دوره آموزشSANS SEC 522

شرح دوره  SEC522 Defending Web Applications Security Essentials

کمیت و اهمیت داده های واگذار شده به برنامه های تحت وب در حال افزایش است و مدافعان باید یاد بگیرند که چگونه این داده های مهم را ایمن کنند. روش های دفاعی سنتی شبکه مانند فایروال ها نمی توانند در حد قابل قبولی برنامه های وب را ایمن کنند. در پوشش ده خطر اعلام شده توسط OWASP  و فراتر از آن ، SEC522 به شما در درک بهتر آسیب پذیری های برنامه وب کمک می کند ، بنابراین شما را قادر می سازد تا از دارایی های وب سازمان خود به درستی دفاع کنید.

این دوره استراتژی های کاهش مخاطرات از نظر زیرساخت ، معماری و برنامه نویسی را در کنار تکنیک های دنیای واقعی که اثبات شده است ، ارائه می دهد. ما ماهیت هر آسیب پذیری را معرفی می کنیم تا به شما در درک علت وقوع آن کمک کنیم ، سپس به شما نشان می دهیم که چگونه آسیب پذیری را شناسایی کرده و گزینه هایی برای کاهش آن ارائه دهید.

برای به حداکثر رساندن کارایی دوره ، برای طیف وسیع تری از مخاطبان ، بحث های این دوره به صورت متمرکز بر برنامه نویسی خواهد بود. تمرکز بر استراتژی های امنیتی به جای اجرای سطح کدگذاری حفظ خواهد شد.

در دوره SEC522: دفاع از برنامه های کاربردی وب ضروریات امنیتی است  برای همه کسانی که وظیفه پیاده سازی ، مدیریت یا محافظت از برنامه های وب را بر عهده دارند. اگر از برنامه های وب سنتی یا خدمات وب مدرن تر برای طیف گسترده ای از برنامه های کاربردی مانند برنامه های تلفن همراه پشتیبانی می کنید ، این دوره مفید خواهد بود. این دوره به ویژه برای تحلیلگران امنیت برنامه ، توسعه دهندگان ، معماران برنامه ، تست کننده های کد ، حسابرسان که علاقمند به کاهش اقدامات مناسب برای مسائل مربوط به امنیت وب هستند و متخصصان امنیتی زیرساختی که علاقمند به افزایش دفاع از برنامه های وب هستند ، مناسب است.

این دوره همچنین موضوعات دیگری را که توسعه دهندگان در شیوه های توسعه برنامه های کاربردی وب روزانه خود مهم دانسته اند ، پوشش می دهد. موضوعاتی که مورد بررسی قرار خواهند گرفت عبارتند از:

• OWASP Top 10
• موضوعات خاص برنامه کاربردی وب از فهرست ضعف مشترک (CWE) 25 تا از خطرناک ترین مخاطرات نرم افزاری
• امنیت زیرساخت ها و مدیریت پیکربندی
• ادغام ایمن اجزای ابر در یک برنامه وب
• احراز هویت و مکانیزم های مجوز ، از جمله الگوهای ورود به سیستم تک
• پیکربندی زبان برنامه
• خطاهای برنامه نویسی برنامه مانند تزریق SQL ، جعل درخواست بین سایت و اسکریپت نویسی بین سایت
• وب 2.0 و استفاده از خدمات وب (REST/SOAP)
• امنیت درخواست دامنه وب
• اشکالات منطق تجاری
• هدرهای محافظ HTTP

دوره SEC522 دارای لابراتور تمرینات عملی در مورد نحوه ایمن سازی یک برنامه وب ، با ایمن سازی سیستم عامل و سرور وب ، پیدا کردن مشکلات پیکربندی در تنظیمات برنامه و یافتن و رفع مشکلات کدگذاری در سایت است. این دوره از تمرینات عملی بسیار استفاده می کند و با یک تمرین دفاعی بزرگ به پایان می رسد .

اهداف دوره :

