Hoe Schrijf je Veilig Code Training Cursus

Het implementeren van een veilige netwerktoepassing kan moeilijk zijn, zelfs voor ontwikkelaars die mogelijk vooraf verschillende cryptografische bouwstenen (zoals codering en digitale handtekeningen) hebben gebruikt. Om de deelnemers de rol en het gebruik van deze cryptografische primitieven te laten begrijpen, wordt eerst een solide basis gegeven voor de belangrijkste vereisten van veilige communicatie - veilige erkenning, integriteit, vertrouwelijkheid, identificatie op afstand en anonimiteit - terwijl ook de typische problemen worden gepresenteerd die deze vereisten kunnen schaden, samen met real-world oplossingen.

Aangezien cryptografie een cruciaal aspect van netwerkbeveiliging is, worden ook de belangrijkste cryptografische algoritmen in symmetrische cryptografie, hashing, asymmetrische cryptografie en sleutelovereenkomst besproken. In plaats van een diepgaande wiskundige achtergrond te presenteren, worden deze elementen besproken vanuit het perspectief van een ontwikkelaar, waarbij typische use-case-voorbeelden en praktische overwegingen met betrekking tot het gebruik van crypto worden getoond, zoals openbare-sleutelinfrastructuren. Beveiligingsprotocollen op veel gebieden van veilige communicatie worden geïntroduceerd, met een diepgaande discussie over de meest gebruikte protocolfamilies zoals IPSEC en SSL/TLS.

Typische crypto-kwetsbaarheden worden besproken, zowel met betrekking tot bepaalde crypto-algoritmen als cryptografische protocollen, zoals BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE en dergelijke, evenals de RSA-timingaanval. In elk geval worden de praktische overwegingen en mogelijke gevolgen voor elk probleem beschreven, opnieuw zonder in diepe wiskundige details te treden.

Ten slotte, aangezien XML-technologie centraal staat voor gegevensuitwisseling door netwerktoepassingen, worden de beveiligingsaspecten van XML beschreven. Dit omvat het gebruik van XML binnen webservices en SOAP-berichten naast beveiligingsmaatregelen zoals XML handtekening en XML encryptie - evenals zwakke punten in die beveiligingsmaatregelen en XML-specifieke beveiligingsproblemen zoals XML injectie, XML aanvallen van externe entiteiten (XXE), XML bommen en XPath injectie.

Deelnemers aan deze cursus zullen

• Begrijp de basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Begrijp de vereisten van veilige communicatie
• Meer informatie over netwerkaanvallen en verdedigingen op verschillende OSI-lagen
• Een praktisch begrip hebben van cryptografie
• Inzicht in essentiële beveiligingsprotocollen
• Begrijp enkele recente aanvallen op cryptosystemen
• Informatie opvragen over enkele recente gerelateerde kwetsbaarheden
• Inzicht in beveiligingsconcepten van webservices
• Krijg bronnen en meer informatie over veilige coderingspraktijken

Audiëntie

Ontwikkelaars, Professionals

Deze driedaagse cursus behandelt de basisprincipes van het beveiligen van C/C++-code tegen kwaadwillige gebruikers die vele kwetsbaarheden in de code kunnen misbruiken met betrekking tot geheugenbeheer en invoerverwerking. De cursus behandelt de principes van het schrijven van veilige code.

Zelfs ervaren Java-programmeurs beheersen niet per definitie de diverse beveiligingsdiensten die door Java worden aangeboden, en zijn evenmin op de hoogte van de verschillende kwetsbaarheden die relevant zijn voor webapplicaties die in Java zijn geschreven.

Deze cursus introduceert niet alleen de beveiligingscomponenten van Standard Java Edition, maar gaat ook in op beveiligingsissues van Java Enterprise Edition (JEE) en webdiensten. Aan de bespreking van specifieke diensten gaan de fundamentele beginselen van cryptografie en beveiligde communicatie vooraf. Diverse oefeningen behandelen declaratieve en programmatica-gebonden veiligheidsmethoden in JEE, terwijl zowel de beveiliging op transportheuvel als end-to-end beveiliging van webdiensten aan de orde komen. Het gebruik van alle componenten wordt toegelicht aan de hand van verschillende praktische oefeningen, waarbij deelnemers de besproken API's en hulpmiddelen zelf kunnen uitproberen.

