Security Testing Training Course

Android là một nền tảng mở cho các thiết bị di động như điện thoại và máy tính bảng. Nó có nhiều tính năng bảo mật để giúp việc phát triển phần mềm an toàn dễ dàng hơn; tuy nhiên, nó cũng thiếu một số khía cạnh bảo mật có trên các nền tảng cầm tay khác. Khóa học này cung cấp một cái nhìn tổng quan toàn diện về các tính năng này và chỉ ra những thiếu sót quan trọng nhất cần lưu ý liên quan đến Linux cơ bản, hệ thống tệp và môi trường nói chung, cũng như liên quan đến việc sử dụng quyền và các thành phần phát triển phần mềm Android khác.

Các lỗi và lỗ hổng bảo mật điển hình được mô tả cả đối với mã gốc và ứng dụng Java, cùng với các khuyến nghị và các phương pháp hay nhất để tránh và giảm thiểu chúng. Trong nhiều trường hợp, các vấn đề được thảo luận được hỗ trợ bằng các ví dụ và nghiên cứu điển hình thực tế. Cuối cùng, chúng tôi cung cấp một cái nhìn tổng quan ngắn gọn về cách sử dụng các công cụ kiểm tra bảo mật để phát hiện bất kỳ lỗi lập trình liên quan đến bảo mật nào.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu các giải pháp bảo mật trên Android
• Tìm hiểu cách sử dụng các tính năng bảo mật khác nhau của nền tảng Android
• Tìm hiểu thông tin về một số lỗ hổng bảo mật gần đây trong Java trên Android
• Tìm hiểu về các lỗi lập trình điển hình và cách tránh chúng
• Hiểu về các lỗ hổng mã gốc trên Android
• Nhận thức được những hậu quả nghiêm trọng của việc xử lý bộ đệm không an toàn trong mã gốc
• Hiểu các kỹ thuật bảo vệ kiến trúc và điểm yếu của chúng
• Nhận được các nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Chuyên gia

Việc triển khai một ứng dụng mạng an toàn có thể khó khăn, ngay cả đối với các nhà phát triển đã từng sử dụng nhiều khối xây dựng mật mã (như mã hóa và chữ ký số). Để giúp người tham gia hiểu rõ vai trò và cách sử dụng của các nguyên thủy mật mã này, trước tiên, chúng tôi sẽ cung cấp một nền tảng vững chắc về các yêu cầu chính của giao tiếp an toàn – xác nhận an toàn, tính toàn vẹn, bảo mật, nhận dạng từ xa và ẩn danh – đồng thời trình bày các vấn đề điển hình có thể làm tổn hại đến các yêu cầu này cùng với các giải pháp thực tế.

Vì mật mã là một khía cạnh quan trọng của bảo mật mạng, các thuật toán mật mã quan trọng nhất trong mật mã đối xứng, băm, mật mã bất đối xứng và thỏa thuận khóa cũng được thảo luận. Thay vì trình bày một nền tảng toán học chuyên sâu, các yếu tố này được thảo luận từ góc độ của nhà phát triển, trình bày các ví dụ điển hình về trường hợp sử dụng và các cân nhắc thực tế liên quan đến việc sử dụng mật mã, chẳng hạn như cơ sở hạ tầng khóa công khai. Các giao thức bảo mật trong nhiều lĩnh vực của giao tiếp an toàn được giới thiệu, với một cuộc thảo luận chuyên sâu về các họ giao thức được sử dụng rộng rãi nhất như IPSec và SSL/TLS.

Các lỗ hổng mật mã điển hình được thảo luận, liên quan đến cả các thuật toán mật mã cụ thể và các giao thức mật mã, chẳng hạn như BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE và các lỗ hổng tương tự, cũng như cuộc tấn công thời gian RSA. Trong mỗi trường hợp, các cân nhắc thực tế và hậu quả tiềm ẩn được mô tả cho từng vấn đề, một lần nữa, không đi sâu vào các chi tiết toán học phức tạp.

