Developing Secure Web Applications

Ekip
A Milano

Chiedi il prezzo
Vuoi parlare del corso con un consulente?
Confronta questo corso con altri simili
Leggi tutto

Informazione importanti

  • Corso
  • Milano
Descrizione

Obiettivo del corso: Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella sc.

Informazione importanti
Sedi

Dove e quando

Inizio Luogo
Consultare
Milano
Via Fabio Filzi, 27, 20124, Milano, Italia
Visualizza mappa

Programma

Introduzione

Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella scelta di meccanismi di protezione appropriati per le applicazioni Web. Durante il corso gli studenti effettueranno esercitazioni pratiche di creazione di applicazione Web protette.

A chi è rivolto

Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:

  • Sviluppatore Web: Lo sviluppatore Web è responsabile per lo sviluppo della logica, per la codifica, il test e il debug delle applicazioni Web e del software applicativo Web.



  • Architetto di soluzioni: L'architetto di soluzioni è responsabile per la progettazione dell'architettura tecnica delle applicazioni Web e delle applicazioni software basate su Web.

    Obiettivi del corso

    Al termine del corso gli studenti saranno in grado di:



  • Definire i principi fondamentali e le motivazioni della protezione su Web.


  • Eseguire un'analisi delle minacce agli asset accessibili da Web.


  • Utilizzare le conoscenze su autenticazione, SID (Security Identifier), ACL (Access Control List), rappresentazione e il concetto di esecuzione con privilegi minimi per assicurare l'accesso alle sole risorse di sistema necessarie per la normale elaborazione di richieste.


  • Proteggere i dati del file system mediante l'uso delle funzionalità di Microsoft® Windows® 2000.


  • Utilizzare il modello di protezione di Microsoft SQL ServerTM e Microsoft ADO.NET per proteggere un'applicazione Web da attacchi di inserimento in SQL Server.


  • Utilizzare una delle classi CryptoService dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.


  • Proteggere la parte di un'applicazione Web che richiede comunicazioni private mediante l'uso di SSL (Secure Sockets Layer).


  • Utilizzare le best practice di codifica di protezione generale per assicurare un'applicazione Web protetta.


  • Utilizzare Microsoft .NET Framework per generare applicazioni Web protette.


  • Utilizzare un approccio strutturato per il test della protezione delle applicazioni Web.


  • Utilizzare un approccio sistematico e le best practice di protezione per proteggere un'applicazione Web esistente.

    Prerequisiti

    Per partecipare al corso gli studenti devono possedere i seguenti requisiti:



  • Familiarità con l'architettura di applicazioni a più livelli.


  • Esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite.


  • Esperienza in uno o entrambi i seguenti linguaggi di programmazione:



  • Microsoft C#


  • Microsoft Visual Basic® .NET


  • Esperienza nella creazione di script lato server e lato client mediante uno o entrambi i seguenti linguaggi di script:



  • ASP (Active Server Pages)


  • Microsoft ASP.NET


  • È preferibile avere familiarità con tutti i seguenti prodotti e tecnologie Microsoft:



  • SQL Server 2000


  • Microsoft Internet Information Services (IIS)

    Inoltre è consigliabile ma non obbligatorio che lo studente abbia completato:



  • Corso 2310-Developing Web Applications Using Microsoft Visual Studio .NET


  • Corso 1017-Developing Web Applications Using Microsoft Visual InterDev®


    Modulo 1: Introduzione alla protezione Web
    Questo modulo fornisce una panoramica su termini, concetti e giustificazioni per la protezione Web.

    Lezioni



  • Perché generare applicazioni Web protette?


  • Uso del modello STRIDE per determinare le minacce


  • Implementazione della protezione: panoramica

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere i motivi per cui la protezione è una considerazione essenziale nello sviluppo di applicazioni Web.


  • Descrivere i metodi fondamentali di crittografia, hashing e firma digitale.

    Modulo 2: Pianificazione della protezione di un'applicazione Web
    Questo modulo descrive il processo generale per includere la protezione nella pianificazione e progettazione dell'applicazione Web.

