CORSO ASP.NET WEB CYBERSECURITY

OWASP TOP 10

DURATA: 8 ORE

Il corso Asp.net web cybersecurity, OWASP TOP 10 insegna le dieci vulnerabilità principali dell’OWASP, nonché le pratiche di ingegneria del software che portano a un prodotto di sviluppo più sicuro attraverso molti esercizi pratici con istruzioni e codice sorgente.

Il corso copre la sicurezza nel ciclo di vita dello sviluppo del software, le vulnerabilità della sicurezza comuni come Injection Flaws, Broken Authentication, XML External Entities, Sensitive Data Exposure, Security Misconfiguration, Broken Access Control, Cross Site Scripting, Insecure Object Deserialization, Using Components with Known Vulnerabilities, Insufficient Logging and Monitoring, e altri problemi come CSRF e Validation.

Inoltre, il corso si concentra sulla sicurezza a livello aziendale e su come costruire applicazioni che siano sicure per impostazione predefinita.

asp.net web cybersecurity, owasp top 10

Programma del corso Asp.net Web Cybersecurity, OWASP TOP 10

Module 1: Introduction

  • Introduction
  • Who’s getting hacked?
  • Who’s doing the hacking?
  • OWASP and the Top
  • Applying security in depth

Module 2: Injection

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: LulzSec and Sony
  • Understanding SQL injection
  • Defining untrusted data
  • Demo: The principle of least privilege
  • Demo: Inline SQL parameterisation
  • Demo: Stored procedure parameterisation
  • Demo: Whitelisting untrusted data
  • Demo: Entity Framework’s SQL parameterisation
  • Demo: Injection through stored procedures
  • Demo: Injection automation with Havij
  • Summary

Module 3: Cross Site Scripting (XSS) 60mins

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: My Space and Samy
  • Understanding XSS
  • Output encoding concepts
  • Demo: Implementing output encoding
  • Demo: Output encoding in web forms
  • Demo: Output encoding in MVC
  • Demo: Whitelisting allowable values
  • Demo: ASP.NET request validation
  • Demo: Reflective versus persistent XSS
  • Demo: Native browser defences
  • Demo: Payload obfuscation
  • Summary

Module 4: Broken Authentication and Session Management

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: Apple’s session fixation
  • Persisting state in a stateless protocol
  • The risk of session persistence in the URL versus cookies
  • Demo: Securely configuring session persistence
  • Demo: Leveraging ASP.NET membership provider for authentication
  • Customising session and forms timeouts to minimise risk windows
  • Siding versus fixed forms timeout
  • Other broken authentication patterns
  • Summary

Module 5: Insecure Direct Object References

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: Citibank
  • Understanding direct object references
  • Demo: Implementing access controls
  • Understanding indirect reference maps
  • Demo: Building an indirect reference map
  • Obfuscation via random surrogate keys
  • Summary

Module 6: Cross Site Request Forgery (CSRF)

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: Compromised Brazilian modems
  • What makes a CSRF attack possible
  • Understanding anti-forgery tokens
  • Demo: Implementing an anti-forgery token in MVC
  • Demo: Web forms approach to anti-forgery tokens
  • CSRF fallacies and browser defences
  • Summary

Module 7: Security Misconfiguration

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: ELMAH
  • Demo: Correctly configuring custom errors
  • Demo: Securing web forms tracing
  • Demo: Keeping frameworks current with NuGet
  • Demo: Encrypting sensitive parts of the web.config
  • Demo: Using config transforms to apply secure configurations
  • Demo: Enabling retail mode on the server
  • Summary

Module 8: Insecure Cryptographic Storage

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: ABC passwords
  • Understanding password storage and hashing
  • Understanding salt and brute force attacks
  • Slowing down hashes with the new Membership Provider
  • Other stronger hashing implementations
  • Things to consider when choosing a hashing implementation
  • Understanding symmetric and asymmetric encryption
  • Demo: Symmetric encryption using DPAPI
  • What’s not cryptographic
  • Summary

Module 9: Failure to Restrict URL Access

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: Apple AT&T leak
  • Demo: Access controls in ASP.NET part 1: web.config locations
  • Demo: Access controls in ASP.NET part 2: The authorize attribute
  • Demo: Role based authorisation with the ASP.NET Role Provider
  • Other access controls risk and misconceptions
  • Summary

