Developing Secure Web Applications

Introduzione

Questo corso con istruttore, della durata di tre giorni, fornisce agli studenti le conoscenze e le competenze necessarie per generare applicazioni Web mediante l'uso di tecniche di codifica protetta. Gli studenti apprenderanno come identificare le vulnerabilità di protezione delle applicazioni Web e come mantenere un giusto equilibrio tra funzionalità e prestazioni nella scelta di meccanismi di protezione appropriati per le applicazioni Web. Durante il corso gli studenti effettueranno esercitazioni pratiche di creazione di applicazione Web protette.

A chi è rivolto

Il corso è rivolto a responsabili della progettazione e dello sviluppo di applicazioni Web. Tipicamente essi avranno da tre a cinque anni di esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite. Il titolo lavorativo può variare nell'industria tecnologica e può includere, tra gli altri:

Sviluppatore Web: Lo sviluppatore Web è responsabile per lo sviluppo della logica, per la codifica, il test e il debug delle applicazioni Web e del software applicativo Web.

Architetto di soluzioni: L'architetto di soluzioni è responsabile per la progettazione dell'architettura tecnica delle applicazioni Web e delle applicazioni software basate su Web.

Obiettivi del corso

Al termine del corso gli studenti saranno in grado di:

Definire i principi fondamentali e le motivazioni della protezione su Web.

Eseguire un'analisi delle minacce agli asset accessibili da Web.

Utilizzare le conoscenze su autenticazione, SID (Security Identifier), ACL (Access Control List), rappresentazione e il concetto di esecuzione con privilegi minimi per assicurare l'accesso alle sole risorse di sistema necessarie per la normale elaborazione di richieste.

Proteggere i dati del file system mediante l'uso delle funzionalità di Microsoft® Windows® 2000.

Utilizzare il modello di protezione di Microsoft SQL ServerTM e Microsoft ADO.NET per proteggere un'applicazione Web da attacchi di inserimento in SQL Server.

Utilizzare una delle classi CryptoService dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.

Proteggere la parte di un'applicazione Web che richiede comunicazioni private mediante l'uso di SSL (Secure Sockets Layer).

Utilizzare le best practice di codifica di protezione generale per assicurare un'applicazione Web protetta.

Utilizzare Microsoft .NET Framework per generare applicazioni Web protette.

Utilizzare un approccio strutturato per il test della protezione delle applicazioni Web.

Utilizzare un approccio sistematico e le best practice di protezione per proteggere un'applicazione Web esistente.

Prerequisiti

Per partecipare al corso gli studenti devono possedere i seguenti requisiti:

Familiarità con l'architettura di applicazioni a più livelli.

Esperienza nello sviluppo o nella progettazione di applicazioni Web distribuite.

Esperienza in uno o entrambi i seguenti linguaggi di programmazione:

Microsoft C#

Microsoft Visual Basic® .NET

Esperienza nella creazione di script lato server e lato client mediante uno o entrambi i seguenti linguaggi di script:

ASP (Active Server Pages)

Microsoft ASP.NET

È preferibile avere familiarità con tutti i seguenti prodotti e tecnologie Microsoft:

SQL Server 2000

Microsoft Internet Information Services (IIS)

Inoltre è consigliabile ma non obbligatorio che lo studente abbia completato:

Corso 2310-Developing Web Applications Using Microsoft Visual Studio .NET

Corso 1017-Developing Web Applications Using Microsoft Visual InterDev®

Esami Microsoft Certified Professional
Non esistono esami Microsoft Certified Professional associati a questo corso.

Exam 70-XXX,

Materiale per lo studente

Il kit dello studente include un manuale completo e altri materiali necessari per il corso.

Struttura del corso

Modulo 1: Introduzione alla protezione Web
Questo modulo fornisce una panoramica su termini, concetti e giustificazioni per la protezione Web.

Lezioni

Perché generare applicazioni Web protette?

Uso del modello STRIDE per determinare le minacce

Implementazione della protezione: panoramica

Non sono disponibili esercitazioni per questo modulo

Al termine del modulo gli studenti saranno in grado di:

Descrivere i motivi per cui la protezione è una considerazione essenziale nello sviluppo di applicazioni Web.