    Lezioni



  • Un processo di progettazione per generare applicazioni Web protette

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere il processo iterativo di progettazione della protezione in un'applicazione Web e il modo in cui ogni fase è in relazione con le altre.


  • Categorizzare e identificare i tipi più comuni di attacchi, la minaccia potenziale che questi pongono a sistemi, servizi e dati dell'organizzazione e le relazioni tra tali minacce.

    Modulo 3: Convalida dell'input dell'utente
    Questo modulo spiega i metodi utilizzabili per la verifica dell'input dell'utente e presenta le conseguenze della mancata esecuzione di tali verifiche.

    Lezioni



  • Input dell'utente


  • Tipi di attacco di input dell'utente


  • Esecuzione della convalida


  • Rivelazione del minor numero possibile di informazione all'utente

    Laboratorio 3: Verifica dell'input dell'utente



  • Lo studente dovrà identificare e ripristinare vari campi di input dell'utente non verificati nella schermata di spedizione e pagamento.

    Al termine del modulo gli studenti saranno in grado di:



  • Identificare le origini dell'input dell'utente in un'applicazione Web.


  • Descrivere gli aspetti legati alla protezione del paradigma Web client/server.


  • Implementare la verifica dell'input dell'utente.


  • Utilizzare le analisi di comunicazioni e le best practice della scrittura di codice per evitare di fornire agli utenti informazioni utilizzabili per attacchi alla protezione.


  • Utilizzare la gestione degli errori appropriata per assicurare che tutti i percorsi di fallback siano previsti, voluti e non sospendano l'allocazione delle risorse.


  • Ridurre l'impatto degli attacchi Denial of Service (DoS) di vari tipi, quali blocco di applicazioni, il congelamento della CPU o delle risorse e il blocco della larghezza di banda.

    Modulo 4: Autenticazione a Internet Information Services
    In questo modulo sono trattati i seguenti

    Argomenti:

    Lezioni



  • Introduzione alla autenticazione di client Web


  • Configurazione dei permessi di accesso per un server Web


  • Selezione di un metodo protetto di autenticazione del client


  • Esecuzione di servizi come utente autenticato

    Laboratorio 4: Autenticazione e controllo dell'accesso



  • Gli studenti configureranno e implementeranno l'autenticazione e l'identificazione del processo per un'applicazione Web di negozio in linea.

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere tutti i metodi di autenticazione supportati da IIS e da Windows 2000 Server e selezionare il metodo migliore per un dato insieme di requisiti.


  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente le identità per tutti i processi in un percorso di elaborazione dell'applicazione Web ASP/COM+.


  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente l'accesso alle risorse per le identità definite per un'applicazione Web.

    Modulo 5: Protezione di pagine Web
    Questo modulo illustra la protezione nel contesto delle applicazioni Web generate utilizzando .NET Framework.

    Lezioni



  • Autenticazione basata su moduli ASP


  • Accesso al codice .NET e protezione basata su ruolo


  • Panoramica sui metodi di autenticazione ASP.NET


  • Autenticazione basata su Windows nella protezione ASP.NET


  • Autenticazione basata su moduli ASP.NET

    Laboratorio 5: Protezione di pagine Web



  • Gli studenti dovranno completare l'implementazione di un'applicazione Web ASP.NET e la configurazione dei metodi di autenticazione e rappresentazione

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere gli elementi che compongono il modello di sicurezza fondamentale di .NET Framework.


  • Utilizzare le best practice di protezione e una totale comprensione del modello di protezione per implementare le applicazioni Web ASP.NET.

    Modulo 6: Proteggere i dati del file system
    Questo modulo insegna agli sviluppatori Web come proteggere i dati del file system che sono tipicamente parte di un'applicazione Web.

    Lezioni



  • Panoramica sulla protezione dei file


  • Controllo di accesso Windows


  • Creazione di ACL in fase di programmazione


  • Protezione dei file di applicazione Web ASP.NET.

