Curso de EC-Council Certified DevSecOps Engineer (ECDE)

No final desta formação, os participantes serão capazes de:

• Explicar a segurança e as vulnerabilidades da aplicação
• Descrever as melhores práticas de programação ABAP e o manuseio do SY-SUBRC
• Compreender as vulnerabilidades de injeção
• Descrever as ferramentas de teste de segurança
• Explicar o ATC e o CVA

Formato do curso

• Palestra interactiva e discussão.
• Muitos exercícios e prática.
• Implementação prática num ambiente de laboratório ao vivo.

A implementação de uma aplicação segura em rede pode ser difícil, mesmo para os programadores que possam ter utilizado previamente vários blocos de construção criptográficos (como a encriptação e as assinaturas digitais). Para que os participantes compreendam o papel e a utilização destas primitivas criptográficas, começa-se por dar uma base sólida sobre os principais requisitos da comunicação segura - reconhecimento seguro, integridade, confidencialidade, identificação remota e anonimato - e apresentam-se os problemas típicos que podem prejudicar estes requisitos, juntamente com soluções reais.

Como um aspeto crítico da segurança da rede é a criptografia, também são discutidos os algoritmos criptográficos mais importantes em criptografia simétrica, hashing, criptografia assimétrica e acordo de chaves. Em vez de apresentar uma base matemática aprofundada, estes elementos são discutidos na perspetiva de um programador, mostrando exemplos típicos de casos de utilização e considerações práticas relacionadas com a utilização da criptografia, tais como infra-estruturas de chaves públicas. São introduzidos protocolos de segurança em muitas áreas da comunicação segura, com uma discussão aprofundada sobre as famílias de protocolos mais utilizadas, como o IPSEC e o SSL/TLS.

São discutidas vulnerabilidades criptográficas típicas relacionadas com determinados algoritmos criptográficos e protocolos criptográficos, tais como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE e similares, bem como o ataque de temporização RSA. Em cada caso, as considerações práticas e as potenciais consequências são descritas para cada problema, mais uma vez, sem entrar em pormenores matemáticos profundos.

Finalmente, como a tecnologia XML é fundamental para o intercâmbio de dados por aplicações em rede, são descritos os aspectos de segurança da XML. Isto inclui a utilização de XML em serviços Web e mensagens SOAP, juntamente com medidas de proteção como a assinatura XML e a encriptação XML - bem como os pontos fracos dessas medidas de proteção e questões de segurança específicas de XML, como a injeção XML, ataques de entidades externas XML (XXE), bombas XML e injeção XPath.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Compreender os requisitos da comunicação segura
• Conhecer os ataques e as defesas de rede em diferentes camadas OSI
• Ter uma compreensão prática da criptografia
• Compreender os protocolos de segurança essenciais
• Compreender alguns ataques recentes contra sistemas de criptografia
• Obter informações sobre algumas vulnerabilidades recentes relacionadas
• Compreender os conceitos de segurança dos serviços Web
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores, profissionais

Escrever código seguro em C e C++ exige uma defesa rigorosa contra exploração maliciosa, corrupção de memória e burlas de validação de entrada. Este programa analisa padrões de vulnerabilidade, incluindo estouro de buffer, uso após liberação, estouro inteiro e confusão de tipos. Os participantes aplicam diretrizes de programação segura, ferramentas de análise estática e técnicas de programação defensiva para eliminar falhas, impor a sanitização de entradas e entregar software endurecido, resistente a ciberataques.

Até mesmo programadores experientes em Java nem sempre dominam todos os serviços de segurança oferecidos pela linguagem, além de desconhecirem as diversas vulnerabilidades relevantes para aplicações web escritas em Java.

Além de introduzir os componentes de segurança da Standard Java Edition (Java SE), este curso aborda questões de segurança do Java Enterprise Edition (JEE) e de serviços web. A discussão sobre serviços específicos é precedida pelos fundamentos da criptografia e da comunicação segura. Vários exercícios tratam de técnicas de segurança declarativa e programática no JEE, enquanto a segurança em nível de transporte e de ponta a ponta nos serviços web é discutida. O uso de todos os componentes é apresentado por meio de exercícios práticos, onde os participantes podem experimentar as APIs e ferramentas discutidas.

O curso também revisa e explica as falhas de programação mais frequentes e graves da linguagem Java e de sua plataforma, bem como as vulnerabilidades relacionadas à web. Além dos bugs típicos cometidos por programadores Java, as vulnerabilidades de segurança abordadas cobrem tanto questões específicas da linguagem quanto problemas derivados do ambiente de execução. Todas as vulnerabilidades e os ataques pertinentes são demonstrados por meio de exercícios de fácil compreensão, seguidos pelas diretrizes recomendadas de codificação e pelas possíveis técnicas de mitigação.

