Curso de Programação Segura em C/C++

No final desta formação, os participantes serão capazes de:

• Explicar a segurança e as vulnerabilidades da aplicação
• Descrever as melhores práticas de programação ABAP e o manuseio do SY-SUBRC
• Compreender as vulnerabilidades de injeção
• Descrever as ferramentas de teste de segurança
• Explicar o ATC e o CVA

Formato do curso

• Palestra interactiva e discussão.
• Muitos exercícios e prática.
• Implementação prática num ambiente de laboratório ao vivo.

Este treinamento presencial (online ou no local) ministrado por instrutor é destinado a desenvolvedores que desejam utilizar técnicas avançadas de programação em C++ para desenvolver sistemas e aplicações complexas, seguras e de alto desempenho.

No final deste treinamento, os participantes serão capazes de:

• Configurar um ambiente de desenvolvimento que inclua todas as bibliotecas, pacotes e frameworks do C++.
• Compreender as características, componentes e elementos básicos do C++.
• Criar aplicações complexas em C++ usando técnicas avançadas de programação.
• Aprender a escrever código legível, rápido e seguro em C++.
• Conhecer os perigos comuns de segurança na linguagem C++ e como mitigá-los.
• Implementar estratégias de teste para controle de qualidade e segurança do código.
• Usar as ferramentas de diagnóstico e depuração no desenvolvimento em C++.

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Até mesmo programadores experientes em Java nem sempre dominam todos os serviços de segurança oferecidos pela linguagem, além de desconhecirem as diversas vulnerabilidades relevantes para aplicações web escritas em Java.

Além de introduzir os componentes de segurança da Standard Java Edition (Java SE), este curso aborda questões de segurança do Java Enterprise Edition (JEE) e de serviços web. A discussão sobre serviços específicos é precedida pelos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativa e programática no JEE, enquanto a segurança em nível de transporte e de ponta a ponta nos serviços web é discutida. O uso de todos os componentes é apresentado por meio de exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também revisa e explica as falhas de programação mais frequentes e graves da linguagem Java e de sua plataforma, bem como as vulnerabilidades relacionadas à web. Além dos bugs típicos cometidos por programadores Java, as vulnerabilidades de segurança abordadas cobrem tanto questões específicas da linguagem quanto problemas derivados do ambiente de execução. Todas as vulnerabilidades e os ataques pertinentes são demonstrados por meio de exercícios de fácil compreensão, seguidos pelas diretrizes recomendadas de codificação e pelas possíveis técnicas de mitigação.

Os participantes que concluírem este curso serão capazes de:

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura.
• Aprender sobre vulnerabilidades web além das OWASP Top Ten e saber como evitá-las.
• Compreender os conceitos de segurança de serviços web.
• Aprender a utilizar vários recursos de segurança do ambiente de desenvolvimento Java.
• Ter um entendimento prático de criptografia.
• Compreender as soluções de segurança do Java EE.
• Aprender sobre erros de codificação típicos e como evitá-los.
• Obter informações sobre algumas vulnerabilidades recentes no framework Java.
• Adquirir conhecimento prático no uso de ferramentas de teste de segurança.
• Obter fontes e leituras complementares sobre práticas de codificação segura.

Público-alvo

Desenvolvedores

Existem diversas linguagens de programação disponíveis atualmente para compilar código para os frameworks .NET e ASP.NET. O ambiente oferece meios poderosos para o desenvolvimento seguro, mas os desenvolvedores devem saber como aplicar técnicas de programação nos níveis de arquitetura e de código para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar os desenvolvedores, por meio de numerosos exercícios práticos, a impedir que código não confiável realize ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, gerenciar sessões, introduzir diferentes implementações para determinadas funcionalidades, entre outros aspectos.

A introdução às diferentes vulnerabilidades começa apresentando problemas de programação típicos cometidos ao utilizar .NET, enquanto a discussão sobre vulnerabilidades do ASP.NET também aborda as diversas configurações de ambiente e seus efeitos. Finalmente, o tópico das vulnerabilidades específicas do ASP.NET não trata apenas de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque, como ataques ao ViewState ou ataques de terminação de string.