Cuối cùng, vì XML là công nghệ trung tâm cho việc trao đổi dữ liệu bởi các ứng dụng mạng, các khía cạnh bảo mật của XML được mô tả. Điều này bao gồm việc sử dụng XML trong các dịch vụ web và thông báo SOAP cùng với các biện pháp bảo vệ như chữ ký XML và mã hóa XML – cũng như các điểm yếu trong các biện pháp bảo vệ đó và các vấn đề bảo mật cụ thể của XML như XML injection, XML external entity (XXE) attacks, XML bombs, và XPath injection.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Hiểu các yêu cầu của giao tiếp an toàn
• Tìm hiểu về các cuộc tấn công và phòng thủ mạng ở các lớp OSI khác nhau
• Có hiểu biết thực tế về mật mã
• Hiểu các giao thức bảo mật thiết yếu
• Hiểu một số cuộc tấn công gần đây chống lại các hệ thống mật mã
• Nhận thông tin về một số lỗ hổng liên quan gần đây
• Hiểu các khái niệm bảo mật của Web services
• Nhận các nguồn và tài liệu đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Developers, Professionals

Khóa học kéo dài ba ngày này bao gồm các kiến thức cơ bản về bảo mật mã C/C++ trước những người dùng độc hại có thể khai thác nhiều lỗ hổng trong mã liên quan đến quản lý bộ nhớ và xử lý đầu vào. Khóa học đề cập đến các nguyên tắc viết mã bảo mật.

Ngay cả những lập trình viên Java giàu kinh nghiệm cũng không nắm vững tất cả các dịch vụ bảo mật do Java cung cấp, và cũng không nhận thức được các lỗ hổng khác nhau liên quan đến các ứng dụng web được viết bằng Java.

Khóa học – bên cạnh việc giới thiệu các thành phần bảo mật của Standard Java Edition – còn đề cập đến các vấn đề bảo mật của Java Enterprise Edition (JEE) và dịch vụ web. Thảo luận về các dịch vụ cụ thể được bắt đầu bằng nền tảng của mật mã học và giao tiếp an toàn. Nhiều bài tập thực hành tập trung vào các kỹ thuật bảo mật khai báo và lập trình trong JEE, đồng thời bảo mật lớp truyền tải và bảo mật đầu cuối của dịch vụ web cũng được thảo luận. Việc sử dụng tất cả các thành phần được trình bày thông qua nhiều bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API và công cụ đã thảo luận.

Khóa học cũng đi sâu vào và giải thích các lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java cũng như các lỗ hổng liên quan đến web. Ngoài các lỗi điển hình do các lập trình viên Java mắc phải, các lỗ hổng bảo mật được giới thiệu bao gồm cả các vấn đề đặc thù của ngôn ngữ và các vấn đề phát sinh từ môi trường runtime. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Hiểu các khái niệm bảo mật của Dịch vụ Web
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Hiểu các giải pháp bảo mật của Java EE
• Tìm hiểu về các lỗi mã hóa điển hình và cách tránh chúng
• Cập nhật thông tin về một số lỗ hổng gần đây trong framework Java
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Có nguồn tài liệu tham khảo và đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Các nhà phát triển

Mô tả

Ngôn ngữ Java và Môi trường Chạy (JRE) được thiết kế để loại bỏ những lỗ hổng bảo mật phổ biến và nghiêm trọng nhất thường gặp trong các ngôn ngữ khác, như C/C++. Tuy nhiên, các nhà phát triển và kiến trúc sư phần mềm không chỉ nên biết cách sử dụng các tính năng bảo mật khác nhau của môi trường Java (bảo mật tích cực), mà còn phải nhận thức được nhiều lỗ hổng vẫn còn liên quan đến phát triển Java (bảo mật tiêu cực).

Việc giới thiệu các dịch vụ bảo mật được bắt đầu bằng một cái nhìn tổng quan ngắn gọn về nền tảng của mật mã học, cung cấp một cơ sở chung để hiểu mục đích và hoạt động của các thành phần áp dụng. Việc sử dụng các thành phần này được trình bày thông qua một số bài tập thực hành, nơi người tham gia có thể tự mình thử nghiệm các API đã thảo luận.

Khóa học cũng đi qua và giải thích những lỗi lập trình thường gặp và nghiêm trọng nhất của ngôn ngữ và nền tảng Java, bao gồm cả những lỗi phổ biến mà các lập trình viên Java mắc phải, cũng như các vấn đề đặc thù của ngôn ngữ và môi trường. Tất cả các lỗ hổng và các cuộc tấn công liên quan đều được minh họa thông qua các bài tập dễ hiểu, sau đó là các hướng dẫn mã hóa được đề xuất và các kỹ thuật giảm thiểu có thể.

