Web Security Testing - Security and Testing of Web Applications using OWASP Training Cursus

Beschrijving:

Deze les is bedoeld als intensieve en harde examenvoorbereiding voor ISACA's Certified Information Systems Auditor (CRISC) Examination. De laatste vier (4) domeinen van ISACA's CRISC syllabus zullen worden behandeld met een grote focus op het examen. De officiële ISACA CRISC Review Manual en Vraag, Antwoord en Uitleg, (Q, A&E), supplementen zullen OOK worden verstrekt bij het bijwonen. De Q,A&E is uitzonderlijk in het helpen van afgevaardigden bij het begrijpen van de ISACA-stijl van vragen, het soort antwoorden waarnaar ISACA op zoek is en het helpt bij een snelle geheugenassimilatie van het materiaal.

De technische vaardigheden en praktijken die ISACA promoot en evalueert binnen de CRISC certificering zijn de bouwstenen van succes in het veld. Het bezit van de CRISC certificering toont uw vaardigheid binnen het beroep aan. Met een groeiende vraag naar professionals met expertise op het gebied van risico's en controles, heeft ISACA's CRISC zichzelf gepositioneerd als het voorkeurscertificeringsprogramma van particulieren en bedrijven over de hele wereld. De CRISC-certificering betekent toewijding aan het dienen van een onderneming en het gekozen beroep met onderscheiding.

Doelstellingen:

• Om u te helpen de eerste keer te slagen voor het CRISC-examen.
• Het bezit van deze certificering betekent dat u zich inzet om een onderneming met onderscheiding te dienen.
• De groeiende vraag naar professionals met risico- en controlevaardigheden zal houders van deze certificering in staat stellen betere functies en salarissen af te dwingen.

Je leert:

• Ondernemingen helpen hun bedrijfsdoelstellingen te bereiken door het ontwerpen, implementeren, bewaken en onderhouden van risicogebaseerde, efficiënte en effectieve IS-controles.
• De technische vaardigheden en praktijken die CRISC bevordert, die de bouwstenen zijn van succes in het veld.

Deze live training onder leiding van een instructeur in België (online of op locatie) is bedoeld voor IT-professionals van gemiddeld niveau die hun vaardigheden willen verbeteren in het identificeren en beheren van IT-risico's en het implementeren van informatiesysteemcontroles, en zich willen voorbereiden op het CRISC certificeringsexamen.

Aan het einde van deze training zijn de deelnemers in staat om:

• Begrijp de governance- en risicobeheeraspecten van IT.
• Voer IT-risicobeoordelingen uit en implementeer risicoreacties.
• Ontwerp en implementeer controles voor informatiesystemen.
• Bereid u effectief voor op het CRISC certificeringsexamen.

Deze door een instructeur geleide, live training (op locatie of op afstand) is gericht op beveiligingsingenieurs die IBM Qradar SIEM willen gebruiken om urgente beveiligingsgebruiksscenario's aan te pakken.

Aan het einde van deze training kunnen deelnemers:

• Krijg inzicht in bedrijfsgegevens in lokale en cloudomgevingen.
• Automatiseer beveiligingsinformatie om bedreigingen op te sporen en risico's te beperken.
• Detecteer, identificeer en prioriteer bedreigingen.

Open Source Intelligence (OSINT) verwijst naar alle informatie die legaal kan worden verzameld uit gratis, openbare bronnen over een persoon of organisatie. OSINT verwijst ook naar het proces van het verzamelen van deze gegevens, het analyseren ervan en het gebruik ervan voor inlichtingendoeleinden.

Publiek

Onderzoekers Veiligheidsanalisten Onderzoekers Rechtshandhaving Goregering en militair personeel

Formaat van de cursus

Interactieve lezing en discussie. Veel oefenen en oefenen. Hands-on implementatie in een live-lab omgeving.

Cursusaanpassingsopties

Voor het aanvragen van een training op maat voor deze cursus kunt u contact met ons opnemen om een afspraak te maken.

Deze door een instructeur geleide, live training (op locatie of op afstand) is gericht op personen die onderzoek willen doen bij derden en zichzelf daartegen willen beschermen.

Aan het einde van deze training kunnen deelnemers:

• Installeer en configureer geavanceerde tools voor het uitvoeren van OSINT.
• Gebruik geavanceerde technieken om openbaar beschikbare gegevens te verzamelen die relevant zijn voor een onderzoek.
• Analyseer grote hoeveelheden gegevens efficiënt.
• Genereer inlichtingenrapporten over bevindingen.
• Maak gebruik van AI-tools voor gezichtsherkenning en sentimentanalyse.
• Breng een strategie in kaart om de doelstelling te definiëren en de inspanningen te richten op de meest relevante en bruikbare gegevens.

