Obiettivo del corso: Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella sc.
Sedi e date
Luogo
Inizio del corso
Milano
Visualizza mappa
Via Fabio Filzi, 27, 20124
Inizio del corso
Consultare
Domande e risposte
Aggiungi la tua domanda
I nostri consulenti e altri utenti potranno risponderti
Stiamo controllando la tua domanda per verificare che sia conforme con gli standard di pubblicazione. A parte questo, abbiamo rilevato dalle tue risposte che potresti non essere in grado di immatricolarti a questa formazione. Questo potrebbe essere dovuto al titolo di studio che possiedi, al luogo in cui vivi, ecc. In ogni caso ti consigliamo di verificare contattando il centro di formazione.
Grazie mille!
Stiamo verificando la tua domanda. A breve sarà pubblicata
Preferisci essere contattato dal centro?
Opinioni
Hai seguito questo corso? Condividi la tua opinione
Programma
Introduzione
Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella scelta di meccanismi di protezione appropriati per le applicazioni Web. Durante il corso gli studenti effettueranno esercitazioni pratiche di creazione di applicazione Web protette.
A chi è rivolto
Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:
Sviluppatore Web: Lo sviluppatore Web è responsabile per lo sviluppo della logica, per la codifica, il test e il debug delle applicazioni Web e del software applicativo Web.
Architetto di soluzioni: L'architetto di soluzioni è responsabile per la progettazione dell'architettura tecnica delle applicazioni Web e delle applicazioni software basate su Web.
Obiettivi del corso
Al termine del corso gli studenti saranno in grado di:
Definire i principi fondamentali e le motivazioni della protezione su Web.
Eseguire un'analisi delle minacce agli asset accessibili da Web.
Utilizzare le conoscenze su autenticazione, SID (Security Identifier), ACL (Access Control List), rappresentazione e il concetto di esecuzione con privilegi minimi per assicurare l'accesso alle sole risorse di sistema necessarie per la normale elaborazione di richieste.
Proteggere i dati del file system mediante l'uso delle funzionalità di Microsoft® Windows® 2000.
Utilizzare il modello di protezione di Microsoft SQL ServerTM e Microsoft ADO.NET per proteggere un'applicazione Web da attacchi di inserimento in SQL Server.
Utilizzare una delle classi CryptoService dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.
Proteggere la parte di un'applicazione Web che richiede comunicazioni private mediante l'uso di SSL (Secure Sockets Layer).
Utilizzare le best practice di codifica di protezione generale per assicurare un'applicazione Web protetta.
Utilizzare Microsoft .NET Framework per generare applicazioni Web protette.
Utilizzare un approccio strutturato per il test della protezione delle applicazioni Web.
Utilizzare un approccio sistematico e le best practice di protezione per proteggere un'applicazione Web esistente.
Prerequisiti
Per partecipare al corso gli studenti devono possedere i seguenti requisiti:
Familiarità con l'architettura di applicazioni a più livelli.
Esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite.
Esperienza in uno o entrambi i seguenti linguaggi di programmazione:
Microsoft C#
Microsoft Visual Basic® .NET
Esperienza nella creazione di script lato server e lato client mediante uno o entrambi i seguenti linguaggi di script:
ASP (Active Server Pages)
Microsoft ASP.NET
È preferibile avere familiarità con tutti i seguenti prodotti e tecnologie Microsoft:
SQL Server 2000
Microsoft Internet Information Services (IIS)
Inoltre è consigliabile ma non obbligatorio che lo studente abbia completato:
Corso 2310-Developing Web Applications Using Microsoft Visual Studio .NET
Corso 1017-Developing Web Applications Using Microsoft Visual InterDev®
Modulo 1: Introduzione alla protezione Web Questo modulo fornisce una panoramica su termini, concetti e giustificazioni per la protezione Web.
Lezioni
Perché generare applicazioni Web protette?
Uso del modello STRIDE per determinare le minacce
Implementazione della protezione: panoramica
Non sono disponibili esercitazioni per questo modulo
Al termine del modulo gli studenti saranno in grado di:
Descrivere i motivi per cui la protezione è una considerazione essenziale nello sviluppo di applicazioni Web.