Os participantes que cursarem este material aprenderão

• A compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• A conhecer vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• A utilizar os diversos recursos de segurança do ambiente de desenvolvimento .NET
• A adquirir conhecimento prático no uso de ferramentas de teste de segurança
• A aprender sobre erros de codificação típicos e como evitá-los
• A obter informações sobre algumas vulnerabilidades recentes no .NET e no ASP.NET
• A ter acesso a fontes e leituras complementares sobre práticas de codificação segura

Público-alvo

Desenvolvedores

O curso fornece aos programadores de PHP as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet. As vulnerabilidades da Web são discutidas através de exemplos baseados em PHP que vão além dos OWASP dez principais, abordando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões de PHP, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. As vulnerabilidades relacionadas com o PHP são introduzidas agrupadas nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou incorrecta, tratamento incorreto de erros e excepções, utilização incorrecta de caraterísticas de segurança e problemas relacionados com o tempo e o estado. Neste último caso, são discutidos ataques como a evasão do open_basedir, a negação de serviço através do magic float ou o ataque de colisão de tabelas de hash. Em todos os casos, os participantes familiarizar-se-ão com as técnicas e funções mais importantes a utilizar para mitigar os riscos enumerados.

É dada especial atenção à segurança do lado do cliente, abordando as questões de segurança de JavaScript, Ajax e HTML5. São introduzidas várias extensões de PHP relacionadas com a segurança, como hash, mcrypt e OpenSSL para criptografia, ou Ctype, ext/filter e HTML Purifier para validação de entradas. As melhores práticas de proteção são apresentadas em relação à configuração do PHP (definição do php.ini), do Apache e do servidor em geral. Finalmente, é dada uma visão geral de várias ferramentas e técnicas de teste de segurança que os desenvolvedores e testadores podem usar, incluindo scanners de segurança, testes de penetração e pacotes de exploração, sniffers, servidores proxy, ferramentas de fuzzing e analisadores estáticos de código-fonte.

Tanto a introdução de vulnerabilidades como as práticas de configuração são apoiadas por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como aplicar técnicas de mitigação e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Ter um conhecimento prático de criptografia
• Aprender a utilizar várias funcionalidades de segurança do PHP
• Conhecer os erros típicos de codificação e saber como evitá-los
• Ser informado sobre as vulnerabilidades recentes da estrutura PHP
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O treinamento combinado de SDL core fornece uma visão sobre o design, desenvolvimento e teste de software seguro através do ciclo de vida de desenvolvimento seguro da Microsoft (SDL). Ele oferece uma visão geral de nível 100 dos elementos fundamentais do SDL, seguida por técnicas de design para detectar e corrigir falhas em estágios iniciais do processo de desenvolvimento.

Em relação à fase de desenvolvimento, o curso apresenta uma visão geral dos bugs típicos de segurança em código gerenciado e nativo. Métodos de ataque são demonstrados para as vulnerabilidades discutidas, juntamente com as técnicas de mitigação associadas, todas explicadas através de exercícios práticos que proporcionam diversão ao vivo de hacking aos participantes. A introdução de diferentes métodos de teste de segurança é seguida pela demonstração da eficácia de diversas ferramentas de teste. Os participantes podem entender o funcionamento dessas ferramentas através de vários exercícios práticos, aplicando-as ao código vulnerável já discutido.

Os participantes que frequentarem este curso

Compreenderão conceitos básicos de segurança, segurança da TI e codificação segura

Conhecerão os passos essenciais do ciclo de vida de desenvolvimento seguro da Microsoft (SDL)

Aprenderão práticas de design e desenvolvimento seguros

Conhecerão princípios de implementação segura

Compreenderão a metodologia de teste de segurança

• Obterão fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores, Gerentes

O C++ é adequado para sistemas embarcados, como microcontroladores e sistemas operacionais em tempo real?

A programação orientada a objetos deve ser usada em microcontroladores?

O C++ está muito distante do hardware para ser eficiente?

Este treinamento presencial, conduzido por um instrutor, aborda essas perguntas e demonstra através de discussões e práticas como o C++ pode ser usado para desenvolver sistemas embarcados com código preciso, legível e eficiente. Os participantes colocam a teoria em prática criando uma aplicação embarcada de amostra em C++.

Ao final deste treinamento, os participantes serão capazes de:

• Compreender os princípios da modelagem orientada a objetos, programação de software embarcado e programação em tempo real
• Produzir código para sistemas embarcados que seja pequeno, rápido e seguro
• Evitar o aumento do tamanho do código devido a templates, exceções e outras características da linguagem
• Compreender as questões relacionadas ao uso do C++ em sistemas críticos à segurança e em tempo real
• Depurar um programa C++ em um dispositivo de destino

Público-alvo

• Desenvolvedores
• Projetistas

Formato do curso

• Parte palestra, parte discussão, exercícios e muita prática hands-on

Este curso tem 2 dias de duração e é dirigido a todos os programadores C++ que estão interessados em aplicar o novo padrão C++ 11 na industria. Ele é particularmente util para desencolvedores de aplicações financeiras e cobre todas as novas utilidades com exemplos e exercicios praticos.