Người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học về các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển Java
• Có hiểu biết thực tế về mật mã học
• Học về các lỗi lập trình điển hình và cách tránh chúng
• Có được thông tin về một số lỗ hổng gần đây trong khung Java
• Có được nguồn và tài liệu đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Nhà phát triển

Hiện nay có một số ngôn ngữ lập trình khả dụng để biên dịch mã cho các framework .NET và ASP.NET. Môi trường này cung cấp các phương tiện mạnh mẽ cho phát triển bảo mật, nhưng các nhà phát triển nên biết cách áp dụng các kỹ thuật lập trình ở cấp kiến trúc và mã hóa để triển khai chức năng bảo mật mong muốn và tránh các lỗ hổng hoặc hạn chế việc khai thác chúng.

Mục tiêu của khóa học này là hướng dẫn các nhà phát triển thông qua nhiều bài tập thực hành cách ngăn chặn mã không đáng tin cậy thực hiện các hành động đặc quyền, bảo vệ tài nguyên thông qua xác thực và ủy quyền mạnh mẽ, cung cấp các cuộc gọi thủ tục từ xa, xử lý phiên, giới thiệu các triển khai khác nhau cho một số chức năng nhất định và nhiều hơn nữa.

Giới thiệu về các lỗ hổng khác nhau bắt đầu với việc trình bày một số vấn đề lập trình điển hình thường gặp khi sử dụng .NET, trong khi thảo luận về các lỗ hổng của ASP.NET cũng đề cập đến các cài đặt môi trường khác nhau và tác động của chúng. Cuối cùng, chủ đề về các lỗ hổng cụ thể của ASP.NET không chỉ đề cập đến một số thách thức bảo mật ứng dụng web chung, mà còn cả các vấn đề và phương pháp tấn công đặc biệt như tấn công ViewState hoặc các cuộc tấn công chấm dứt chuỗi.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học cách sử dụng các tính năng bảo mật khác nhau của môi trường phát triển .NET
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Học về các lỗi lập trình điển hình và cách tránh chúng
• Có thông tin về một số lỗ hổng gần đây trong .NET và ASP.NET
• Có nguồn tài liệu và các bài đọc thêm về các thực hành mã hóa an toàn

Đối tượng

Developers

Khóa học giới thiệu một số khái niệm bảo mật phổ biến, đưa ra tổng quan về bản chất của các lỗ hổng bất kể ngôn ngữ lập trình và nền tảng được sử dụng, và giải thích cách xử lý các rủi ro liên quan đến bảo mật phần mềm trong các giai đoạn khác nhau của vòng đời phát triển phần mềm. Không đi sâu vào các chi tiết kỹ thuật, khóa học làm nổi bật một số lỗ hổng thú vị và nghiêm trọng nhất trong các công nghệ phát triển phần mềm khác nhau, đồng thời trình bày những thách thức của kiểm thử bảo mật, cùng với một số kỹ thuật và công cụ mà người học có thể áp dụng để tìm bất kỳ vấn đề hiện có nào trong mã của họ.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật CNTT và mã hóa an toàn
• Hiểu các lỗ hổng Web cả phía máy chủ và phía máy khách
• Nhận thức được những hậu quả nghiêm trọng của việc xử lý bộ đệm không an toàn
• Được thông báo về một số lỗ hổng gần đây trong môi trường và khung phát triển
• Học hỏi về các lỗi mã hóa điển hình và cách tránh chúng
• Hiểu các phương pháp và phương pháp luận kiểm thử bảo mật

Đối tượng

Quản lý

Khóa học này cung cấp các kỹ năng cần thiết cho các nhà phát triển PHP để xây dựng các ứng dụng có khả năng chống lại các cuộc tấn công hiện đại qua Internet. Các lỗ hổng bảo mật trên web được thảo luận thông qua các ví dụ dựa trên PHP, vượt ra ngoài danh sách OWASP hàng đầu, giải quyết nhiều loại tấn công injection, tấn công script, tấn công vào quản lý phiên của PHP, tham chiếu đối tượng trực tiếp không an toàn, các vấn đề với tải lên tệp và nhiều vấn đề khác. Các lỗ hổng liên quan đến PHP được giới thiệu, được nhóm thành các loại lỗ hổng tiêu chuẩn như thiếu hoặc xác thực đầu vào không đúng cách, xử lý lỗi và ngoại lệ không chính xác, sử dụng không đúng các tính năng bảo mật và các vấn đề liên quan đến thời gian và trạng thái. Đối với vấn đề sau, chúng tôi thảo luận về các cuộc tấn công như bỏ qua open_basedir, tấn công từ chối dịch vụ thông qua float ma thuật hoặc tấn công va chạm bảng băm. Trong tất cả các trường hợp, người tham gia sẽ làm quen với các kỹ thuật và hàm quan trọng nhất để sử dụng nhằm giảm thiểu các rủi ro được liệt kê.