Descrivere i metodi fondamentali di crittografia, hashing e firma digitale.
Modulo 2: Pianificazione della protezione di un'applicazione Web Questo modulo descrive il processo generale per includere la protezione nella pianificazione e progettazione dell'applicazione Web.
Lezioni
Un processo di progettazione per generare applicazioni Web protette
Non sono disponibili esercitazioni per questo modulo
Al termine del modulo gli studenti saranno in grado di:
Descrivere il processo iterativo di progettazione della protezione in un'applicazione Web e il modo in cui ogni fase è in relazione con le altre.
Categorizzare e identificare i tipi più comuni di attacchi, la minaccia potenziale che questi pongono a sistemi, servizi e dati dell'organizzazione e le relazioni tra tali minacce.
Modulo 3: Convalida dell'input dell'utente Questo modulo spiega i metodi utilizzabili per la verifica dell'input dell'utente e presenta le conseguenze della mancata esecuzione di tali verifiche.
Lezioni
Input dell'utente
Tipi di attacco di input dell'utente
Esecuzione della convalida
Rivelazione del minor numero possibile di informazione all'utente
Laboratorio 3: Verifica dell'input dell'utente
Lo studente dovrà identificare e ripristinare vari campi di input dell'utente non verificati nella schermata di spedizione e pagamento.
Al termine del modulo gli studenti saranno in grado di:
Identificare le origini dell'input dell'utente in un'applicazione Web.
Descrivere gli aspetti legati alla protezione del paradigma Web client/server.
Implementare la verifica dell'input dell'utente.
Utilizzare le analisi di comunicazioni e le best practice della scrittura di codice per evitare di fornire agli utenti informazioni utilizzabili per attacchi alla protezione.
Utilizzare la gestione degli errori appropriata per assicurare che tutti i percorsi di fallback siano previsti, voluti e non sospendano l'allocazione delle risorse.
Ridurre l'impatto degli attacchi Denial of Service (DoS) di vari tipi, quali blocco di applicazioni, il congelamento della CPU o delle risorse e il blocco della larghezza di banda.
Modulo 4: Autenticazione a Internet Information Services In questo modulo sono trattati i seguenti
Argomenti:
Lezioni
Introduzione alla autenticazione di client Web
Configurazione dei permessi di accesso per un server Web
Selezione di un metodo protetto di autenticazione del client
Esecuzione di servizi come utente autenticato
Laboratorio 4: Autenticazione e controllo dell'accesso
Gli studenti configureranno e implementeranno l'autenticazione e l'identificazione del processo per un'applicazione Web di negozio in linea.
Al termine del modulo gli studenti saranno in grado di:
Descrivere tutti i metodi di autenticazione supportati da IIS e da Windows 2000 Server e selezionare il metodo migliore per un dato insieme di requisiti.
Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente le identità per tutti i processi in un percorso di elaborazione dell'applicazione Web ASP/COM+.
Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente l'accesso alle risorse per le identità definite per un'applicazione Web.
Modulo 5: Protezione di pagine Web Questo modulo illustra la protezione nel contesto delle applicazioni Web generate utilizzando .NET Framework.
Lezioni
Autenticazione basata su moduli ASP
Accesso al codice .NET e protezione basata su ruolo
Panoramica sui metodi di autenticazione ASP.NET
Autenticazione basata su Windows nella protezione ASP.NET
Autenticazione basata su moduli ASP.NET
Laboratorio 5: Protezione di pagine Web
Gli studenti dovranno completare l'implementazione di un'applicazione Web ASP.NET e la configurazione dei metodi di autenticazione e rappresentazione
Al termine del modulo gli studenti saranno in grado di:
Descrivere gli elementi che compongono il modello di sicurezza fondamentale di .NET Framework.
Utilizzare le best practice di protezione e una totale comprensione del modello di protezione per implementare le applicazioni Web ASP.NET.