    Laboratorio 6: Protezione dei file con ACL



  • Gli studenti proteggeranno i dati del file system su una pagina ASP.NET.

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere come i meccanismi di controllo dell'accesso di Windows vengono utilizzati per proteggere i dati del file system.


  • Utilizzare le funzionalità di Windows per proteggere i dati delle applicazioni Web da manomissioni.


  • Utilizzare i file Web.config di ASP.NET per limitare l'accesso a file in un'applicazione Web ASP.NET.

    Modulo 7: Protezione di Microsoft SQL Server
    Questo modulo insegna agli studenti come proteggere le applicazioni Web da attacchi di inserimento in SQL Server.

    Lezioni



  • Connessioni e protezione in SQL Server


  • Protezione basata su ruoli in SQL Server


  • Protezione delle comunicazioni in SQL Server


  • Prevenzione di attacchi di inserimento in SQL

    Laboratorio 7: Protezione dei dati di Microsoft SQL Server



  • Lo studente dovrà ripristinare l'implementazione dell'applicazione Web utilizzando stored procedure e i parametri di comandi Microsoft ActiveX® Data Objects (ADO).

    Al termine del modulo gli studenti saranno in grado di:



  • Utilizzare il modello di protezione di SQL Server e ADO.NET per proteggere un'applicazione Web da attacchi.

    Modulo 8: Protezione della privacy delle comunicazioni e dell'integrità dei dati
    Questo modulo illustra i meccanismi utilizzabili per assicurare la privacy delle comunicazioni Web e l'integrità dei dati dei messaggi, oltre che le linee guida per utilizzarli correttamente. Le linee guide sono presentate come un tentativo di evitare i comuni errori di implementazione che possono compromettere la protezione e le prestazioni.

    Lezioni



  • Introduzione alla crittografia


  • Certificati digitali


  • Gestione


  • Uso dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security)


  • Uso di IPSec (Internet Protocol Security)

    Laboratorio 8.1: Ottenimento di un certificato server

    Laboratorio 8.2: Protezione della privacy delle comunicazioni e dell'integrità dei dati



  • Gli studenti determineranno quali parti dell'applicazione Web richiedono privacy delle comunicazioni e quindi implementeranno la protezione SSL per tali parti.

    Al termine del modulo gli studenti saranno in grado di:



  • Proteggere le parti di un'applicazione Web che richiedono comunicazioni private mediante l'uso di SSL.

    Modulo 9: Crittografia, hashing e firma dei dati
    Questo modulo spiega come utilizzare le funzionalità di crittografia, supportate dalle piattaforme Microsoft, per crittografare e firmare i dati.

    Lezioni



  • Librerie di crittografia e firma digitale


  • Uso di CAPICOM


  • Uso dello spazio dei nomi System.Security.Cryptography per l'hashing dei dati


  • Uso dello spazio dei nomi System.Security.Cryptography per la crittografia e la firma dei dati

    Laboratorio 9: Hashing dei dati



  • Gli studenti firmeranno il contenuto di un file alla sua memorizzazione e verificheranno la firma alla lettura del valore per assicurare la validità dei dati.

    Al termine del modulo gli studenti saranno in grado di:



  • Utilizzare una delle classi dei Servizi di crittografia dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.

    Modulo 10: Test della protezione di un'applicazione Web
    Questo modulo fornisce agli studenti le competenze e le conoscenze necessarie per eseguire un test appropriato della protezione di un'implementazione Web.

    Lezioni



  • Test della protezione in un'applicazione Web


  • Creazione di un piano di test della protezione


  • Esecuzione del test di protezione

    Laboratorio 10: Test case per la verifica della protezione



  • Gli studenti eseguiranno i test case sull'applicazione Web del corso.

    Al termine del modulo gli studenti saranno in grado di:



  • Differenziare il test sulla protezione da altri tipi di test.


  • Creare un piano di test della protezione.


  • Portare a compimento un piano di test della protezione.

  • Confronta questo corso con altri simili
    Leggi tutto