Neste curso ministrado por um instrutor e ao vivo em Brasil, os participantes aprenderão como formular a estratégia de segurança adequada para enfrentar o desafio da segurança DevOps.

EC-Council Engenheiro Certificado DevSecOps (ECDE) é um curso prático projetado para equipar profissionais com as habilidades necessárias para incorporar segurança ao longo do ciclo de vida DevOps, habilitando o desenvolvimento seguro de software desde a fase de planejamento até a implantação.

Esta formação presencial ou online, conduzida por um instrutor, destina-se a profissionais intermediários de software e DevOps que desejam integrar práticas de segurança em pipelines CI/CD, garantindo a entrega de código seguro e conforme.

No final desta formação, os participantes serão capazes de:

• Compreender os princípios e práticas do DevSecOps.
• Segurar cada etapa dos pipelines CI/CD usando ferramentas automatizadas.
• Implementar práticas de codificação segura e varreduras de vulnerabilidades.
• Preparar-se para a certificação ECDE com laboratórios práticos e revisão.

Formato do Curso

• Aula interativa e discussão.
• Uso prático de ferramentas DevSecOps em pipelines simulados.
• Exercícios guiados focados no desenvolvimento seguro e implantação.

Opções de Personalização do Curso

• Para solicitar uma formação personalizada para este curso com base nos fluxos de trabalho ou cadeia de ferramentas da sua equipe, entre em contato conosco para agendar.

Este treinamento tem como objetivo introduzir o C++ como a extensão comum do C quando se aplica o desenvolvimento orientado a objetos de sistemas embarcados. Como o C++ engloba o C, este treinamento nos leva naturalmente do C ao C++, explorando os bastidores de como o C++ é implementado. Isso é especialmente valioso para compreender quando se aplica o C++ em um ambiente de recursos limitados embarcado. O padrão C++ passou recentemente por uma revisão importante, conhecida como C++11, e uma nova versão está a caminho, o C++14. Este curso aborda os tópicos trazidos com essas revisões que são particularmente úteis, como gerenciamento de memória de alto desempenho, concorrência aproveitando um ambiente multicore e programação de baixo nível próxima ao hardware.

OBJETIVO/BENEFÍCIOS

O objetivo principal desta aula é que você seja capaz de usar o C++ da maneira "correta".

• Introduzir o C++ como uma alternativa orientada a objetos no contexto de sistemas embarcados
• Mostrar as similaridades e diferenças com a linguagem C
• Compreender diferentes estratégias de gerenciamento de memória – especialmente a semântica de movimentação introduzida com o C++11
• Explorar os bastidores e entender o que diferentes paradigmas em C++ resultam no código de máquina
• Usar templates para alcançar abstrações de alto nível seguras em relação ao tipo para programação de baixo nível próxima ao hardware – I/O mapeado na memória bem como interrupções – especialmente os templates variádicos introduzidos com o C++11
• Fornecer alguns padrões de design úteis, particularmente aplicáveis em um contexto embarcado
• Alguns exercícios para praticar alguns conceitos

PÚBLICO/ PARTICIPANTES

Este treinamento é destinado a programadores C++ que pretendem começar a usar o C++ em um contexto de sistema embarcado.

CONECIMENTOS PREVIOS

O curso requer conhecimentos básicos em programação C++, correspondentes aos nossos treinamentos "C++ – Nível 1" e "C++ Nível 2 – Introdução ao C++11".

EXERCÍCIOS PRÁTICOS

Durante o treinamento, você praticará os conceitos apresentados em uma série de exercícios. Usaremos a ambiente de desenvolvimento integrado (IDE) gratuito e aberto da Eclipse.

Este Curso em Brasil visa ajudar nos seguintes aspectos:

1. Ajudar Desenvolvedores a dominar as técnicas de escrita de Código Seguro
2. Ajudar Testadores de Software a testar a segurança da aplicação antes de publicá-la no ambiente de produção
3. Ajudar Arquitetos de Software a compreender os riscos associados às aplicações
4. Ajudar Líderes de Equipe a estabelecer as bases de segurança para os desenvolvedores
5. Ajudar Web Masters a configurar os Servidores para evitar configurações incorretas

Este curso aborda os conceitos e princípios de codificação segura com Java através da metodologia de testes do Open Web Application Security Project (OWASP). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentações, ferramentas e tecnologias de forma gratuita na área de segurança de aplicativos web.

Este curso aborda os conceitos e princípios de codificação segura com ASP.NET através da metodologia de teste do Open Web Application Security Project (OWASP). O OWASP é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias gratuitamente disponíveis na área de segurança de aplicativos web.

Este Curso explora as funcionalidades de segurança do Framework .NET e como proteger aplicativos web.