Developing Secure Web Applications

Suntrade
A Genova e Milano

Chiedi il prezzo
Vuoi parlare del corso con un consulente?
Confronta questo corso con altri simili
Leggi tutto

Informazione importanti

Descrizione

Obiettivo del corso: Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazion.
Rivolto a: Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:.

Informazione importanti
Sedi

Dove e quando

Inizio Luogo
Consultare
Genova
Via Rolla 16 D/r, 16152, Genova, Italia
Visualizza mappa
Consultare
Milano
Via Sangro 10, 20132, Milano, Italia
Visualizza mappa

Domande più frequenti

· Requisiti

Per partecipare al corso gli studenti devono possedere i seguenti requisiti:

  • Familiarità con l'architettura di applicazioni a più livelli. %%/li%%
  • Esperienza nello svil...

  • Programma

    Introduzione

    Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella scelta di meccanismi di protezione appropriati per le applicazioni Web. Durante il corso gli studenti effettueranno esercitazioni pratiche di creazione di applicazione Web protette.

    A chi è rivolto

    Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:

  • Sviluppatore Web: Lo sviluppatore Web è responsabile per lo sviluppo della logica, per la codifica, il test e il debug delle applicazioni Web e del software applicativo Web.

  • Architetto di soluzioni: L'architetto di soluzioni è responsabile per la progettazione dell'architettura tecnica delle applicazioni Web e delle applicazioni software basate su Web.

    Obiettivi del corso

    Al termine del corso gli studenti saranno in grado di:

  • Definire i principi fondamentali e le motivazioni della protezione su Web.
  • Eseguire un'analisi delle minacce agli asset accessibili da Web.
  • Utilizzare le conoscenze su autenticazione, SID (Security Identifier), ACL (Access Control List), rappresentazione e il concetto di esecuzione con privilegi minimi per assicurare l'accesso alle sole risorse di sistema necessarie per la normale elaborazione di richieste.
  • Proteggere i dati del file system mediante l'uso delle funzionalità di Microsoft® Windows® 2000.
  • Utilizzare il modello di protezione di Microsoft SQL ServerTM e Microsoft ADO.NET per proteggere un'applicazione Web da attacchi di inserimento in SQL Server.
  • Utilizzare una delle classi CryptoService dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.
  • Proteggere la parte di un'applicazione Web che richiede comunicazioni private mediante l'uso di SSL (Secure Sockets Layer).
  • Utilizzare le best practice di codifica di protezione generale per assicurare un'applicazione Web protetta.
  • Utilizzare Microsoft .NET Framework per generare applicazioni Web protette.
  • Utilizzare un approccio strutturato per il test della protezione delle applicazioni Web.
  • Utilizzare un approccio sistematico e le best practice di protezione per proteggere un'applicazione Web esistente.

    Prerequisiti

    Per partecipare al corso gli studenti devono possedere i seguenti requisiti:

  • Familiarità con l'architettura di applicazioni a più livelli.
  • Esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite.
  • Esperienza in uno o entrambi i seguenti linguaggi di programmazione:
  • Microsoft C#
  • Microsoft Visual Basic® .NET

  • Esperienza nella creazione di script lato server e lato client mediante uno o entrambi i seguenti linguaggi di script:
  • ASP (Active Server Pages)
  • Microsoft ASP.NET

  • È preferibile avere familiarità con tutti i seguenti prodotti e tecnologie Microsoft:
  • SQL Server 2000
  • Microsoft Internet Information Services (IIS)

    Inoltre è consigliabile ma non obbligatorio che lo studente abbia completato:
  • Corso 2310-Developing Web Applications Using Microsoft Visual Studio .NET
  • Corso 1017-Developing Web Applications Using Microsoft Visual InterDev®

    Esami Microsoft Certified Professional
    Non esistono esami Microsoft Certified Professional associati a questo corso.
  • Exam 70-XXX,

    Materiale per lo studente

    Il kit dello studente include un manuale completo e altri materiali necessari per il corso.

    Struttura del corso

    Modulo 1: Introduzione alla protezione Web
    Questo modulo fornisce una panoramica su termini, concetti e giustificazioni per la protezione Web.