Một sự tập trung đặc biệt được dành cho bảo mật phía máy khách, giải quyết các vấn đề bảo mật của JavaScript, Ajax và HTML5. Một số phần mở rộng liên quan đến bảo mật cho PHP được giới thiệu như hash, mcrypt và OpenSSL cho mật mã, hoặc Ctype, ext/filter và HTML Purifier để xác thực đầu vào. Các phương pháp hardening tốt nhất được đưa ra liên quan đến cấu hình PHP (cài đặt php.ini), Apache và máy chủ nói chung. Cuối cùng, một cái nhìn tổng quan về các công cụ và kỹ thuật kiểm tra bảo mật khác nhau mà các nhà phát triển và người kiểm tra có thể sử dụng được đưa ra, bao gồm trình quét bảo mật, kiểm tra xâm nhập và gói khai thác, trình sniffer, máy chủ proxy, công cụ fuzzing và trình phân tích mã nguồn tĩnh.

Cả việc giới thiệu các lỗ hổng và các phương pháp cấu hình đều được hỗ trợ bởi một số bài tập thực hành, minh họa hậu quả của các cuộc tấn công thành công, cho thấy cách áp dụng các kỹ thuật giảm thiểu và giới thiệu cách sử dụng các phần mở rộng và công cụ khác nhau.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Học các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Học các lỗ hổng phía máy khách và các phương pháp mã hóa an toàn
• Có hiểu biết thực tế về mật mã
• Học cách sử dụng các tính năng bảo mật khác nhau của PHP
• Học về các lỗi mã hóa điển hình và cách tránh chúng
• Được thông báo về các lỗ hổng gần đây của framework PHP
• Có kiến thức thực tế trong việc sử dụng các công cụ kiểm tra bảo mật
• Có nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Nhà phát triển

Chương trình đào tạo cốt lõi SDL kết hợp cung cấp cái nhìn sâu sắc về thiết kế, phát triển và kiểm thử phần mềm an toàn thông qua Microsoft Vòng đời Phát triển An toàn (SDL). Chương trình cung cấp tổng quan cấp độ 100 về các khối xây dựng cơ bản của SDL, tiếp theo là các kỹ thuật thiết kế để áp dụng nhằm phát hiện và sửa các lỗi ở giai đoạn đầu của quá trình phát triển.

Liên quan đến giai đoạn phát triển, khóa học cung cấp tổng quan về các lỗi lập trình liên quan đến bảo mật phổ biến của cả mã được quản lý và mã gốc. Các phương pháp tấn công được trình bày cho các lỗ hổng được thảo luận cùng với các kỹ thuật giảm thiểu liên quan, tất cả đều được giải thích thông qua một số bài tập thực hành mang đến niềm vui hack trực tiếp cho người tham gia. Giới thiệu các phương pháp kiểm thử bảo mật khác nhau tiếp theo là trình diễn hiệu quả của các công cụ kiểm thử khác nhau. Người tham gia có thể hiểu cách hoạt động của các công cụ này thông qua một số bài tập thực hành bằng cách áp dụng các công cụ cho mã dễ bị tấn công đã được thảo luận.

Người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật CNTT và mã hóa an toàn

• Làm quen với các bước thiết yếu của Microsoft Vòng đời Phát triển An toàn

• Học các phương pháp thiết kế và phát triển an toàn

• Học về các nguyên tắc triển khai an toàn

• Hiểu phương pháp kiểm thử bảo mật

• Có được nguồn tài liệu và các bài đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Nhà phát triển, Quản lý

Bảo vệ các ứng dụng có thể truy cập qua web đòi hỏi các chuyên gia bảo mật được chuẩn bị kỹ lưỡng, luôn cập nhật các phương pháp và xu hướng tấn công hiện tại. Có vô số công nghệ và môi trường cho phép phát triển ứng dụng web một cách thuận tiện. Người học không chỉ cần nhận thức được các vấn đề bảo mật liên quan đến các nền tảng này mà còn cả các lỗ hổng bảo mật chung áp dụng bất kể công cụ phát triển được sử dụng.