Modulo 6: Proteggere i dati del file system Questo modulo insegna agli sviluppatori Web come proteggere i dati del file system che sono tipicamente parte di un'applicazione Web.
Lezioni
Panoramica sulla protezione dei file
Controllo di accesso Windows
Creazione di ACL in fase di programmazione
Protezione dei file di applicazione Web ASP.NET.
Laboratorio 6: Protezione dei file con ACL
Gli studenti proteggeranno i dati del file system su una pagina ASP.NET.
Al termine del modulo gli studenti saranno in grado di:
Descrivere come i meccanismi di controllo dell'accesso di Windows vengono utilizzati per proteggere i dati del file system.
Utilizzare le funzionalità di Windows per proteggere i dati delle applicazioni Web da manomissioni.
Utilizzare i file Web.config di ASP.NET per limitare l'accesso a file in un'applicazione Web ASP.NET.
Modulo 7: Protezione di Microsoft SQL Server Questo modulo insegna agli studenti come proteggere le applicazioni Web da attacchi di inserimento in SQL Server.
Lezioni
Connessioni e protezione in SQL Server
Protezione basata su ruoli in SQL Server
Protezione delle comunicazioni in SQL Server
Prevenzione di attacchi di inserimento in SQL
Laboratorio 7: Protezione dei dati di Microsoft SQL Server
Lo studente dovrà ripristinare l'implementazione dell'applicazione Web utilizzando stored procedure e i parametri di comandi Microsoft ActiveX® Data Objects (ADO).
Al termine del modulo gli studenti saranno in grado di:
Utilizzare il modello di protezione di SQL Server e ADO.NET per proteggere un'applicazione Web da attacchi.
Modulo 8: Protezione della privacy delle comunicazioni e dell'integrità dei dati Questo modulo illustra i meccanismi utilizzabili per assicurare la privacy delle comunicazioni Web e l'integrità dei dati dei messaggi, oltre che le linee guida per utilizzarli correttamente. Le linee guide sono presentate come un tentativo di evitare i comuni errori di implementazione che possono compromettere la protezione e le prestazioni.
Lezioni
Introduzione alla crittografia
Certificati digitali
Gestione
Uso dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security)
Uso di IPSec (Internet Protocol Security)
Laboratorio 8.1: Ottenimento di un certificato server
Laboratorio 8.2: Protezione della privacy delle comunicazioni e dell'integrità dei dati
Gli studenti determineranno quali parti dell'applicazione Web richiedono privacy delle comunicazioni e quindi implementeranno la protezione SSL per tali parti.
Al termine del modulo gli studenti saranno in grado di:
Proteggere le parti di un'applicazione Web che richiedono comunicazioni private mediante l'uso di SSL.
Modulo 9: Crittografia, hashing e firma dei dati Questo modulo spiega come utilizzare le funzionalità di crittografia, supportate dalle piattaforme Microsoft, per crittografare e firmare i dati.
Lezioni
Librerie di crittografia e firma digitale
Uso di CAPICOM
Uso dello spazio dei nomi System.Security.Cryptography per l'hashing dei dati
Uso dello spazio dei nomi System.Security.Cryptography per la crittografia e la firma dei dati
Laboratorio 9: Hashing dei dati
Gli studenti firmeranno il contenuto di un file alla sua memorizzazione e verificheranno la firma alla lettura del valore per assicurare la validità dei dati.
Al termine del modulo gli studenti saranno in grado di:
Utilizzare una delle classi dei Servizi di crittografia dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.
Modulo 10: Test della protezione di un'applicazione Web Questo modulo fornisce agli studenti le competenze e le conoscenze necessarie per eseguire un test appropriato della protezione di un'implementazione Web.
Lezioni
Test della protezione in un'applicazione Web
Creazione di un piano di test della protezione
Esecuzione del test di protezione
Laboratorio 10: Test case per la verifica della protezione
Gli studenti eseguiranno i test case sull'applicazione Web del corso.
Al termine del modulo gli studenti saranno in grado di:
Differenziare il test sulla protezione da altri tipi di test.
Creare un piano di test della protezione.
Portare a compimento un piano di test della protezione.