Deze cursus Inleiding tot Open Source Intelligence (OSINT) biedt deelnemers vaardigheden om efficiënter en effectiever te worden in het vinden van die belangrijke stukjes intelligentie op internet en op het World Wide Web. De cursus is zeer praktisch waardoor deelnemers de tijd hebben om enkele van de honderden beschikbare tools en websites te verkennen en te begrijpen.
Het volgende niveau met diepgaand gebruik van geavanceerde tools die van vitaal belang zijn voor geheime internetonderzoeken en het verzamelen van inlichtingen. De cursus is zeer praktisch waardoor deelnemers de tijd hebben om de hulpmiddelen en hulpmiddelen te verkennen en te begrijpen. "

Deze door een instructeur geleide, live training (op locatie of op afstand) behandelt de verschillende aspecten van bedrijfsbeveiliging, van AI tot databasebeveiliging. Het omvat ook dekking van de nieuwste tools, processen en mentaliteit die nodig zijn om te beschermen tegen aanvallen.

Omschrijving: __________:

Deze 2-daagse CCSK Plus-cursus bevat alle inhoud van de CCSK Foundation-cursus en breidt deze uit met uitgebreide hands-on labs in een tweede trainingsdag. Studenten leren hun kennis toe te passen door een reeks oefeningen uit te voeren met een scenario dat een fictieve organisatie veilig in de cloud brengt. Na afronding van deze training zijn studenten goed voorbereid op het CCSK certificeringsexamen, gesponsord door Cloud Security Alliance. Deze tweede trainingsdag omvat extra colleges, hoewel studenten tijdens de oefeningen het grootste deel van hun tijd zullen besteden aan het beoordelen, bouwen en beveiligen van een cloudinfrastructuur.

Doelstellingen:

Dit is een tweedaagse les die begint met de CCSK- Basistraining, gevolgd door een tweede dag met aanvullende inhoud en praktische activiteiten

Doelgroep:

Deze les is gericht op beveiligingsprofessionals, maar is ook nuttig voor iedereen die zijn kennis van cloudbeveiliging wil uitbreiden.

Deze cursus helpt professionals de waarde en limieten van Application Security te begrijpen. Hoewel de applicatiebeveiligingsprincipes waardevolle bekendheid bieden rond enkele van de belangrijkste risico's van applicaties van vandaag, zal deze cursus zowel het goede als het minder goede benadrukken.

Deze cursus is cruciaal vanwege de toenemende behoefte aan ontwikkelaars om op een veilige manier te coderen. Het is van cruciaal belang om beveiliging als kwaliteitscomponent in de ontwikkelingscyclus te introduceren. Deze cursus is bedoeld om ontwikkelaars te informeren over verschillende beveiligingsproblemen via praktische oefening met behulp van onze speciaal ontwikkelde onveilige webtoepassing.

Android is een open platform voor mobiele apparaten zoals handsets en tablets. Het heeft een grote verscheidenheid aan beveiligingsfuncties om het ontwikkelen van veilige software eenvoudiger te maken; het mist echter ook bepaalde beveiligingsaspecten die aanwezig zijn in andere draagbare platforms. De cursus geeft een uitgebreid overzicht van deze functies en wijst op de meest kritieke tekortkomingen waarvan u zich bewust moet zijn met betrekking tot de onderliggende Linux , het bestandssysteem en de omgeving in het algemeen, evenals met betrekking tot het gebruik van machtigingen en andere componenten voor de ontwikkeling van Android software.

Typische valkuilen en beveiligingslekken worden beschreven voor zowel native code als Java toepassingen, samen met aanbevelingen en best practices om deze te voorkomen en te verminderen. In veel gevallen worden besproken kwesties ondersteund met praktijkvoorbeelden en casestudy's. Ten slotte geven we een kort overzicht van hoe u hulpprogramma's voor beveiligingstests kunt gebruiken om programmeerfouten te melden die relevant zijn voor de beveiliging.

