Developing Secure Web Applications

Ekip
A Milano

Chiedi il prezzo
Chiedi informazioni a un consulente Emagister

Informazioni importanti

Tipologia Corso
Luogo Milano
  • Corso
  • Milano
Descrizione

Obiettivo del corso: Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella sc.

Sedi

Dove e quando

Inizio Luogo
Consultare
Milano
Via Fabio Filzi, 27, 20124, Milano, Italia
Visualizza mappa
Inizio Consultare
Luogo
Milano
Via Fabio Filzi, 27, 20124, Milano, Italia
Visualizza mappa

Programma

Introduzione

Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella scelta di meccanismi di protezione appropriati per le applicazioni Web. Durante il corso gli studenti effettueranno esercitazioni pratiche di creazione di applicazione Web protette.

A chi è rivolto

Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:

  • Sviluppatore Web: Lo sviluppatore Web è responsabile per lo sviluppo della logica, per la codifica, il test e il debug delle applicazioni Web e del software applicativo Web.



  • Architetto di soluzioni: L'architetto di soluzioni è responsabile per la progettazione dell'architettura tecnica delle applicazioni Web e delle applicazioni software basate su Web.

    Obiettivi del corso

    Al termine del corso gli studenti saranno in grado di:



  • Definire i principi fondamentali e le motivazioni della protezione su Web.


  • Eseguire un'analisi delle minacce agli asset accessibili da Web.


  • Utilizzare le conoscenze su autenticazione, SID (Security Identifier), ACL (Access Control List), rappresentazione e il concetto di esecuzione con privilegi minimi per assicurare l'accesso alle sole risorse di sistema necessarie per la normale elaborazione di richieste.


  • Proteggere i dati del file system mediante l'uso delle funzionalità di Microsoft® Windows® 2000.


  • Utilizzare il modello di protezione di Microsoft SQL ServerTM e Microsoft ADO.NET per proteggere un'applicazione Web da attacchi di inserimento in SQL Server.


  • Utilizzare una delle classi CryptoService dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.


  • Proteggere la parte di un'applicazione Web che richiede comunicazioni private mediante l'uso di SSL (Secure Sockets Layer).


  • Utilizzare le best practice di codifica di protezione generale per assicurare un'applicazione Web protetta.


  • Utilizzare Microsoft .NET Framework per generare applicazioni Web protette.


  • Utilizzare un approccio strutturato per il test della protezione delle applicazioni Web.


  • Utilizzare un approccio sistematico e le best practice di protezione per proteggere un'applicazione Web esistente.

    Prerequisiti

    Per partecipare al corso gli studenti devono possedere i seguenti requisiti:



  • Familiarità con l'architettura di applicazioni a più livelli.


  • Esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite.


  • Esperienza in uno o entrambi i seguenti linguaggi di programmazione:



  • Microsoft C#


  • Microsoft Visual Basic® .NET


  • Esperienza nella creazione di script lato server e lato client mediante uno o entrambi i seguenti linguaggi di script:



  • ASP (Active Server Pages)


  • Microsoft ASP.NET


  • È preferibile avere familiarità con tutti i seguenti prodotti e tecnologie Microsoft:



  • SQL Server 2000


  • Microsoft Internet Information Services (IIS)

    Inoltre è consigliabile ma non obbligatorio che lo studente abbia completato:



  • Corso 2310-Developing Web Applications Using Microsoft Visual Studio .NET


  • Corso 1017-Developing Web Applications Using Microsoft Visual InterDev®


    Modulo 1: Introduzione alla protezione Web
    Questo modulo fornisce una panoramica su termini, concetti e giustificazioni per la protezione Web.

    Lezioni



  • Perché generare applicazioni Web protette?


  • Uso del modello STRIDE per determinare le minacce


  • Implementazione della protezione: panoramica

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere i motivi per cui la protezione è una considerazione essenziale nello sviluppo di applicazioni Web.


  • Descrivere i metodi fondamentali di crittografia, hashing e firma digitale.

    Modulo 2: Pianificazione della protezione di un'applicazione Web
    Questo modulo descrive il processo generale per includere la protezione nella pianificazione e progettazione dell'applicazione Web.

