеспечения
- Кибербезопасность в финансовом секторе
- Угрозы и тенденции в финтехе
- PCI DSS
- Обзор
- Требования и безопасное кодирование (Требования 1-5)
- Треб. 6 - Разрабатывать и поддерживать безопасные системы и приложения
- Требование 6.5 - Устранение распространенных уязвимостей кодирования
- Требования и безопасное кодирование (Требования 7-12)
Десять лучших по версии OWASP 2021 года
A04 - Небезопасный дизайн
- Модель угроз STRIDE
- Принципы безопасного проектирования Зальцера и Шредера
- Безопасность на стороне клиента
- Рамочная песочница
- Атаки с кросс-фрейм-скриптингом (XFS)
- Лаборатория - Clickjacking
- Clickjacking помимо захвата клика
- Лучшие практики защиты от кликджекинга
- Лабораторная работа - Использование CSP для предотвращения кликджекинга.
- Рамочная песочница
A05 - Неверная конфигурация безопасности
- Принципы конфигурации
- Неправильная конфигурация сервера
- Безопасность файлов cookie
- Лучшие практики безопасности файлов cookie
- Атрибуты cookie
- XML-сущности
- DTD и сущности
- Атрибут взрыва
- Расширение сущности
- Атака на внешнюю сущность (XXE)
- Включение файла с внешними объектами
- Подделка запросов на стороне сервера с внешними объектами
- Лабораторная работа - Атака на внешнюю сущность.
- Пример использования - уязвимость XXE в SAP Store
- Лабораторная работа - Запрещение расширения DTD.
A06 - Уязвимые и устаревшие компоненты
- Использование уязвимых компонентов
- Практический пример - утечка данных Equifax
- Оценка окружающей среды
- Закалка
- Импорт ненадежной функциональности
- Управление уязвимостями
- Управление исправлениями
- Базы данных уязвимостей
- Рейтинг уязвимости - CVSS
- Программы Bug Bounty
- DevOps, процесс сборки и CI / CD
A09 - Сбои регистрации и мониторинга безопасности
- Принципы ведения журнала и мониторинга
- Недостаточное ведение журнала
- Пример использования - пароли в виде простого текста в Facebook
- Лучшие практики ведения журнала
- Мониторинг лучших практик
- Межсетевые экраны и межсетевые экраны веб-приложений (WAF)
- Обнаружение и предотвращение вторжений
- Пример использования - нарушение данных Marriott Starwood