Опис курсу
Ваша програма, написана будь-якою мовою програмування, працює так, як задумано, так що все готово, вірно? Але чи вважали ви, що вводите неправильні значення? 16 ГБ даних? Нуль? Апостроф? Негативні числа, або конкретно -1 або -2^31? Тому що саме так чинять погані хлопці – і цей перелік далеко не повний.
PCI DSS – це обов'язковий стандарт безпеки для всіх компаній, які розробляють системи для роботи з кредитними картками або працюють із ними. Це не тільки вимагає дотримання існуючих правил безпечного кодування, але також вимагає від розробників навчання нових передових методів. Але робити позначку щороку замало.
Забезпечення безпеки вимагає здорового рівня параної, і це те, що пропонує цей курс: сильне емоційне залучення багатьох практичних лабораторних робіт та історій з реального життя, щоб суттєво покращити гігієну коду. Помилки, наслідки та передовий досвід – це наша кров, піт та сльози.
Навчальна програма охоплює загальні проблеми безпеки веб-застосунків, що йдуть за OWASP Top Ten, але виходить далеко за рамки як по охопленню, так і по деталях. Все це поміщено в контекст Java та розширено основними проблемами програмування, обговорюючи підводні камені безпеки Java. мова.
Отже, ви готові до сил темної сторони.
Щоб нічого несподіваного не сталося.
Нічого такого.
Примітка. Цей курс адаптований для відповідності вимогам стандарту PCI DSS 6.3 щодо змісту, так і структури доставки.
Курс охоплює основні навички безпечного кодування, які необхідні всім розробникам, які працюють з даними про власників карток, і включає низку тематичних досліджень із фінансового сектора.
Відповідно до вимог відповідності, проведення навчальних днів можна проводити окремо, розбивши курс на два окремі заходи, які можуть охоплювати межі року, відповідно до ваших довгострокових планів відповідності.
Важливо: доставка одноденного початкового пленарного засідання може бути організована лише в пакетному режимі (з як мінімум двома об'єднаними сесіями).
Аудиторія
Менеджери та розробники, що працюють над веб-додатками у сфері фінансів
Попередні вимоги
Ніяких
Цілі курсу
- Знайомство з основними концепціями кібербезпеки
- Вивчення спеціальностей безпеки фінансового сектора
- Знання вимог PCI DSS
- Управління вразливістю у сторонніх компонентах
- Розуміння проблем безпеки веб-додатків
- Детальний аналіз елементів OWASP Top Ten
- Впровадження безпеки веб-застосунків у контекст будь-якої мови програмування
- Виходячи за межі фруктів, що низько висять
- Розуміння того, як криптографія підтримує безпеку
- Знайомство з методами та інструментами тестування безпеки
Зміст курсу
1 ДЕНЬ
Основи кібербезпеки
- Що таке безпека?
- Загроза та ризик
- Типи загроз кібербезпеці - тріада ЦРУ
- Типи загроз кібербезпеці - модель STRIDE
- Наслідки небезпечного програмного забезпечення
- Обмеження та ринок
- Темна сторона
- Категоризація помилок
- Сім згубних королівств
- Перелік загальних слабких місць (CWE)
- CWE: 25 найнебезпечніших вразливостей програмного забезпечення
- Кібербезпека у фінансовому секторі
- Загрози та тенденції у фінтеху
- PCI DSS
- Огляд
- Вимоги та безпечне кодування (Вимоги 1-5)
- Вимог. 6 - Розробляти та підтримувати безпечні системи та програми
- Вимога 6.5 - Усунення поширених вразливостей кодування
- Вимоги та безпечне кодування (Вимоги 7-12)
Десять найкращих за версією OWASP 2021
A04 - Небезпечний дизайн
- Модель загроз STRIDE
- Принципи безпечного проектування Зальцера та Шредера
- Безпека на стороні клієнта
- Рамкова пісочниця
- Атаки з крос-фрейм-скриптингом (XFS)
- Лабораторія - Clickjacking
- Clickjacking крім захоплення кліка
- Найкращі практики захисту від клікджекінгу
- Лабораторна робота - Використання CSP для запобігання клікджекінгу.
- Рамкова пісочниця
A05 - Неправильна конфігурація безпеки
- Принципи конфігурації
- Неправильна конфігурація сервера
- Безпека файлів cookie
- Найкращі практики безпеки файлів cookie
- Атрибути cookie
- XML-сутності
- DTD та сутності
- Атрибут вибуху
- Розширення сутності
- Атака на зовнішню сутність (XXE)
- Увімкнення файлу із зовнішніми об'єктами
- Підробка запитів на стороні сервера із зовнішніми об'єктами
- Лабораторна робота – Атака на зовнішню сутність.
- Приклад використання - вразливість XXE у SAP Store
- Лабораторна робота – Заборона розширення DTD.
A06 - Вразливі та застарілі компоненти
- Використання вразливих компонентів
- Практичний приклад - витік даних Equifax
- Оцінка навколишнього середовища
- Загартування
- Імпорт ненадійної функціональності
- Управління вразливістю
- Управління виправленнями
- Бази даних уразливостей
- Рейтинг вразливості - CVSS
- Програми Bug Bounty
- DevOps, процес складання та CI / CD
A09 - Збої реєстрації та моніторингу безпеки
- Принципи ведення журналу та моніторингу
- Недостатнє ведення журналу
- Приклад використання - паролі у вигляді простого тексту у Facebook
- Найкращі практики ведення журналу
- Моніторинг кращих практик
- Міжмережеві екрани та міжмережні екрани веб-застосунків (WAF)
- Виявлення та запобігання вторгненням
- Приклад використання - порушення даних Marriott Starwood