De cursus gaat ook in op de meest voorkomende en ernstige programmeerfouten in de Java-taal en -platforms, evenals webgerelateerde kwetsbaarheden. Naast de typische bugs die Java-programmeurs maken, behandelen de geïntroduceerde beveiligingskwetsbaarheden zowel taalspecifieke problemen als problemen die voortkomen uit de runtime-omgeving. Alle kwetsbaarheden en de bijbehorende aanvallen worden gedemonstreerd aan de hand van eenvoudig te begrijpen oefeningen, gevolgd door aanbevolen coderingsrichtlijnen en mogelijke mitigtietechnieken.

Deelnemers die deze cursus volgen zullen

• de basisconcepten van veiligheid, IT-beveiliging en secure coding begrijpen
• webkwetsbaarheden leren kennen buiten de OWASP Top Ten en weten hoe ze te vermijden
• de beveiligingsconcepten van webdiensten begrijpen
• leren omgaan met diverse beveiligingsfuncties van de Java-ontwikkelomgeving
• een praktisch begrip krijgen van cryptografie
• de beveiligingsoplossingen van Java EE begrijpen
• leren over typische programmeerfouten en hoe ze te vermijden
• informatie krijgen over recente kwetsbaarheden in het Java-framework
• praktische kennis opdoen bij het gebruik van veiligheidstesttools
• bronnen en verdere lezingen over veilige coding-praktijken ontvangen

Doelgroep

Ontwikkelaars

Omschrijving

De programmeertaal Java en de Runtime-omgeving (JRE) zijn ontworpen om vrij te zijn van de meest problematische veelvoorkomende beveiligingskwetsbaarheden die bij andere talen, zoals C/C++, worden ervaren. Desondanks moeten softwareontwikkelaars en architecten niet alleen weten hoe ze de verschillende beveiligingsfuncties van de Java-omgeving kunnen gebruiken (positieve beveiliging), maar ook op de hoogte zijn van de talloze kwetsbaarheden die nog steeds relevant zijn voor Java-ontwikkeling (negatieve beveiliging).

De introductie van de beveiligingsdiensten gaat vooraf aan een korte overzicht van de grondslagen van cryptografie, waarbij een gemeenschappelijk basisniveau wordt geboden voor het begrijpen van het doel en de werking van de toepasselijke componenten. Het gebruik van deze componenten wordt gepresenteerd aan de hand van meerdere praktische oefeningen, waarbij deelnemers de besproken API's zelf kunnen uitproberen.

De cursus gaat ook in op de meest frequente en ernstige programmeerfouten van de Java-taal en -platform, waarbij zowel de typische fouten gemaakt door Java-programmeurs als de taalspecifieke en omgevingspecifieke problemen worden belicht. Alle kwetsbaarheden en de relevante aanvallen worden gedemonstreerd aan de hand van makkelijk begrijpelijke oefeningen, gevolgd door de aanbevolen coderingsrichtlijnen en mogelijke mitigatietechnieken.

Deelnemers aan deze cursus zullen

• De basisconcepten van beveiliging, IT-beveiliging en veilig coderen begrijpen
• Webskwetsbaarheden leren kennen die verder gaan dan de OWASP Top Tien en weten hoe ze deze kunnen vermijden
• Leren om verschillende beveiligingsfuncties van de Java-ontwikkelomgeving te gebruiken
• Een praktisch begrip hebben van cryptografie
• Leren over veelvoorkomende codeerfouten en hoe ze te vermijden
• Informatie krijgen over recente kwetsbaarheden in het Java-framework
• Hulpbronnen en verdere lezingen over veilig coderen ontvangen

Doelgroep

Ontwikkelaars

Tegenwoordig zijn er verschillende programmeertalen beschikbaar om code te compileren voor de .NET- en ASP.NET-frameworks. Deze omgeving biedt krachtige middelen voor beveiligingsontwikkeling, maar ontwikkelaars moeten weten hoe ze programmeringstechnieken op architectuurniveau en coderingsniveau moeten toepassen om de gewenste beveiligingsfunctionaliteit te implementeren, kwetsbaarheden te vermijden of de exploitatie ervan te beperken.