Deelnemers aan deze cursus zullen

• Begrijp basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Leer de beveiligingsoplossingen op Android
• Leer verschillende beveiligingsfuncties van het Android platform te gebruiken
• Krijg informatie over enkele recente kwetsbaarheden in Java op Android
• Meer informatie over typische codeerfouten en hoe u ze kunt vermijden
• Krijg inzicht in kwetsbaarheden van native codes op Android
• Realiseer de ernstige gevolgen van onveilige bufferbehandeling in native code
• Begrijp de architecturale beschermingstechnieken en hun zwakke punten
• Ontvang bronnen en meer informatie over veilige coderingsmethoden

Publiek

professionals

Er is vandaag een aantal programmeertalen beschikbaar om code te compileren naar .NET- en ASP.NET-frameworks. De omgeving biedt krachtige middelen voor de ontwikkeling van beveiliging, maar ontwikkelaars moeten weten hoe ze de programmeertechnieken op architectuur- en coderingsniveau moeten toepassen om de gewenste beveiligingsfunctionaliteit te implementeren en kwetsbaarheden te voorkomen of de exploitatie ervan te beperken.

Het doel van deze cursus is om ontwikkelaars door middel van tal van praktische oefeningen te leren hoe te voorkomen dat niet-vertrouwde code bevoorrechte acties uitvoert, middelen beschermt door middel van sterke authenticatie en autorisatie, externe procedureaanroepen aanbiedt, sessies afhandelt, verschillende implementaties voor bepaalde functionaliteit introduceert, en veel meer. Een speciale sectie is gewijd aan de configuratie en verharding van de .NET- en ASP.NET-omgeving voor beveiliging.

Een korte inleiding tot de grondslagen van cryptografie biedt een gemeenschappelijke praktische basis voor het begrijpen van het doel en de werking van verschillende algoritmen, op basis waarvan de cursus de cryptografische functies presenteert die kunnen worden gebruikt in .NET. Dit wordt gevolgd door de introductie van enkele recente crypto-kwetsbaarheden, zowel gerelateerd aan bepaalde crypto-algoritmen en cryptografische protocollen, als side-channel aanvallen.

Introductie van verschillende kwetsbaarheden begint met het presenteren van een aantal typische programmeerproblemen die zich voordoen bij het gebruik van .NET, inclusief bugcategorieën van invoervalidatie, foutafhandeling of race-omstandigheden. Er wordt speciale aandacht besteed aan XML beveiliging, terwijl het onderwerp ASP.NET-specifieke kwetsbaarheden enkele speciale problemen en aanvalsmethoden aanpakt: zoals het aanvallen van de ViewState, of de string-beëindigingsaanvallen.

Deelnemers aan deze cursus zullen

• Begrijp basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Leer verschillende beveiligingsfuncties van de .NET-ontwikkelomgeving te gebruiken
• Heb een praktisch begrip van cryptografie
• Begrijp een aantal recente aanvallen op cryptosystemen
• Ontvang informatie over enkele recente kwetsbaarheden in .NET en ASP.NET
• Meer informatie over typische codeerfouten en hoe u ze kunt vermijden
• Krijg praktische kennis in het gebruik van beveiligingstesttools
• Ontvang bronnen en meer informatie over veilige coderingsmethoden

Publiek

ontwikkelaars

Het implementeren van een veilige netwerk applicatie kan moeilijk zijn, zelfs voor ontwikkelaars die mogelijk verschillende cryptografische bouwblokken (zoals encryptie en digitale handtekeningen) vooraf hebben gebruikt. Om de deelnemers de rol en het gebruik van deze cryptografische primitiven te begrijpen, wordt eerst een solide basis gegeven op de belangrijkste vereisten van veilige communicatie – veilige erkenning, integriteit, vertrouwelijkheid, afstandsidentificatie en anonimiteit – terwijl ook de typische problemen worden gepresenteerd die deze vereisten kunnen beschadigen, samen met real-world oplossingen.

Als een kritisch aspect van netwerkbeveiliging is cryptografie, worden de belangrijkste cryptografische algoritmen in symmetrische cryptografie, hashing, asymmetrische cryptografie en sleutelovereenkomst ook besproken. In plaats van een diepgaande wiskundige achtergrond te presenteren, worden deze elementen besproken vanuit het perspectief van een ontwikkelaar, met typische gebruik-case voorbeelden en praktische overwegingen met betrekking tot het gebruik van crypto, zoals openbare sleutelinfrastructuur. Veiligheidsprotocolen in veel gebieden van veilige communicatie worden geïntroduceerd, met een diepgaande discussie over de meest gebruikte protocol families zoals IPSEC en SSL/TLS.

Typische crypto kwetsbaarheden worden besproken zowel gerelateerd aan bepaalde crypto-algoritmen en cryptografische protocollen, zoals BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE en dergelijke, evenals de RSA timing attack. In elk geval worden de praktische overwegingen en mogelijke gevolgen voor elk probleem opnieuw beschreven, zonder in diepe wiskundige details te gaan.