Descrivere i metodi fondamentali di crittografia, hashing e firma digitale.

Modulo 2: Pianificazione della protezione di un'applicazione Web
Questo modulo descrive il processo generale per includere la protezione nella pianificazione e progettazione dell'applicazione Web.

Lezioni

Un processo di progettazione per generare applicazioni Web protette

Non sono disponibili esercitazioni per questo modulo

Al termine del modulo gli studenti saranno in grado di:

Descrivere il processo iterativo di progettazione della protezione in un'applicazione Web e il modo in cui ogni fase è in relazione con le altre.

Categorizzare e identificare i tipi più comuni di attacchi, la minaccia potenziale che questi pongono a sistemi, servizi e dati dell'organizzazione e le relazioni tra tali minacce.

Modulo 3: Convalida dell'input dell'utente
Questo modulo spiega i metodi utilizzabili per la verifica dell'input dell'utente e presenta le conseguenze della mancata esecuzione di tali verifiche.

Lezioni

Input dell'utente

Tipi di attacco di input dell'utente

Esecuzione della convalida

Rivelazione del minor numero possibile di informazione all'utente

Laboratorio 3: Verifica dell'input dell'utente

Lo studente dovrà identificare e ripristinare vari campi di input dell'utente non verificati nella schermata di spedizione e pagamento.

Al termine del modulo gli studenti saranno in grado di:

Identificare le origini dell'input dell'utente in un'applicazione Web.

Descrivere gli aspetti legati alla protezione del paradigma Web client/server.

Implementare la verifica dell'input dell'utente.

Utilizzare le analisi di comunicazioni e le best practice della scrittura di codice per evitare di fornire agli utenti informazioni utilizzabili per attacchi alla protezione.

Utilizzare la gestione degli errori appropriata per assicurare che tutti i percorsi di fallback siano previsti, voluti e non sospendano l'allocazione delle risorse.

Ridurre l'impatto degli attacchi Denial of Service (DoS) di vari tipi, quali blocco di applicazioni, il congelamento della CPU o delle risorse e il blocco della larghezza di banda.

Modulo 4: Autenticazione a Internet Information Services
In questo modulo sono trattati i seguenti argomenti:

Lezioni

Introduzione alla autenticazione di client Web

Configurazione dei permessi di accesso per un server Web

Selezione di un metodo protetto di autenticazione del client

Esecuzione di servizi come utente autenticato

Laboratorio 4: Autenticazione e controllo dell'accesso

Gli studenti configureranno e implementeranno l'autenticazione e l'identificazione del processo per un'applicazione Web di negozio in linea.

Al termine del modulo gli studenti saranno in grado di:

Descrivere tutti i metodi di autenticazione supportati da IIS e da Windows 2000 Server e selezionare il metodo migliore per un dato insieme di requisiti.

Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente le identità per tutti i processi in un percorso di elaborazione dell'applicazione Web ASP/COM+.

Utilizzare la conoscenza dell'identificazione di processo e dei meccanismi di controllo dell'accesso di Windows 2000 per configurare appropriatamente l'accesso alle risorse per le identità definite per un'applicazione Web.

Modulo 5: Protezione di pagine Web
Questo modulo illustra la protezione nel contesto delle applicazioni Web generate utilizzando .NET Framework.

Lezioni

Autenticazione basata su moduli ASP

Accesso al codice .NET e protezione basata su ruolo

Panoramica sui metodi di autenticazione ASP.NET

Autenticazione basata su Windows nella protezione ASP.NET

Autenticazione basata su moduli ASP.NET

Laboratorio 5: Protezione di pagine Web

Gli studenti dovranno completare l'implementazione di un'applicazione Web ASP.NET e la configurazione dei metodi di autenticazione e rappresentazione

Al termine del modulo gli studenti saranno in grado di:

Descrivere gli elementi che compongono il modello di sicurezza fondamentale di .NET Framework.

Utilizzare le best practice di protezione e una totale comprensione del modello di protezione per implementare le applicazioni Web ASP.NET.

Modulo 6: Proteggere i dati del file system
Questo modulo insegna agli sviluppatori Web come proteggere i dati del file system che sono tipicamente parte di un'applicazione Web.