Doel van deze cursus is om ontwikkelaars aan de hand van talloze praktische oefeningen te leren hoe ze onvertrouwde code kunnen voorkomen van het uitvoeren van bevoorrechte acties, resources te beschermen door middel van sterke authenticatie en autorisatie, remote procedure calls aan te bieden, sessies af te handelen, verschillende implementaties voor bepaalde functionaliteit in te voeren, en nog veel meer.

De introductie van verschillende kwetsbaarheden begint met het presenteren van typische programmeerproblemen die worden begaan bij het gebruik van .NET, terwijl de discussie over de kwetsbaarheden van ASP.NET ook ingaat op diverse omgevingsinstellingen en hun effecten. Tot slot behandelt het onderwerp ASP.NET-specifieke kwetsbaarheden niet alleen algemene uitdagingen voor webapplicatiebeveiliging, maar ook speciale kwesties en aanvalmethoden zoals het aanvallen van de ViewState of string-terminatieaanvallen.

Deelnemers aan deze cursus zullen

• De basisconcepten van beveiliging, IT-beveiliging en secure coding begrijpen
• Kwetsbaarheden op het web leren kennen die verder gaan dan de OWASP Top Ten en weten hoe ze deze kunnen vermijden
• Leren gebruikmaken van verschillende beveiligingsfuncties in de .NET-ontwikkelomgeving
• Praktische kennis opdoen over het gebruik van beveiligingstesttools
• Leren over typische coderingsfouten en hoe ze te vermijden
• Informatie krijgen over recente kwetsbaarheden in .NET en ASP.NET
• Bronnen en verdere lectuur verkrijgen over secure coding-praktijken

Doelgroep

Ontwikkelaars

De cursus biedt essentiële vaardigheden voor PHP ontwikkelaars die nodig zijn om hun applicaties bestand te maken tegen hedendaagse aanvallen via internet. Webkwetsbaarheden worden besproken aan de hand van PHP voorbeelden die verder gaan dan de OWASP top tien, waarbij verschillende injectie-aanvallen, script-injecties, aanvallen op sessieafhandeling van PHP, onveilige directe objectverwijzingen, problemen met het uploaden van bestanden en vele andere worden aangepakt. PHP-gerelateerde kwetsbaarheden worden geïntroduceerd, gegroepeerd in de standaard kwetsbaarheidstypen van ontbrekende of onjuiste invoervalidatie, onjuiste fout- en uitzonderingsafhandeling, onjuist gebruik van beveiligingsfuncties en tijd- en statusgerelateerde problemen. Voor dit laatste bespreken we aanvallen zoals de open_basedir byvention, denial-of-service through magic float of de hash table collision attack. In alle gevallen raken de deelnemers vertrouwd met de belangrijkste technieken en functies die moeten worden gebruikt om de aangeworven risico's te beperken.

Speciale aandacht wordt besteed aan de beveiliging aan de clientzijde, waarbij de beveiligingsproblemen van JavaScript, Ajax en HTML5 worden aangepakt. Een aantal beveiligingsgerelateerde uitbreidingen van PHP worden geïntroduceerd, zoals hash, mcrypt en OpenSSL voor cryptografie, of Ctype, ext/filter en HTML Purifier voor invoervalidatie. De beste hardening-praktijken worden gegeven in verband met PHP configuratie (instelling php.ini), Apache en de server in het algemeen. Tot slot wordt een overzicht gegeven van verschillende security testing tools en technieken die ontwikkelaars en testers kunnen gebruiken, waaronder security scanners, penetration testing en exploit packs, sniffers, proxy servers, fuzzing tools en static source code analyzers.

Zowel de introductie van kwetsbaarheden als de configuratiepraktijken worden ondersteund door een aantal hands-on oefeningen die de gevolgen van succesvolle aanvallen demonstreren, laten zien hoe mitigatietechnieken kunnen worden toegepast en het gebruik van verschillende extensies en tools introduceren.

