MODALITÀ
il corso viene erogato
in modalità dedicata
ORARIO
9.00-13.00 – 14.00-17.00
SEDE
modalità online o in presenza
OFFERTA
la quotazione è a giornata
(su richiesta)
OBIETTIVI DEL CORSO
Grazie a questo corso avrai tutte le competenze in ambito di sicurezza web applicativa, con riferimento al linguaggio C# su piattaforma .NET.
Se sei uno sviluppatore, questo è il corso che fa per te:
- Otterrai competenze teoriche e pratiche avanzate per lo sviluppo di SW e applicazioni sicure con focus .NET
- Imparerai le Best Practices di controllo OWASP e le contormisure da prendere
Il nostro percorso formativo è un vero e proprio Training on the Job tenuto da un docente professionista certificato! Le lezioni sono studiate e organizzate con un approccio fortemente tecnico-pratico, al fine di farti acquisire nuove competenze che potrai mettere in pratica già a termine del corso.
PROGRAMMA DEL CORSO
GIORNO 1
• Introduzione alla scrittura di codice sicuro (Robustezza, Performance e Sicurezza del Software – Cause principali delle vulnerabilità – Metodologia OWASP per Secure Coding e Code Review – Metodologia OWASP per PenTest di Applicazioni Web)
• Secure SDLC – Software Development Life Cycle – (Costi dei bug di sicurezza – Concetti di rischio e impatto – Discussione riguardo ogni fase del Secure SDLC)
• Black Box Testing vs Code Review
• Principi di sicurezza del codice
• Vulnerabilità e attacchi (Information Gathering – Fingerprinting dell’applicazione – Improper Error Handling – Injection – SQL Injection)
GIORNO 2
• Injection (LDAP Injection – XPath Injection – XML Injection – Command Injection – Path Traversal – Log Forging – HTTP Splitting)
• Autenticazione (Metodi di autenticazione di .NET – Authentication Bypass – Credenziali di default – Funzionalità di cambio o reset password)
• Autorizzazione (Authorization Bypass – Parameter Manipulation – Access Matrix)
• Bypass della logica applicativa
GIORNO 3
• Sensitive Data Exposure On Transit (SSL / TLS – Suite di cifratura deboli – Padding Oracle)
• Sensitive Data Exposure At Rest (Crittografica Simmetrica e Asimmetrica – Hashing – Salt)
• Data Validation (Cross-Site Scripting – Whitelisting vs Blacklisting – Output Encoding – ViewState – .NET Validator)
GIORNO 4
• XXE (In band – Out of band)
• Gestione della sessione (CSRF – Randomicità ID di sessione – Session Fixation)
• CORS Security
• Improper Error Handling
• Altre vulnerabilità (Clickjacking – Denial of Service)
• IIS Hardening