Os participantes que concluírem este curso serão capazes de:

• Compreender os conceitos básicos de segurança, segurança de TI e codificação segura.
• Aprender sobre vulnerabilidades web além das OWASP Top Ten e saber como evitá-las.
• Compreender os conceitos de segurança de serviços web.
• Aprender a utilizar vários recursos de segurança do ambiente de desenvolvimento Java.
• Ter um entendimento prático de criptografia.
• Compreender as soluções de segurança do Java EE.
• Aprender sobre erros de codificação típicos e como evitá-los.
• Obter informações sobre algumas vulnerabilidades recentes no framework Java.
• Adquirir conhecimento prático no uso de ferramentas de teste de segurança.
• Obter fontes e leituras complementares sobre práticas de codificação segura.

Público-alvo

Desenvolvedores

Descrição

A linguagem Java e o Ambiente de Execução (JRE) foram projetados para serem livres das vulnerabilidades de segurança comuns mais problemáticas encontradas em outras linguagens, como C/C++. No entanto, desenvolvedores de software e arquitetos não devem apenas saber como utilizar os diversos recursos de segurança do ambiente Java (segurança positiva), mas também devem estar cientes das inúmeras vulnerabilidades que ainda são relevantes para o desenvolvimento em Java (segurança negativa).

A introdução aos serviços de segurança é precedida por uma breve visão geral dos fundamentos da criptografia, fornecendo uma base comum para compreender o propósito e o funcionamento dos componentes aplicáveis. O uso desses componentes é apresentado por meio de vários exercícios práticos, nos quais os participantes podem experimentar por conta própria as APIs discutidas.

O curso também aborda e explica as falhas de programação mais frequentes e graves da linguagem e da plataforma Java, abrangendo tanto os erros típicos cometidos por programadores Java quanto as questões específicas da linguagem e do ambiente. Todas as vulnerabilidades e os ataques relevantes são demonstrados por meio de exercícios de fácil compreensão, seguidos pelas diretrizes de codificação recomendadas e pelas possíveis técnicas de mitigação.

Os participantes que cursarem este módulo

• Compreenderão os conceitos básicos de segurança, segurança de TI e codificação segura
• Aprenderão sobre vulnerabilidades web além do OWASP Top Ten e saberão como evitá-las
• Aprenderão a utilizar diversos recursos de segurança do ambiente de desenvolvimento Java
• Terão uma compreensão prática da criptografia
• Aprenderão sobre erros de codificação típicos e como evitá-los
• Receberão informações sobre algumas vulnerabilidades recentes no framework Java
• Obterão fontes e leituras complementares sobre práticas de codificação segura

Público-alvo

Desenvolvedores

Existem diversas linguagens de programação disponíveis atualmente para compilar código para os frameworks .NET e ASP.NET. O ambiente oferece meios poderosos para o desenvolvimento seguro, mas os desenvolvedores devem saber como aplicar técnicas de programação nos níveis de arquitetura e de código para implementar a funcionalidade de segurança desejada, evitar vulnerabilidades ou limitar sua exploração.

O objetivo deste curso é ensinar os desenvolvedores, por meio de numerosos exercícios práticos, a impedir que código não confiável realize ações privilegiadas, proteger recursos por meio de autenticação e autorização fortes, fornecer chamadas de procedimento remoto, gerenciar sessões, introduzir diferentes implementações para determinadas funcionalidades, entre outros aspectos.

A introdução às diferentes vulnerabilidades começa apresentando problemas de programação típicos cometidos ao utilizar .NET, enquanto a discussão sobre vulnerabilidades do ASP.NET também aborda as diversas configurações de ambiente e seus efeitos. Finalmente, o tópico das vulnerabilidades específicas do ASP.NET não trata apenas de desafios gerais de segurança de aplicativos web, mas também de questões especiais e métodos de ataque, como ataques ao ViewState ou ataques de terminação de string.

Os participantes que cursarem este material aprenderão

• A compreender os conceitos básicos de segurança, segurança de TI e codificação segura
• A conhecer vulnerabilidades web além do OWASP Top Ten e saber como evitá-las
• A utilizar os diversos recursos de segurança do ambiente de desenvolvimento .NET
• A adquirir conhecimento prático no uso de ferramentas de teste de segurança
• A aprender sobre erros de codificação típicos e como evitá-los
• A obter informações sobre algumas vulnerabilidades recentes no .NET e no ASP.NET
• A ter acesso a fontes e leituras complementares sobre práticas de codificação segura

Público-alvo

Desenvolvedores

O curso fornece aos programadores de PHP as competências essenciais necessárias para tornar as suas aplicações resistentes aos ataques contemporâneos através da Internet. As vulnerabilidades da Web são discutidas através de exemplos baseados em PHP que vão além dos OWASP dez principais, abordando vários ataques de injeção, injecções de scripts, ataques contra o tratamento de sessões de PHP, referências diretas inseguras a objectos, problemas com o carregamento de ficheiros e muitos outros. As vulnerabilidades relacionadas com o PHP são introduzidas agrupadas nos tipos de vulnerabilidade padrão de validação de entrada inexistente ou incorrecta, tratamento incorreto de erros e excepções, utilização incorrecta de caraterísticas de segurança e problemas relacionados com o tempo e o estado. Neste último caso, são discutidos ataques como a evasão do open_basedir, a negação de serviço através do magic float ou o ataque de colisão de tabelas de hash. Em todos os casos, os participantes familiarizar-se-ão com as técnicas e funções mais importantes a utilizar para mitigar os riscos enumerados.