Khóa học này cung cấp tổng quan về các giải pháp bảo mật có thể áp dụng trong ứng dụng web, với trọng tâm đặc biệt là hiểu các giải pháp mật mã quan trọng nhất cần áp dụng. Các lỗ hổng bảo mật ứng dụng web khác nhau được trình bày cả ở phía máy chủ (theo OWASP Top Ten) và phía máy khách, được minh họa thông qua các cuộc tấn công liên quan, sau đó là các kỹ thuật và phương pháp giảm thiểu được khuyến nghị để tránh các vấn đề liên quan. Chủ đề về mã hóa an toàn được kết thúc bằng cách thảo luận về một số lỗi lập trình thường gặp liên quan đến bảo mật trong lĩnh vực xác thực đầu vào, sử dụng không đúng các tính năng bảo mật và chất lượng mã.

Kiểm thử đóng vai trò rất quan trọng trong việc đảm bảo bảo mật và độ tin cậy của ứng dụng web. Có nhiều phương pháp tiếp cận khác nhau – từ kiểm tra cấp cao đến kiểm tra xâm nhập và hack đạo đức – có thể được áp dụng để tìm các lỗ hổng khác nhau. Tuy nhiên, nếu bạn muốn vượt ra ngoài những "trái chín thấp" dễ tìm, kiểm tra bảo mật nên được lên kế hoạch tốt và thực hiện đúng cách. Hãy nhớ: người kiểm tra bảo mật lý tưởng nên tìm thấy tất cả các lỗi để bảo vệ một hệ thống, trong khi đối thủ chỉ cần tìm thấy một lỗ hổng có thể khai thác để xâm nhập vào hệ thống.

Các bài tập thực hành sẽ giúp hiểu các lỗ hổng ứng dụng web, lỗi lập trình và quan trọng nhất là các kỹ thuật giảm thiểu, cùng với các thử nghiệm thực tế với nhiều công cụ kiểm thử khác nhau từ trình quét bảo mật, thông qua trình đánh hơi, máy chủ proxy, công cụ fuzzing đến trình phân tích mã nguồn tĩnh, khóa học này cung cấp các kỹ năng thực tế cần thiết có thể áp dụng ngay vào ngày mai tại nơi làm việc.

Những người tham gia khóa học này sẽ

• Hiểu các khái niệm cơ bản về bảo mật, bảo mật IT và mã hóa an toàn
• Tìm hiểu các lỗ hổng Web vượt ra ngoài OWASP Top Ten và biết cách tránh chúng
• Tìm hiểu các lỗ hổng phía máy khách và các phương pháp mã hóa an toàn
• Có hiểu biết thực tế về mật mã
• Hiểu các phương pháp và phương pháp kiểm tra bảo mật
• Có kiến thức thực tế trong việc sử dụng các kỹ thuật và công cụ kiểm tra bảo mật
• Được thông báo về các lỗ hổng gần đây trong các nền tảng, khung và thư viện khác nhau
• Nhận các nguồn và tài liệu đọc thêm về các phương pháp mã hóa an toàn

Đối tượng

Nhà phát triển, Người kiểm thử

Trong khóa học trực tiếp, do giảng viên hướng dẫn tại Việt Nam này, người tham gia sẽ học cách xây dựng chiến lược bảo mật phù hợp để đối phó với thách thức bảo mật DevOps.

Khóa học này nhằm mục đích hỗ trợ những điều sau:

1. Giúp các Nhà phát triển nắm vững các kỹ thuật viết Mã bảo mật
2. Giúp các Kiểm thử phần mềm kiểm tra bảo mật của ứng dụng trước khi phát hành ra môi trường sản xuất
3. Giúp các Kiến trúc sư phần mềm hiểu rõ các rủi ro liên quan đến ứng dụng
4. Giúp các Trưởng nhóm thiết lập các đường cơ sở bảo mật cho các nhà phát triển
5. Giúp các Quản trị viên web cấu hình Máy chủ để tránh các lỗi cấu hình

Khóa học này bao gồm các khái niệm và nguyên tắc mã hóa an toàn với Java thông qua phương pháp kiểm thử của Dự án Web Mở Application Security (OWASP). Dự án Web Mở Application Security là một cộng đồng trực tuyến tạo ra các bài viết, phương pháp, tài liệu, công cụ và công nghệ miễn phí trong lĩnh vực bảo mật ứng dụng web.

Khóa học này bao gồm các khái niệm và nguyên tắc mã hóa an toàn với ASP.net thông qua phương pháp kiểm thử của Dự án Web Mở Application Security (OWASP). OWASP là một cộng đồng trực tuyến tạo ra các bài viết, phương pháp, tài liệu, công cụ và công nghệ miễn phí trong lĩnh vực bảo mật ứng dụng web.

Khóa học này khám phá các tính năng bảo mật của Dot Net Framework và cách bảo mật các ứng dụng web.