Module 10: Insufficient Transport Layer Protection

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: Tunisian ISPs
  • Demo: Understanding secure cookies and forms authentication
  • Demo: Securing other cookies in ASP.NET
  • Demo: Forcing web forms to use HTTPS
  • Demo: Requiring HTTPS on MVC controllers
  • Demo: Mixed mode HTTPS
  • HTTP strict transport security
  • Other insufficient HTTPS patterns
  • Other HTTPS considerations
  • Summary

Module 11: Unvalidated Redirects and Forwards

  • Introduction
  • OWASP overview and risk rating
  • Demo: Anatomy of an attack
  • Risk in practice: US government websites
  • Understanding the value of unvalidated redirects to attackers
  • Demo: implementing a whitelist
  • Demo: implementing referrer checking
  • Other issues with the unvalidated redirect risk
  • Summary

Requisiti del corso Asp.net Web Cybersecurity, OWASP TOP 10

Il Corso Asp.net Web Cybersecurity, OWASP TOP 10 è rivolto a:

  • ASP Net Developers
  • C# Developers

Per partecipare con profitto a questo corso è necessario possedere i seguenti prerequisiti:

  • Sviluppatore ASP NET esperto
  • Esperienza nell’uso di C#
asp.net web cybersecurity, owasp top 10
asp.net web cybersecurity, owasp top 10

Cosa saprai fare alla fine del Corso Asp.net Web Cybersecurity, OWASP TOP 10

Al termine del corso i partecipanti saranno in grado di:

  • Identificare e correggere le vulnerabilità delle applicazioni Web nelle applicazioni ASP.Net
  • Scoprire le best practice per applicazioni web sicure per impostazione predefinita utilizzando ASP,Net core
  • Comprendere le vulnerabilità comuni come OWASP Top 10
  • Entrare nella mente dell’attaccante per capire le sue tecniche

Impara facendo…

Metti in pratica ciò che apprendi direttamente in ambiente Virtuale Online

Durante il corso avrai la possibilità di accedere ad ambienti basati su piattaforme Online dove andrai a testare le nozioni apprese simulando scenari anche complessi.

corso asp.net web cybersecurity, owasp top 10
materiale formativo corso

Materiale per il corso Asp.net Web Cybersecurity, OWASP TOP 10 a disposizione sempre aggiornato

Il corso è continuamente aggiornato sia come ambiente di programma sia come ambiente di laboratorio

Oltre al materiale in formato PDF relativo a tutti i moduli del corso, saranno messi a disposizione ulteriori e-book di ulteriore approfondimento sui temi più importanti.

Continuum Formativo

Viene creato un supporto Telegram attraverso il quale, per una durata di 30 gg, è prevista la partecipazione ad un gruppo di lavoro all’interno del quale saranno proposti dei “reminder” e dei suggerimenti per l’utilizzo professionale di quanto appreso, in modo da permettere di proseguire con il processo di autoformazione.

corso asp.net web cybersecurity, owasp top 10

Preferisci compilare il modulo? Scrivi i tuoi dati qui sotto

Il servizio telefonico è attivo dal lunedì al venerdì dalle 8:00 alle 18:00 al numero 0452456669. Puoi anche compilare il modulo sottostante:

Acconsento al trattamento dei dati personali ai sensi del Regolamento Ue 679/2016. Vedi Privacy e Cookie Policy

Desideri parlare con l’insegnante?

Il contatto Telefonico è attivo dal lunedì al venerdì dalle 8:00 alle 18:00 al numero 0452456669.

FAQ CORSO ASP.NET WEB CYBERSECURITY, OWASP TOP 10

Quanto costa?

Il corso ha dei costi fissi ed una tariffa per singolo partecipante, sostanzialmente differente da quella relativa alla partecipazione in gruppo della stessa azienda, contattaci per un preventivo personalizzato in base al numero di partecipanti.

E' possibile partecipare al corso nella mia azienda?

Se hai difficoltà a staccarti dalla tua azienda e devi in qualche modo gestire la presenza in sede, possiamo organizzare il corso direttamente presso la tua sede: ci basta un’aula ed eventualmente un videoproiettore; al resto ci pensiamo tutto noi.

Il corso è propedeutico all'esame di certificazione microsoft?

Il corso non prevede un corrispettivo esame di certificazione, ma è orientato alle competenze.

Il corso prevede dei laboratori

Il corso prevede l’utilizzo di laboratori da noi personalizzati al fine di testare le nozioni apprese durante la parte teorica del corso.