É dada especial atenção à segurança do lado do cliente, abordando as questões de segurança de JavaScript, Ajax e HTML5. São introduzidas várias extensões de PHP relacionadas com a segurança, como hash, mcrypt e OpenSSL para criptografia, ou Ctype, ext/filter e HTML Purifier para validação de entradas. As melhores práticas de proteção são apresentadas em relação à configuração do PHP (definição do php.ini), do Apache e do servidor em geral. Finalmente, é dada uma visão geral de várias ferramentas e técnicas de teste de segurança que os desenvolvedores e testadores podem usar, incluindo scanners de segurança, testes de penetração e pacotes de exploração, sniffers, servidores proxy, ferramentas de fuzzing e analisadores estáticos de código-fonte.

Tanto a introdução de vulnerabilidades como as práticas de configuração são apoiadas por uma série de exercícios práticos que demonstram as consequências de ataques bem sucedidos, mostrando como aplicar técnicas de mitigação e introduzindo a utilização de várias extensões e ferramentas.

Os participantes neste curso irão

• Compreender os conceitos básicos de segurança, segurança informática e codificação segura
• Conhecer as vulnerabilidades da Web para além das OWASP Top Ten e saber como evitá-las
• Conhecer as vulnerabilidades do lado do cliente e as práticas de codificação segura
• Ter um conhecimento prático de criptografia
• Aprender a utilizar várias funcionalidades de segurança do PHP
• Conhecer os erros típicos de codificação e saber como evitá-los
• Ser informado sobre as vulnerabilidades recentes da estrutura PHP
• Obter conhecimentos práticos sobre a utilização de ferramentas de teste de segurança
• Obter fontes e leituras adicionais sobre práticas de codificação seguras

Público-alvo

Programadores

O treinamento combinado de SDL core fornece uma visão sobre o design, desenvolvimento e teste de software seguro através do ciclo de vida de desenvolvimento seguro da Microsoft (SDL). Ele oferece uma visão geral de nível 100 dos elementos fundamentais do SDL, seguida por técnicas de design para detectar e corrigir falhas em estágios iniciais do processo de desenvolvimento.

Em relação à fase de desenvolvimento, o curso apresenta uma visão geral dos bugs típicos de segurança em código gerenciado e nativo. Métodos de ataque são demonstrados para as vulnerabilidades discutidas, juntamente com as técnicas de mitigação associadas, todas explicadas através de exercícios práticos que proporcionam diversão ao vivo de hacking aos participantes. A introdução de diferentes métodos de teste de segurança é seguida pela demonstração da eficácia de diversas ferramentas de teste. Os participantes podem entender o funcionamento dessas ferramentas através de vários exercícios práticos, aplicando-as ao código vulnerável já discutido.

Os participantes que frequentarem este curso

Compreenderão conceitos básicos de segurança, segurança da TI e codificação segura

Conhecerão os passos essenciais do ciclo de vida de desenvolvimento seguro da Microsoft (SDL)

Aprenderão práticas de design e desenvolvimento seguros

Conhecerão princípios de implementação segura

Compreenderão a metodologia de teste de segurança

• Obterão fontes e leituras adicionais sobre práticas de codificação segura

Público-alvo

Desenvolvedores, Gerentes

Neste curso ministrado por um instrutor e ao vivo em Brasil, os participantes aprenderão como formular a estratégia de segurança adequada para enfrentar o desafio da segurança DevOps.

Este Curso em Brasil visa ajudar nos seguintes aspectos:

1. Ajudar Desenvolvedores a dominar as técnicas de escrita de Código Seguro
2. Ajudar Testadores de Software a testar a segurança da aplicação antes de publicá-la no ambiente de produção
3. Ajudar Arquitetos de Software a compreender os riscos associados às aplicações
4. Ajudar Líderes de Equipe a estabelecer as bases de segurança para os desenvolvedores
5. Ajudar Web Masters a configurar os Servidores para evitar configurações incorretas

Este curso aborda os conceitos e princípios de codificação segura com Java através da metodologia de testes do Open Web Application Security Project (OWASP). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentações, ferramentas e tecnologias de forma gratuita na área de segurança de aplicativos web.

Este curso aborda os conceitos e princípios de codificação segura com ASP.NET através da metodologia de teste do Open Web Application Security Project (OWASP). O OWASP é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias gratuitamente disponíveis na área de segurança de aplicativos web.

Este Curso explora as funcionalidades de segurança do Framework .NET e como proteger aplicativos web.