Programa do Curso
Fundamentos de Segurança da Informação e Codificação Segura
- Fundamentos de modelagem de ameaças: STRIDE, superfícies de ataque e vetores de elevação de privilégio
- Integração ao SDLC seguro: abordagem shift-left, revisões de design cientes das ameaças e defesa em profundidade
- Princípio do menor privilégio, defesa por contrato e configurações padrão seguras
- Workshop: Mapeamento de um microsserviço .NET para um modelo de ameaças e identificação de controles arquiteturais
Segurança de Aplicações Web no ASP.NET
- Pipeline de solicitações do ASP.NET, ordem de execução do middleware e pontos de interceptação de filtros
- Riscos do protocolo HTTP: injeção de cabeçalhos, smuggle de requisições e configurações incorretas de CORS
- Gestão de sessões, persistência de estado e melhores práticas de segurança com cookies
- Chamadas de procedimento remoto seguras e padrões de consumo de APIs externas
- Prática: Explorando e corrigindo uma cadeia vulnerável de middleware em um aplicativo ASP.NET de exemplo
Arquitetura de Segurança do .NET e Serviços Integrados
- Modelo de segurança do CLR: evidências, permissões e evolução do CAS (Code Access Security)
- ASP.NET Core Identity, esquemas de autenticação e segurança baseada em tokens (JWT, OAuth2, OpenID Connect)
- Data Protection API: criptografia, rotação de chaves e serialização segura de dados
- Primitivas criptográficas no .NET: RNG, hashing, criptografia simétrica/assimétrica e validação de assinaturas
- Prática: Implementação de emissão segura de tokens, rotação de chaves e proteção de dados entre limites de microsserviços
Erros Comuns de Codificação, Vulnerabilidades e Mitigação
- Ataques de desserialização, manipulação do ViewState e armadilhas de terminação/transbordamento de strings no .NET
- Dérive de configuração: web.config/appsettings.json, exposição de variáveis de ambiente e gestão de segredos
- Vetores de injeção: SQL, comandos, XSS e LDAP no acesso a dados e roteamento em C#
- Padrões inseguros, valores fixos (hardcoding) e tratamento inadequado de erros levando à vazamento de informações
- Prática: Engenharia reversa de um módulo .NET vulnerável, aplicação de padrões seguros e validação das correções com analisadores estáticos/dinâmicos
Testes de Segurança, Validação e Melhoria Contínua
- Teste Estático de Segurança de Aplicações (SAST): analisadores Roslyn, Security Code Scan e integração com CI/CD
- Teste Dinâmico de Segurança de Aplicações (DAST): fluxos de trabalho do OWASP ZAP e Burp Suite, bem como varreduras automatizadas
- Proteção em tempo de execução: Application Guardrails, práticas de segurança de memória e registros/auditorias seguras
- Gestão de patches, rastreamento de dependências e resposta a avisos de segurança do .NET/ASP.NET
- Prática: Construção de uma porta de segurança para pré-commit e pipeline em uma solução .NET
Fontes de Conhecimento e Ecossistema de Desenvolvimento Seguro
- Orientações oficiais de segurança da Microsoft, documentação de segurança do .NET e referências de endurecimento do ASP.NET
- Bancos de dados CVE, feeds de avisos e fluxos de trabalho de divulgação responsável para dependências open-source
- Ecossistemas de bibliotecas seguras: PGP, operações criptográficas, andaimes de autenticação e criptografia em conformidade
- Evolução dos padrões internos de codificação segura, capacitação de desenvolvedores e programas de campeões de segurança
- Workshop: Curadoria de um kit de ferramentas personalizado para desenvolvimento seguro e estabelecimento de práticas contínuas de monitoramento
Requisitos
- Sólido conhecimento prático de programação em C# e fundamentos do framework .NET
- Familiaridade com o desenvolvimento web ASP.NET (Razor Pages, MVC ou Minimal APIs)
- Compreensão básica dos conceitos HTTP, roteamento e servidores web
- Não é necessária certificação prévia em segurança, mas espera-se experiência em desenvolvimento para produção
Testemunhos de Clientes (5)
Muito bom entender como um hacker potencialmente analisaria sites em busca de vulnerabilidades e as ferramentas que poderiam usar.
Roger - OTT Mobile
Curso - .NET, C# and ASP.NET Security Development
Máquina Traduzida
as piadas engraçadinhas. Amo a sessão de dois dias por causa dos laboratórios.
Kevin Galacgac - Human Edge Software Philippines, Inc.
Curso - .NET, C# and ASP.NET Security Development
Máquina Traduzida
O instrutor está realmente se conectando conosco e garantindo que ninguém fique de fora do tópico atual. Explica bem cada tópico e fornece exemplos que são fáceis de entender.
Edgarico Llaneta - Human Edge Software Philippines, Inc.
Curso - .NET, C# and ASP.NET Security Development
Máquina Traduzida
O treinamento prático e os exemplos.
Lord-Sam Lamparero - Human Edge Software Philippines, Inc.
Curso - .NET, C# and ASP.NET Security Development
Máquina Traduzida
I was benefit from the exercises (SQL injection, XSS, CRSF. .).