    Lezioni

  • Perché generare applicazioni Web protette?
  • Uso del modello STRIDE per determinare le minacce
  • Implementazione della protezione: panoramica

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:

  • Descrivere i motivi per cui la protezione è una considerazione essenziale nello sviluppo di applicazioni Web.
  • Descrivere i metodi fondamentali di crittografia, hashing e firma digitale.

    Modulo 2: Pianificazione della protezione di un'applicazione Web
    Questo modulo descrive il processo generale per includere la protezione nella pianificazione e progettazione dell'applicazione Web.

    Lezioni

  • Un processo di progettazione per generare applicazioni Web protette

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:

  • Descrivere il processo iterativo di progettazione della protezione in un'applicazione Web e il modo in cui ogni fase è in relazione con le altre.
  • Categorizzare e identificare i tipi più comuni di attacchi, la minaccia potenziale che questi pongono a sistemi, servizi e dati dell'organizzazione e le relazioni tra tali minacce.

    Modulo 3: Convalida dell'input dell'utente
    Questo modulo spiega i metodi utilizzabili per la verifica dell'input dell'utente e presenta le conseguenze della mancata esecuzione di tali verifiche.

    Lezioni

  • Input dell'utente
  • Tipi di attacco di input dell'utente
  • Esecuzione della convalida
  • Rivelazione del minor numero possibile di informazione all'utente

    Laboratorio 3: Verifica dell'input dell'utente

  • Lo studente dovrà identificare e ripristinare vari campi di input dell'utente non verificati nella schermata di spedizione e pagamento.

    Al termine del modulo gli studenti saranno in grado di:
  • Identificare le origini dell'input dell'utente in un'applicazione Web.
  • Descrivere gli aspetti legati alla protezione del paradigma Web client/server.
  • Implementare la verifica dell'input dell'utente.
  • Utilizzare le analisi di comunicazioni e le best practice della scrittura di codice per evitare di fornire agli utenti informazioni utilizzabili per attacchi alla protezione.
  • Utilizzare la gestione degli errori appropriata per assicurare che tutti i percorsi di fallback siano previsti, voluti e non sospendano l'allocazione delle risorse.
  • Ridurre l'impatto degli attacchi Denial of Service (DoS) di vari tipi, quali blocco di applicazioni, il congelamento della CPU o delle risorse e il blocco della larghezza di banda.

    Modulo 4: Autenticazione a Internet Information Services
    In questo modulo sono trattati i seguenti argomenti:

    Lezioni

  • Introduzione alla autenticazione di client Web
  • Configurazione dei permessi di accesso per un server Web
  • Selezione di un metodo protetto di autenticazione del client
  • Esecuzione di servizi come utente autenticato

    Laboratorio 4: Autenticazione e controllo dell'accesso

  • Gli studenti configureranno e implementeranno l'autenticazione e l'identificazione del processo per un'applicazione Web di negozio in linea.

    Al termine del modulo gli studenti saranno in grado di:

  • Descrivere tutti i metodi di autenticazione supportati da IIS e da Windows 2000 Server e selezionare il metodo migliore per un dato insieme di requisiti.
  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente le identità per tutti i processi in un percorso di elaborazione dell'applicazione Web ASP/COM+.
  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente l'accesso alle risorse per le identità definite per un'applicazione Web.

    Modulo 5: Protezione di pagine Web
    Questo modulo illustra la protezione nel contesto delle applicazioni Web generate utilizzando .NET Framework.

    Lezioni

  • Autenticazione basata su moduli ASP
  • Accesso al codice .NET e protezione basata su ruolo
  • Panoramica sui metodi di autenticazione ASP.NET
  • Autenticazione basata su Windows nella protezione ASP.NET
  • Autenticazione basata su moduli ASP.NET

    Laboratorio 5: Protezione di pagine Web

  • Gli studenti dovranno completare l'implementazione di un'applicazione Web ASP.NET e la configurazione dei metodi di autenticazione e rappresentazione

    Al termine del modulo gli studenti saranno in grado di:

  • Descrivere gli elementi che compongono il modello di sicurezza fondamentale di .NET Framework.
  • Utilizzare le best practice di protezione e una totale comprensione del modello di protezione per implementare le applicazioni Web ASP.NET.

    Modulo 6: Proteggere i dati del file system
    Questo modulo insegna agli sviluppatori Web come proteggere i dati del file system che sono tipicamente parte di un'applicazione Web.