Deelnemers aan deze cursus zullen

• Begrijp de basisconcepten van beveiliging, IT-beveiliging en veilige codering
• Leer webkwetsbaarheden verder dan OWASP Top Tien en weet hoe u ze kunt vermijden
• Leer kwetsbaarheden aan de clientzijde en veilige coderingspraktijken
• Een praktisch begrip hebben van cryptografie
• Leer de verschillende beveiligingsfuncties van PHP te gebruiken
• Lees meer over typische codeerfouten en hoe u ze kunt vermijden
• Blijf op de hoogte van recente kwetsbaarheden van het PHP raamwerk
• Praktische kennis opdoen in het gebruik van tools voor het testen van beveiliging
• Krijg bronnen en meer informatie over veilige coderingspraktijken

Audiëntie

Ontwikkelaars

De combinatie van de SDL core training geeft inzicht in veilige softwareontwerp, -ontwikkeling en -testen via het Microsoft Secure Development Lifecycle (SDL). Het biedt een overzicht op niveau 100 van de fundamentele bouwblokken van SDL, gevolgd door ontwerptechnieken om te detecteren en te corrigeren naar aanleiding van fouten in vroege fasen van het ontwikkelingsproces.

In de fase van de ontwikkeling geeft de cursus een overzicht van de typische veiligheidsrelevante programmeerfouten van zowel beheerde als native code. Aanvalsmethoden worden voorgesteld voor de besproken kwetsbaarheden, samen met de bijbehorende mitigatiemethoden, alles uitgelegd door middel van een aantal praktijkopdrachten die live hacking plezier bieden aan de deelnemers. Een introductie tot verschillende veiligheidstestmethoden wordt gevolgd door het demonstreren van de effectiviteit van diverse testtools. Deelnemers kunnen de werking van deze tools begrijpen door middel van een aantal praktische opdrachten waarbij ze de tools toepassen op de al besproken kwetsbare code.

Deelnemers die aan deze cursus deelnemen, zullen

Basisconcepten van veiligheid, IT-veiligheid en veilig programmeren begrijpen

Kennis maken met de essentiële stappen van het Microsoft Secure Development Lifecycle

Veilige ontwerppraktijken leren

Veilige implementatieprincipes leren kennen

De veiligheidstestmethodologie begrijpen

• Bronnen en verdere leeswijzers over veilige coderingspraktijken krijgen

Doelgroep

Ontwikkelaars, Managers

Het beschermen van toepassingen die via het web toegankelijk zijn, vereist goed voorbereide beveiligingsexperts die altijd op de hoogte zijn van huidige aanvalsmethoden en trends. Er bestaan talrijke technologieën en omgevingen waarmee comfortabel ontwikkeld kan worden voor webtoepassingen. Men moet niet alleen bewust zijn van de beveiligingsproblemen die relevant zijn voor deze platforms, maar ook van alle algemene kwetsbaarheden die van toepassing zijn, onafhankelijk van de gebruikte ontwikkeltools.

De cursus geeft een overzicht van de toepasbare beveiligingsoplossingen in webtoepassingen, met bijzondere aandacht voor het begrijpen van de belangrijkste cryptografische oplossingen die moeten worden toegepast. De verschillende kwetsbaarheden in webtoepassingen worden zowel aan de serverkant (volgens de OWASP Top Ten) als aan de clientkant besproken, gedemonstreerd door de relevante aanvallen en gevolgd door de aanbevolen coderingstechnieken en mitigatiemethoden om de bijbehorende problemen te voorkomen. Het onderwerp veilig programmeren wordt afgerond met een discussie over typische programmeerfouten in het domein van invoervalidatie, verkeerd gebruik van beveiligingsfuncties en codekwaliteit.

Testen speelt een zeer belangrijke rol bij het waarborgen van de beveiliging en robuustheid van webtoepassingen. Er kunnen verschillende benaderingen worden toegepast – van hoge-niveau audits tot penetratietesten en ethisch hacken – om kwetsbaarheden van verschillende soorten te vinden. Als je echter verder wilt gaan dan de makkelijk te vinden, lage-hangende vruchten, moet beveiligingstesten goed gepland en adequaat uitgevoerd worden. Onthoud: beveiligingstesters moeten ideale alle fouten vinden om een systeem te beschermen, terwijl voor belagers het voldoende is om één exploitabel kwetsbaarheid te vinden om erin door te dringen.

Praktische oefeningen helpen bij het begrijpen van de kwetsbaarheden in webtoepassingen, programmeringsfouten en vooral de mitigatiemethoden, samen met handson trials van verschillende testtools, van beveiligingsscanners tot snifferprogramma's, proxy-servers, fuzzing tools en statische broncodeanalyseprogramma's. Deze cursus geeft de essentiële praktische vaardigheden die op de volgende werkdag op het werk kunnen worden toegepast.

