Corso OWASP Sicurezza Sviluppo Applicazioni Web
Sei uno sviluppatore? Apprendi il metodo OWASP Top 10 con il nostro corso!
Obiettivo del corso
Obiettivi del corso: fornire allo studente indicazioni, suggerimenti teorici e pratici, tecniche e risorse per simulare i rischi di vulnerabilità e per implementare software “più sicuri” tramite le linee guida di OWASP
OWASP (Open Web Application Security Project) è un progetto open-source il cui obiettivo è quello di trovare e combattere le falle delle applicazioni web individuando una serie di principi e linee guida per la sicurezza delle web app.
Nell’ultimo decennio, il forte sviluppo del web, delle sue applicazioni e del software “web oriented” ha incrementato la fruibilità e l’accessibilità delle web app per gli utenti ma allo stesso tempo ne ha aumentato i rischi e gli attacchi generando un problema sicurezza.
I casi storici di attacchi hacker hanno visto protagonisti grande aziende come JP Morgan, Barclays , eBay, Sony, Adobe, Apple ecc. In molte occasioni sono stati violati i sistemi interni e rubati centinaia di migliaia di dati tra conti correnti, password e carte di credito. Alcuni episodi sono accaduti per mano dei famosi hacker “Anonymus“.
A chi è rivolto
Requisiti degli studenti: consigliate basi di programmazione e sviluppo applicazioni front-ed e/o backend. Rivolto ad aziende, liberi professionisti sviluppatori
Programma
Programma (32 ore) :
OWASP Top 10
1. Introduzione
2. Risk management
3. PCI Security Council & OWASP
4. Classificazione delle vulnerabilità e rischi con esempi di casi reali di attacchi e vulnerabilità riscontrate fino ad oggi
Basi della sicurezza nello sviluppo Web Application
1. VariabiliTainted
2. Sensitive sinks
3. Funzioni di Validazione
Injection
1. Interpreti
2. OS Commanding
3. SQL Injection
4. Login Bypass
5. Blind SQL Injection
6. SQL Injection Countermeasures
7. LDAP Injection
8. XPath / JSON Injection
Cross-site Scripting (XSS)
1. Reflessivo e persistente
2. Tecniche Avanzate di Cross Site Scripting
Broken Authentication & Session Management
1. Cookies
2. Attacking Session
3. Session Fixation
4. Session Prediction
Insecure direct object reference
1. Controllo Autorizzazioni negli Oggetti
2. Path Traversal
3. Null byte
Cross-site Request Forgery (XSRF)
Security Misconfiguration
1. Backup files
2. Local databases
3. Cmapi Hidden HTML
4. Directory Enumeration
5. Directory Indexing
Insecure Cryptographic Storage
1. Cenni teorici sulla crittografia e tipi di algoritmi esistenti
Errore di Limitazione di Accesso URL
Insufficient Transport Layer Protection
1. Digital Certificates
2. HTTPS Protocol
3. Introduzione alla prevenzione attacchi di tipo DDos
Unvalidated Redirects and Forwards
Vulnerabilità e rischi nell’ambito mobile (Android/iOS)
Caso di studio con simulazione delle vulnerabilità ed esempi di implementazioni più sicure
Dove si svolge
in aula frontale oppure on-line in virtual classroom