    Lezioni

  • Panoramica sulla protezione dei file
  • Controllo di accesso Windows
  • Creazione di ACL in fase di programmazione
  • Protezione dei file di applicazione Web ASP.NET.

    Laboratorio 6: Protezione dei file con ACL

  • Gli studenti proteggeranno i dati del file system su una pagina ASP.NET.

    Al termine del modulo gli studenti saranno in grado di:

  • Descrivere come i meccanismi di controllo dell'accesso di Windows vengono utilizzati per proteggere i dati del file system.
  • Utilizzare le funzionalità di Windows per proteggere i dati delle applicazioni Web da manomissioni.
  • Utilizzare i file Web.config di ASP.NET per limitare l'accesso a file in un'applicazione Web ASP.NET.

    Modulo 7: Protezione di Microsoft SQL Server
    Questo modulo insegna agli studenti come proteggere le applicazioni Web da attacchi di inserimento in SQL Server.

    Lezioni

  • Connessioni e protezione in SQL Server
  • Protezione basata su ruoli in SQL Server
  • Protezione delle comunicazioni in SQL Server
  • Prevenzione di attacchi di inserimento in SQL

    Laboratorio 7: Protezione dei dati di Microsoft SQL Server

  • Lo studente dovrà ripristinare l'implementazione dell'applicazione Web utilizzando stored procedure e i parametri di comandi Microsoft ActiveX® Data Objects (ADO).

    Al termine del modulo gli studenti saranno in grado di:

  • Utilizzare il modello di protezione di SQL Server e ADO.NET per proteggere un'applicazione Web da attacchi.

    Modulo 8: Protezione della privacy delle comunicazioni e dell'integrità dei dati
    Questo modulo illustra i meccanismi utilizzabili per assicurare la privacy delle comunicazioni Web e l'integrità dei dati dei messaggi, oltre che le linee guida per utilizzarli correttamente. Le linee guide sono presentate come un tentativo di evitare i comuni errori di implementazione che possono compromettere la protezione e le prestazioni.

    Lezioni

  • Introduzione alla crittografia
  • Certificati digitali
  • Gestione
  • Uso dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security)
  • Uso di IPSec (Internet Protocol Security)

    Laboratorio 8.1: Ottenimento di un certificato server

    Laboratorio 8.2: Protezione della privacy delle comunicazioni e dell'integrità dei dati

  • Gli studenti determineranno quali parti dell'applicazione Web richiedono privacy delle comunicazioni e quindi implementeranno la protezione SSL per tali parti.

    Al termine del modulo gli studenti saranno in grado di:

  • Proteggere le parti di un'applicazione Web che richiedono comunicazioni private mediante l'uso di SSL.

    Modulo 9: Crittografia, hashing e firma dei dati
    Questo modulo spiega come utilizzare le funzionalità di crittografia, supportate dalle piattaforme Microsoft, per crittografare e firmare i dati.

    Lezioni

  • Librerie di crittografia e firma digitale
  • Uso di CAPICOM
  • Uso dello spazio dei nomi System.Security.Cryptography per l'hashing dei dati
  • Uso dello spazio dei nomi System.Security.Cryptography per la crittografia e la firma dei dati

    Laboratorio 9: Hashing dei dati

  • Gli studenti firmeranno il contenuto di un file alla sua memorizzazione e verificheranno la firma alla lettura del valore per assicurare la validità dei dati.

    Al termine del modulo gli studenti saranno in grado di:

  • Utilizzare una delle classi dei Servizi di crittografia dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.

    Modulo 10: Test della protezione di un'applicazione Web
    Questo modulo fornisce agli studenti le competenze e le conoscenze necessarie per eseguire un test appropriato della protezione di un'implementazione Web.

    Lezioni

  • Test della protezione in un'applicazione Web
  • Creazione di un piano di test della protezione
  • Esecuzione del test di protezione

    Laboratorio 10: Test case per la verifica della protezione

  • Gli studenti eseguiranno i test case sull'applicazione Web del corso.

    Al termine del modulo gli studenti saranno in grado di:

  • Differenziare il test sulla protezione da altri tipi di test.
  • Creare un piano di test della protezione.
  • Portare a compimento un piano di test della protezione.


  • Confronta questo corso con altri simili
    Leggi tutto