Deelnemers aan deze cursus zullen

• Basisconcepten van beveiliging, IT-beveiliging en veilig coderen begrijpen
• Webkwetsbaarheden leren kennen die verder gaan dan de OWASP Top Ten en weten hoe je ze kunt voorkomen
• Kwetsbaarheden aan de clientkant en veilige coderingspraktijken leren kennen
• Een praktisch begrip krijgen van cryptografie
• Beveiligingstestbenaderingen en -methodologieën begrijpen
• PRACTISCH WETEN over het gebruik van beveiligingstesttechnieken en -tools opdoen
• Bericht blijven over recente kwetsbaarheden in diverse platforms, frameworks en libraries
• Bronnen en verdere leeswijzigingen over veilig coderen ontvangen

Doelgroep

Ontwikkelaars, Testers

In deze instructeurgeleide livecursus in Nederland, zullen de deelnemers leren hoe ze een passende beveiligingsstrategie kunnen opstellen om de DevOps-beveiligingsuitdaging aan te gaan.

Dit wereldklasse, state-of-the-art, praktijkgerichte workshop doopt deelnemers onder in de kritieke realiteiten van moderne CI/CD-pijplijnbeveiliging. Ontworpen voor beveiligingsprofessionals, DevOps-ingenieurs en ontwikkelaars die geavanceerde pijplijnbeveiliging willen meesteren, combineert het trainingsprogramma live aanvalssimulaties met topsectortools en praktische verdedigingstechnieken.

EC-Council Certified DevSecOps Engineer (ECDE) is een praktijkgericht cursusontwerp bedoeld om professionals te voorzien van de vaardigheden om beveiliging in het hele DevOps-levenscyclus te integreren, waardoor veilige software-ontwikkeling mogelijk wordt vanaf het plannen tot en met de implementatie.

Deze instructeurgeleide live-training (online of ter plekke) is gericht op middeniveau software- en DevOps-professionals die beveiligingspraktijken willen integreren in CI/CD-pipelines, zodat veilige en conforme code wordt afgeleverd.

Tegen het einde van deze training zullen de deelnemers in staat zijn:

• De principes en praktijken van DevSecOps te begrijpen.
• Elk stadium van de CI/CD-pijplijn veilig te maken met behulp van geautomatiseerde tools.
• Veilige coderingspraktijken en kwetsbaarheidsscanningen te implementeren.
• Zich voor de ECDE-certificering te voorbereiden met praktische laboratoria en herhaling.

Cursusindeling

• Interactieve lezing en discussie.
• Praktijkgericht gebruik van DevSecOps-tools in gesimuleerde pijplijnen.
• Gestuurde oefeningen gericht op veilige ontwikkeling en implementatie.

Cursusaanpassingsmogelijkheden

• Om een aangepaste training voor deze cursus aan te vragen, gebaseerd op de werkstromen of toolchain van uw team, neem dan contact met ons op om in te plannen.

Deze live training onder leiding van een instructeur ( online of ter plaatse) is bedoeld voor ontwikkelaars, ingenieurs en architecten die hun web-apps en -services willen beveiligen.

Aan het einde van deze training kunnen deelnemers hun webapps en -services integreren, testen, beschermen en analyseren met behulp van het OWASP testframework en de tools

Op basis van de nieuwste richtlijnen van het OWASP GenAI Security Project leren deelnemers hoe ze AI-specifieke bedreigingen kunnen identificeren, waarderen en afwenden door middel van praktische oefeningen en realistische scenario's.

Deze cursus behandelt de beveiligde codeconcepten en principes met Java via de Open Web Application Security Project (OWASP) testmethodologie. De Open Web Application Security Project is een online gemeenschap die vrij beschikbare artikelen, methodologieën, documentatie, hulpmiddelen en technologieën in het gebied van webapplicatiebeveiliging creëert.

Deze cursus behandelt de principes en concepten van veilig coderen met ASP.net via de OWASP-methodologie voor testen. OWASP is een online community die vrij beschikbare artikelen, methodologieën, documentatie, hulpmiddelen en technologieën in het gebied van webapplicatiebeveiliging creëert.

Deze cursus verkent de beveiligingsfuncties van de .NET Framework en hoe je webapplicaties kunt beveiligen.