SEC522: Segurança de aplicativos: protegendo aplicativos da Web, APIs e microsserviços (36 CPEs)

Os aplicativos da Web são cada vez mais distribuídos. O que costumava ser um aplicativo monolítico complexo hospedado no local tornou-se um conjunto distribuído de serviços que incorporam aplicativos legados no local junto com interfaces para componentes hospedados na nuvem e nativos da nuvem. Por causa disso, juntamente com a falta de conhecimento de segurança, os aplicativos da Web estão expondo dados corporativos confidenciais. Os profissionais de segurança são solicitados a fornecer soluções validadas e escaláveis para proteger esse conteúdo de acordo com as melhores práticas do setor usando estruturas modernas de aplicativos da Web. Participar desta aula não apenas aumentará a conscientização sobre falhas de segurança comuns em aplicativos da Web modernos, mas também ensinará aos alunos como reconhecer e mitigar essas falhas com antecedência e eficiência. Não é uma questão de “se”, mas de “quando”. Esteja preparado para um ataque na web. Nós vamos te ensinar como.Durante o curso, demonstramos os riscos dos aplicativos da web e a extensão dos dados confidenciais que podem ser expostos ou comprometidos. A partir daí, oferecemos soluções do mundo real sobre como mitigar esses riscos e avaliar e comunicar efetivamente os riscos residuais.Depois de assistir à aula, os alunos poderão aplicar o que aprenderam rapidamente e trazer de volta técnicas não apenas para proteger melhor seus aplicativos, mas também com eficiência, adicionando segurança no início do ciclo de vida de desenvolvimento de software, “deslocando à esquerda” as decisões de segurança e testes, economizando tempo, dinheiro e recursos para a organização.”Se você quer saber tudo sobre aplicativos da web e segurança de aplicativos da web, este é o curso perfeito!” – Chris Kansas, ThreatXPRINCIPAIS PONTOS COBERTOS PELO CURSO:Cumprir com os requisitos do PCI DSS 6.5Reduzir os riscos gerais de segurança de aplicativos, proteja a reputação da empresaAdotar a mentalidade de “mudança para a esquerda” onde os problemas de segurança são resolvidos com antecedência e rapidez. Isso evita o dispendioso retrabalho.Capacidade de adotar aplicativos modernos com API e microsserviços de maneira segur??

