Entrar em Contato

Programa do Curso

Fundamentos de Segurança da Informação e Codificação Segura

  • Fundamentos de modelagem de ameaças: STRIDE, superfícies de ataque e vetores de elevação de privilégio
  • Integração ao SDLC seguro: abordagem shift-left, revisões de design cientes das ameaças e defesa em profundidade
  • Princípio do menor privilégio, defesa por contrato e configurações padrão seguras
  • Workshop: Mapeamento de um microsserviço .NET para um modelo de ameaças e identificação de controles arquiteturais

Segurança de Aplicações Web no ASP.NET

  • Pipeline de solicitações do ASP.NET, ordem de execução do middleware e pontos de interceptação de filtros
  • Riscos do protocolo HTTP: injeção de cabeçalhos, smuggle de requisições e configurações incorretas de CORS
  • Gestão de sessões, persistência de estado e melhores práticas de segurança com cookies
  • Chamadas de procedimento remoto seguras e padrões de consumo de APIs externas
  • Prática: Explorando e corrigindo uma cadeia vulnerável de middleware em um aplicativo ASP.NET de exemplo

Arquitetura de Segurança do .NET e Serviços Integrados

  • Modelo de segurança do CLR: evidências, permissões e evolução do CAS (Code Access Security)
  • ASP.NET Core Identity, esquemas de autenticação e segurança baseada em tokens (JWT, OAuth2, OpenID Connect)
  • Data Protection API: criptografia, rotação de chaves e serialização segura de dados
  • Primitivas criptográficas no .NET: RNG, hashing, criptografia simétrica/assimétrica e validação de assinaturas
  • Prática: Implementação de emissão segura de tokens, rotação de chaves e proteção de dados entre limites de microsserviços

Erros Comuns de Codificação, Vulnerabilidades e Mitigação

  • Ataques de desserialização, manipulação do ViewState e armadilhas de terminação/transbordamento de strings no .NET
  • Dérive de configuração: web.config/appsettings.json, exposição de variáveis de ambiente e gestão de segredos
  • Vetores de injeção: SQL, comandos, XSS e LDAP no acesso a dados e roteamento em C#
  • Padrões inseguros, valores fixos (hardcoding) e tratamento inadequado de erros levando à vazamento de informações
  • Prática: Engenharia reversa de um módulo .NET vulnerável, aplicação de padrões seguros e validação das correções com analisadores estáticos/dinâmicos

Testes de Segurança, Validação e Melhoria Contínua

  • Teste Estático de Segurança de Aplicações (SAST): analisadores Roslyn, Security Code Scan e integração com CI/CD
  • Teste Dinâmico de Segurança de Aplicações (DAST): fluxos de trabalho do OWASP ZAP e Burp Suite, bem como varreduras automatizadas
  • Proteção em tempo de execução: Application Guardrails, práticas de segurança de memória e registros/auditorias seguras
  • Gestão de patches, rastreamento de dependências e resposta a avisos de segurança do .NET/ASP.NET
  • Prática: Construção de uma porta de segurança para pré-commit e pipeline em uma solução .NET

Fontes de Conhecimento e Ecossistema de Desenvolvimento Seguro

  • Orientações oficiais de segurança da Microsoft, documentação de segurança do .NET e referências de endurecimento do ASP.NET
  • Bancos de dados CVE, feeds de avisos e fluxos de trabalho de divulgação responsável para dependências open-source
  • Ecossistemas de bibliotecas seguras: PGP, operações criptográficas, andaimes de autenticação e criptografia em conformidade
  • Evolução dos padrões internos de codificação segura, capacitação de desenvolvedores e programas de campeões de segurança
  • Workshop: Curadoria de um kit de ferramentas personalizado para desenvolvimento seguro e estabelecimento de práticas contínuas de monitoramento

Requisitos

  • Sólido conhecimento prático de programação em C# e fundamentos do framework .NET
  • Familiaridade com o desenvolvimento web ASP.NET (Razor Pages, MVC ou Minimal APIs)
  • Compreensão básica dos conceitos HTTP, roteamento e servidores web
  • Não é necessária certificação prévia em segurança, mas espera-se experiência em desenvolvimento para produção
 14 Horas

Número de participantes


Preço por participante

Testemunhos de Clientes (5)

Próximas Formações Provisórias

Categorias Relacionadas