Lezioni

Panoramica sulla protezione dei file

Controllo di accesso Windows

Creazione di ACL in fase di programmazione

Protezione dei file di applicazione Web ASP.NET.

Laboratorio 6: Protezione dei file con ACL

Gli studenti proteggeranno i dati del file system su una pagina ASP.NET.

Al termine del modulo gli studenti saranno in grado di:

Descrivere come i meccanismi di controllo dell'accesso di Windows vengono utilizzati per proteggere i dati del file system.

Utilizzare le funzionalità di Windows per proteggere i dati delle applicazioni Web da manomissioni.

Utilizzare i file Web.config di ASP.NET per limitare l'accesso a file in un'applicazione Web ASP.NET.

Modulo 7: Protezione di Microsoft SQL Server
Questo modulo insegna agli studenti come proteggere le applicazioni Web da attacchi di inserimento in SQL Server.

Lezioni

Connessioni e protezione in SQL Server

Protezione basata su ruoli in SQL Server

Protezione delle comunicazioni in SQL Server

Prevenzione di attacchi di inserimento in SQL

Laboratorio 7: Protezione dei dati di Microsoft SQL Server

Lo studente dovrà ripristinare l'implementazione dell'applicazione Web utilizzando stored procedure e i parametri di comandi Microsoft ActiveX® Data Objects (ADO).

Al termine del modulo gli studenti saranno in grado di:

Utilizzare il modello di protezione di SQL Server e ADO.NET per proteggere un'applicazione Web da attacchi.

Modulo 8: Protezione della privacy delle comunicazioni e dell'integrità dei dati
Questo modulo illustra i meccanismi utilizzabili per assicurare la privacy delle comunicazioni Web e l'integrità dei dati dei messaggi, oltre che le linee guida per utilizzarli correttamente. Le linee guide sono presentate come un tentativo di evitare i comuni errori di implementazione che possono compromettere la protezione e le prestazioni.

Lezioni

Introduzione alla crittografia

Certificati digitali

Gestione

Uso dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security)

Uso di IPSec (Internet Protocol Security)

Laboratorio 8.1: Ottenimento di un certificato server

Laboratorio 8.2: Protezione della privacy delle comunicazioni e dell'integrità dei dati

Gli studenti determineranno quali parti dell'applicazione Web richiedono privacy delle comunicazioni e quindi implementeranno la protezione SSL per tali parti.

Al termine del modulo gli studenti saranno in grado di:

Proteggere le parti di un'applicazione Web che richiedono comunicazioni private mediante l'uso di SSL.

Modulo 9: Crittografia, hashing e firma dei dati
Questo modulo spiega come utilizzare le funzionalità di crittografia, supportate dalle piattaforme Microsoft, per crittografare e firmare i dati.

Lezioni

Librerie di crittografia e firma digitale

Uso di CAPICOM

Uso dello spazio dei nomi System.Security.Cryptography per l'hashing dei dati

Uso dello spazio dei nomi System.Security.Cryptography per la crittografia e la firma dei dati

Laboratorio 9: Hashing dei dati

Gli studenti firmeranno il contenuto di un file alla sua memorizzazione e verificheranno la firma alla lettura del valore per assicurare la validità dei dati.

Al termine del modulo gli studenti saranno in grado di:

Utilizzare una delle classi dei Servizi di crittografia dello spazio dei nomi System.Security.Cryptography per trasformare un blocco di dati in testo cifrato.

Modulo 10: Test della protezione di un'applicazione Web
Questo modulo fornisce agli studenti le competenze e le conoscenze necessarie per eseguire un test appropriato della protezione di un'implementazione Web.

Lezioni

Test della protezione in un'applicazione Web

Creazione di un piano di test della protezione

Esecuzione del test di protezione

Laboratorio 10: Test case per la verifica della protezione

Gli studenti eseguiranno i test case sull'applicazione Web del corso.

Al termine del modulo gli studenti saranno in grado di:

Differenziare il test sulla protezione da altri tipi di test.

Creare un piano di test della protezione.

Portare a compimento un piano di test della protezione.