Ten slotte, aangezien XML technologie centraal is voor het uitwisselen van gegevens door netwerktoepassingen, worden de beveiligingsaspecten van XML beschreven. Dit omvat het gebruik van XML binnen webdiensten en SOAP berichten naast beschermingsmaatregelen zoals XML ondertekening en XML encryptie – evenals zwakke punten in die beschermingsmaatregelen en XML-specifieke veiligheidsproblemen zoals XML injectie, XML externe entiteit (XXE) aanvallen, XML bommen, en XPath injectie.

De deelnemers aan deze cursus zullen

• Begrijp de basisbegrippen van beveiliging, IT-beveiliging en beveiligde codering
• Begrijp de eisen van veilige communicatie
• Leer over netwerk-aanvallen en verdedigingen op verschillende OSI-slagen
• Een praktisch begrip van cryptografie
• Begrijp essentiële beveiligingsprotocolen
• Ontdek enkele recente aanvallen tegen cryptosystemen
• Informatie over enkele recente gerelateerde kwetsbaarheden
• Begrijp de beveiligingsconcepten van webdiensten
• Krijg bronnen en meer lezen over veilige coderingspraktijken

Het publiek

Ontwikkelaars, Professionals

Migreren naar de cloud brengt enorme voordelen voor bedrijven en individuen in termen van efficiëntie en kosten. Wat de beveiliging betreft, zijn de effecten heel divers, maar het is een gemeenschappelijke perceptie dat het gebruik van clouddiensten de beveiliging op een positieve manier beïnvloedt. De meningen verschillen echter vele malen zelfs over de definitie van wie verantwoordelijk is voor de beveiliging van de cloudbronnen.

Om IaaS, PaaS en SaaS te dekken, wordt eerst de beveiliging van de infrastructuur besproken: hardening en configuratieproblemen, evenals verschillende oplossingen voor authenticatie en autorisatie naast identiteitsbeheer die in de kern van alle beveiligingsarchitectuur moeten zijn. Dit wordt gevolgd door een aantal fundamenten met betrekking tot juridische en contractuele kwesties, namelijk hoe vertrouwen wordt gevestigd en beheerd in de cloud.

De reis door de cloud-beveiliging gaat verder met het begrijpen van cloud-specifieke bedreigingen en de doelstellingen en motivaties van de aanvallers, evenals typische aanvalstappen die worden genomen tegen cloud-oplossingen. Bijzondere nadruk wordt ook gegeven op het audit van de cloud en het verstrekken van beveiligingsbeoordeling van cloudoplossingen op alle niveaus, met inbegrip van penetratieonderzoek en kwetsbaarheidsanalyse.

De focus van de cursus is op toepassingsbeveiligingsproblemen, die zowel de gegevensbeveiliging als de beveiliging van de toepassingen zelf behandelen. Uit het oogpunt van applicatiebeveiliging is cloud computingbeveiliging niet aanzienlijk anders dan de algemene softwarebeveiliging, en daarom zijn in wezen alle OWASP-gelisterde kwetsbaarheden ook relevant in dit domein. Het is het set van bedreigingen en risico's dat het verschil maakt, en dus wordt de training afgesloten met de lijst van verschillende cloud-specifieke aanval vectoren verbonden met de vooraf besproken zwakten.

De deelnemers aan deze cursus zullen

• Begrijp de basisbegrippen van beveiliging, IT-beveiliging en beveiligde codering
• Begrijp belangrijke bedreigingen en risico's in de cloud domein
• Leer over elementaire cloudbeveiligingsoplossingen
• Krijg informatie over vertrouwen en governance over de cloud
• Een praktisch begrip van cryptografie
• Ontdek uitgebreide kennis in applicatiebeveiliging in de cloud
• Leer web kwetsbaarheden verder dan OWASP Top Ten en weet hoe ze te vermijden
• Begrijp de uitdagingen van audit en evaluatie van cloudsystemen voor beveiliging
• Leer hoe je de cloud en de infrastructuur kunt beschermen
• Krijg bronnen en meer lezen over veilige coderingspraktijken

Het publiek

Ontwikkelaars, managers, professionals

Deze driedaagse cursus behandelt de basisprincipes van het beveiligen van de C / C++ code tegen de kwaadwillende gebruikers die veel kwetsbaarheden in de code kunnen misbruiken met geheugenbeheer en invoerbehandeling, de cursus behandelt de principes van het schrijven van veilige code.