TREINAMENTO PRÁTICO:O ambiente de laboratório de VM fornecido contém um ambiente de aplicativo realista para explorar os ataques e os efeitos dos mecanismos de defesa. O exercício está estruturado em um formato de desafio com dicas disponíveis ao longo do caminho. Os exercícios práticos ajudam os alunos a ganhar experiência para voltar ao escritório. Existem 20 laboratórios na seção 1 a seção 5 da aula e na última seção, há um exercício fundamental chamado Defending the Flag, onde há 3-4 horas de tempo de exercício competitivo dedicado.O QUE VOCÊ VAI RECEBER:Material didático impresso e eletrônicoLivro de exercícios com mais de 100 páginas de instruções detalhadas passo a passoUma máquina virtual com sistema operacional Linux e vários ambientes de contêiner simulando várias condições vulneráveis para os alunos explorarem durante o exercício da aulaUm pôster contendo o resumo das técnicas defensivas mais importantes abordadas no curso em um formato de lista de verificação que pode ser usado como uma estrutura/padrão de defesa da Web de linha de base para sua organização.Arquivos de áudio MP3 da palestra completa do cursoRequisitos do computadorImportante! Configura o seu equipamento de acordo com estas instruções!É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.NOTA CRÍTICA: Os sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados ??para este curso.É imperativo que você faça backup de seu sistema antes da aula e também é altamente recomendável que você não traga um sistema que armazene dados confidenciais.Requisitos de hardware do sistemaCPU: O processador do seu sistema deve ser um processador Intel i5 ou i7 de 2,0 GHz de 64 bits ou superior. Sua CPU e sistema operacional devem oferecer suporte a uma máquina virtual de busca de 64 bits.Os usuários do Windows podem usar este artigo para saber mais sobre seus recursos de CPU e SO.Os usuários da Apple devem validar a versão do sistema operacional pelo menos 11.6+BIOS: A tecnologia de virtualização de hardware VT (VT-x) da Intel deve ser habilitada nas configurações de BIOS ou UEFI do seu sistema. Você deve ser capaz de acessar o BIOS do seu sistema durante toda a aula. Se o seu BIOS estiver protegido por senha, você deve ter a senha.USB: Se estiver fazendo o curso pessoalmente, pelo menos uma porta USB 3.0 Tipo A disponível é necessária para copiar grandes arquivos de dados das unidades USB 3.0 que fornecemos em sala de aula. A porta USB não deve ser bloqueada em hardware ou software. Alguns laptops mais novos podem ter apenas as portas Type-C menores. Nesse caso, você precisará trazer um adaptador USB Type-C para Type-A.RAM: 8 GB de RAM são necessários para a melhor experiência. Para verificar no Windows 10, pressione a tecla Windows + “I” para abrir Configurações, clique em “Sistema” e depois em “Sobre”. Suas informações de RAM estarão na parte inferior da página. Para verificar em um Mac, clique no logotipo da Apple no canto superior esquerdo da tela e clique em “Sobre este Mac”.Espaço Livre no Disco Rígido: 60 GB de espaço LIVRE no disco rígido são essenciais para distribuir as VMs e arquivos adicionais que distribuímos. As unidades SSD também são altamente recomendadas, pois permitem que as máquinas virtuais funcionem muito mais rápido que os discos rígidos mecânicos.Sistema operacional: versão mais recente do Windows 10, macOS 11.6.x ou posterior ou Linux que também pode instalar e executar os produtos de virtualização VMware descritos abaixo.Para mais informações sobre os requisitos de hardware ou sofware, clique aqui.GIAC Certified Web Application DefenderA certificação GIAC Web Application Defender permite que os candidatos demonstrem domínio dos conhecimentos e habilidades de segurança necessários para lidar com erros comuns de aplicativos da Web que levam à maioria dos problemas de segurança. O candidato selecionado terá experiência prática no uso de ferramentas atuais para detectar e prevenir falhas de validação de entrada, cross-site scripting (XSS) e injeção de SQL, bem como um entendimento profundo de autenticação, controle de acesso e gerenciamento de sessão, fraquezas e como elas são melhor defendidas. Os Defensores de Aplicativos da Web (GWEB) certificados pelo GIAC têm o conhecimento, as habilidades e as habilidades para proteger aplicativos da Web e reconhecer e mitigar os pontos fracos de segurança nos aplicativos da Web existentes.Controle de acesso, tecnologias AJAX e estratégias de segurança, testes de segurança e autenticaçãoAtaques e mitigação de políticas de origem cruzada, CSRF e criptografia e proteção de dados confidenciaisUpload de arquivo, prontidão de resposta, defesa proativa, falhas relacionadas à entrada e validação de entradaProblemas e serialização da estrutura de aplicativos modernos, segurança de sessão e lógica de negócios, WebNoções básicas de aplicativos e HTTP, arquitetura da Web, configuração e segurançaPara mais informações sobre a certificação GIAC Web Application Defender, clique aqui

Seção 1 – Compreender a arquitetura de aplicativos web, vulnerabilidade e gerenciamento de configuração.Noções básicas de HTTP, inspeção e falsificação de tráfego HTTP/2, isolamento de ambiente, SSRF e roubo de credenciaisSeção 2 – Detectar, mitigar e defender as ameaças relacionadas à entrada.Injeção de SQL, falsificação de solicitação entre sites, script entre sites, Unicode e upload de arquivosSeção 3 – Autenticação, Autorização e CriptografiaVulnerabilidades de autenticação e defesa, Autenticação multifator, Vulnerabilidades e testes de sessão, Vulnerabilidades e defesa de autorização, Vulnerabilidades e testes SSL, Uso adequado de criptografia em aplicativos da webSeção 4 – Segurança de front-end com mecanismos de script modernosEnumerações WSDL, Cross Domain AJAX, Recursos Front-End e CSP (Content Security Policy), ClickjackingSeção 5 – API REST e GraphQL com arquitetura de microsserviçoDesserialização e religação de DNS, GraphQL, gateways de API e JSON, SRI e revisão de logSeção 6 – Exercício de defesa da bandeira

Este curso requer uma compreensão básica da tecnologia de aplicativos da Web e conceitos como HTML e JavaScript. Para maximizar o benefício para uma ampla gama de públicos, as discussões neste curso serão independentes da linguagem de programação. Os participantes devem ter alguma compreensão de conceitos como bancos de dados (SQL) e linguagens de script usadas em aplicativos da web modernos.

Defender-se contra os ataques especificados no OWASP Top 10Segurança de infraestrutura e gerenciamento de configuraçãoIntegração com segurança os componentes da nuvem em um aplicativo da webMecanismos de autenticação e autorização, incluindo padrões de logon únicoSegurança de solicitação da Web entre domíniosCabeçalhos HTTP de proteçãoDefender APIs SOAP, REST e GraphQLImplementar com segurança a arquitetura de microsserviçosDefender-se contra falhas relacionadas à entrada, como injeção de SQL, XSS e CSRF