    Lezioni



  • Un processo di progettazione per generare applicazioni Web protette

    Non sono disponibili esercitazioni per questo modulo

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere il processo iterativo di progettazione della protezione in un'applicazione Web e il modo in cui ogni fase è in relazione con le altre.


  • Categorizzare e identificare i tipi più comuni di attacchi, la minaccia potenziale che questi pongono a sistemi, servizi e dati dell'organizzazione e le relazioni tra tali minacce.

    Modulo 3: Convalida dell'input dell'utente
    Questo modulo spiega i metodi utilizzabili per la verifica dell'input dell'utente e presenta le conseguenze della mancata esecuzione di tali verifiche.

    Lezioni



  • Input dell'utente


  • Tipi di attacco di input dell'utente


  • Esecuzione della convalida


  • Rivelazione del minor numero possibile di informazione all'utente

    Laboratorio 3: Verifica dell'input dell'utente



  • Lo studente dovrà identificare e ripristinare vari campi di input dell'utente non verificati nella schermata di spedizione e pagamento.

    Al termine del modulo gli studenti saranno in grado di:



  • Identificare le origini dell'input dell'utente in un'applicazione Web.


  • Descrivere gli aspetti legati alla protezione del paradigma Web client/server.


  • Implementare la verifica dell'input dell'utente.


  • Utilizzare le analisi di comunicazioni e le best practice della scrittura di codice per evitare di fornire agli utenti informazioni utilizzabili per attacchi alla protezione.


  • Utilizzare la gestione degli errori appropriata per assicurare che tutti i percorsi di fallback siano previsti, voluti e non sospendano l'allocazione delle risorse.


  • Ridurre l'impatto degli attacchi Denial of Service (DoS) di vari tipi, quali blocco di applicazioni, il congelamento della CPU o delle risorse e il blocco della larghezza di banda.

    Modulo 4: Autenticazione a Internet Information Services
    In questo modulo sono trattati i seguenti

    Argomenti:

    Lezioni



  • Introduzione alla autenticazione di client Web


  • Configurazione dei permessi di accesso per un server Web


  • Selezione di un metodo protetto di autenticazione del client


  • Esecuzione di servizi come utente autenticato

    Laboratorio 4: Autenticazione e controllo dell'accesso



  • Gli studenti configureranno e implementeranno l'autenticazione e l'identificazione del processo per un'applicazione Web di negozio in linea.

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere tutti i metodi di autenticazione supportati da IIS e da Windows 2000 Server e selezionare il metodo migliore per un dato insieme di requisiti.


  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente le identità per tutti i processi in un percorso di elaborazione dell'applicazione Web ASP/COM+.


  • Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente l'accesso alle risorse per le identità definite per un'applicazione Web.

    Modulo 5: Protezione di pagine Web
    Questo modulo illustra la protezione nel contesto delle applicazioni Web generate utilizzando .NET Framework.

    Lezioni



  • Autenticazione basata su moduli ASP


  • Accesso al codice .NET e protezione basata su ruolo


  • Panoramica sui metodi di autenticazione ASP.NET


  • Autenticazione basata su Windows nella protezione ASP.NET


  • Autenticazione basata su moduli ASP.NET

    Laboratorio 5: Protezione di pagine Web



  • Gli studenti dovranno completare l'implementazione di un'applicazione Web ASP.NET e la configurazione dei metodi di autenticazione e rappresentazione

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere gli elementi che compongono il modello di sicurezza fondamentale di .NET Framework.


  • Utilizzare le best practice di protezione e una totale comprensione del modello di protezione per implementare le applicazioni Web ASP.NET.

    Modulo 6: Proteggere i dati del file system
    Questo modulo insegna agli sviluppatori Web come proteggere i dati del file system che sono tipicamente parte di un'applicazione Web.

    Lezioni



  • Panoramica sulla protezione dei file


  • Controllo di accesso Windows


  • Creazione di ACL in fase di programmazione


  • Protezione dei file di applicazione Web ASP.NET.

    Laboratorio 6: Protezione dei file con ACL



  • Gli studenti proteggeranno i dati del file system su una pagina ASP.NET.

    Al termine del modulo gli studenti saranno in grado di:



  • Descrivere come i meccanismi di controllo dell'accesso di Windows vengono utilizzati per proteggere i dati del file system.


  • Utilizzare le funzionalità di Windows per proteggere i dati delle applicazioni Web da manomissioni.


  • Utilizzare i file Web.config di ASP.NET per limitare l'accesso a file in un'applicazione Web ASP.NET.

    Modulo 7: Protezione di Microsoft SQL Server
    Questo modulo insegna agli studenti come proteggere le applicazioni Web da attacchi di inserimento in SQL Server.

    Lezioni



  • Connessioni e protezione in SQL Server


  • Protezione basata su ruoli in SQL Server


  • Protezione delle comunicazioni in SQL Server


  • Prevenzione di attacchi di inserimento in SQL

    Laboratorio 7: Protezione dei dati di Microsoft SQL Server



  • Lo studente dovrà ripristinare l'implementazione dell'applicazione Web utilizzando stored procedure e i parametri di comandi Microsoft ActiveX® Data Objects (ADO).

    Al termine del modulo gli studenti saranno in grado di:



  • Utilizzare il modello di protezione di SQL Server e ADO.NET per proteggere un'applicazione Web da attacchi.

    Modulo 8: Protezione della privacy delle comunicazioni e dell'integrità dei dati
    Questo modulo illustra i meccanismi utilizzabili per assicurare la privacy delle comunicazioni Web e l'integrità dei dati dei messaggi, oltre che le linee guida per utilizzarli correttamente. Le linee guide sono presentate come un tentativo di evitare i comuni errori di implementazione che possono compromettere la protezione e le prestazioni.

    Lezioni



  • Introduzione alla crittografia


  • Certificati digitali


  • Gestione


  • Uso dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security)


  • Uso di IPSec (Internet Protocol Security)

    Laboratorio 8.1: Ottenimento di un certificato server

    Laboratorio 8.2: Protezione della privacy delle comunicazioni e dell'integrità dei dati



  • Gli studenti determineranno quali parti dell'applicazione Web richiedono privacy delle comunicazioni e quindi implementeranno la protezione SSL per tali parti.

    Al termine del modulo gli studenti saranno in grado di:



  • Proteggere le parti di un'applicazione Web che richiedono comunicazioni private mediante l'uso di SSL.

    Modulo 9: Crittografia, hashing e firma dei dati
    Questo modulo spiega come utilizzare le funzionalità di crittografia, supportate dalle piattaforme Microsoft, per crittografare e firmare i dati.

    Lezioni



  • Librerie di crittografia e firma digitale


  • Uso di CAPICOM


  • Uso dello spazio dei nomi System.Security.Cryptography per l'hashing dei dati


  • Uso dello spazio dei nomi System.Security.Cryptography per la crittografia e la firma dei dati

    Laboratorio 9: Hashing dei dati



  • Gli studenti firmeranno il contenuto di un file alla sua memorizzazione e verificheranno la firma alla lettura del valore per assicurare la validità dei dati.

    Al termine del modulo gli studenti saranno in grado di:



  • Utilizzare una delle classi dei Servizi di crittografia dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.

    Modulo 10: Test della protezione di un'applicazione Web
    Questo modulo fornisce agli studenti le competenze e le conoscenze necessarie per eseguire un test appropriato della protezione di un'implementazione Web.

    Lezioni



  • Test della protezione in un'applicazione Web


  • Creazione di un piano di test della protezione


  • Esecuzione del test di protezione

    Laboratorio 10: Test case per la verifica della protezione



  • Gli studenti eseguiranno i test case sull'applicazione Web del corso.

    Al termine del modulo gli studenti saranno in grado di:



  • Differenziare il test sulla protezione da altri tipi di test.


  • Creare un piano di test della protezione.


  • Portare a compimento un piano di test della protezione.

  • Gli utenti che erano interessati a questo corso si sono informati anche su...
    Leggi tutto