• چگونه می توان آسیب پذیری های رایج برنامه وب را به طور جامع برطرف کرد.
• نحوه اعمال برنامه های کاربردی طراحی و برنامه نویسی دفاعی برای جلوگیری از آسیب پذیری های امنیتی.
• پروتکل HTTP و فن آوری های جدید مانند HTTP/2 ، QUIC (HTTP/3) ، و وب سایت هایی که روی پشته پروتکل تأثیر می گذارند.
• چگونه می توان از اصول اولیه امنیت برنامه های کاربردی تحت وب “اعتبار بیشتر” فاصله گرفت و کنترل های امنیتی م effective را در برابر آسیب پذیری هایی که اعتبارسنجی ورودی به سادگی آنها را برطرف نمی کند ، پیاده کرد.
• نحوه سفارشی سازی ، پیاده سازی و حفظ استاندارد امنیت پایه برای چرخه عمر توسعه برنامه های تحت وب (چک لیست SANS SWAT) ، بهبود امنیت و کاهش قرار گرفتن در معرض آسیب پذیری های رایج مانند 10 ریسک برتر OWASP.
• چگونه می توان از حفاظت سطح HTTP برای استفاده از سیستم های دفاعی قوی در سمت سرویس گیرنده با ایجاد یک لایه دفاعی دیگر در بالای برنامه نویسی امن در سمت سرور استفاده کرد.
• نحوه طراحی معماری امنیتی بهتر و قوی تر که شامل جنبه های زیرساختی در فرایند طراحی باشد.
• چگونه می توان از ویژگی های امنیتی مدرن در مرورگر وب استفاده کرد و امنیت کلی برنامه را افزایش داد

شما خواهی توانست:

• خطرات عمده و آسیب پذیری های رایج مربوط به برنامه های وب را از طریق مثال های واقعی درک کنید.
• با استفاده از تکنیک های مناسب کدگذاری ، اجزای نرم افزاری ، پیکربندی ها و معماری دفاعی ، آسیب پذیری های امنیتی رایج در برنامه های وب را کاهش دهید.
• بهترین شیوه ها در حوزه های مختلف امنیت برنامه های وب مانند احراز هویت ، کنترل دسترسی و تأیید اعتبار ورودی را درک کنید.
• الزامات آموزشی را که در PCI DSS.5 ذکر شده است برآورده کنید.
• سرویس های وب (SOAP و REST) ​​را به شیوه ای امن تر مستقر و مصرف کنید.
• برای ارتقاء امنیت برنامه های تحت وب ، مکانیزم های دفاعی پیشرفته مانند سرفصل های پاسخ HTTP دفاعی و سیاست امنیت محتوا را فعال کنید.
• به صورت استراتژیک یک برنامه امنیتی برنامه وب را در یک محیط بزرگ اجرا کنید.
• شامل فن آوری های پیشرفته وب مانند HTML5 و AJAX cross-doma

دوره های آموزشی در SEC522:

• SEC542
• SEC504
• SEC401

دوره هایی که همپوشانی های خوبی برای SEC522 دارند:

• SEC542
• SEC510
• SEC540
• SEC545
• SEC530

لطفاً توجه داشته باشید که پیشوند این دوره را از “DEV” به “SEC” تغییر یافته  تا مخاطب را دقیق تر مشخص کند. در ادامه ، این دوره با عنوان “SEC522: دفاع از ضروریات امنیت برنامه های وب” شناخته می شود. اگر در حال مرور وب سایت SANS یا مرور یک بروشور هستید و متوجه تغییر پیشوند جدید شده اید ، لطفاً توجه داشته باشید که این تغییر هیچ تاثیری بر محتوای دوره ندارد.

سرفصل های دوره فارسی دوره

SEC522.1: مبانی وب و پیکربندی های امنیتی

• آشنایی با پروتکل HTTP
• مروری بر فناوری های احراز هویت وب
• معماری برنامه های تحت وب
• روند حملات اخیر
• امنیت زیرساخت وب/فایروال های تحت برنامه های وب
• مدیریت تنظیمات برنامه های وب

SEC522.2: دفاع در برابر تهدیدهای مرتبط با ورودی

• آسیب پذیری های مربوط به ورودی در برنامه های وب
• تزریق SQL
• جعل درخواست متقابل سایت
• آسیب پذیری و سیستم دفاعی برنامه نویسی بین سایتها
• استراتژی مدیریت یونی کد
• مدیریت بارگذاری فایل
• منطق تجاری و همزمانی

SEC522.3: احراز هویت و مجوز برنامه وب

• آسیب پذیری های هویت و دفاع
• احراز هویت چند عاملی
• آسیب پذیری های جلسه و آزمایش
• نقاط ضعف مجوز و دفاع
• آسیب پذیری و آزمایش SSL
• استفاده از رمزگذاری مناسب در برنامه وب

SEC522.4: خدمات وب و امنیت Front-End

• هانی token
• مرور خدمات وب
• امنیت در تجزیه XML
• امنیت XML
• مروری بر فناوری های AJAX
• روند حمله AJAX و حملات رایج
• امنیت REST
• دفاع مبتنی بر مرورگر مانند سیاست امنیت محتوا

SEC522.5: امنیت وب برش لبه

• امنیت سریال سازی
• جک زدن
• DNS مجدداً بازگردانده می شود
• امنیت HTML5
• جمع آوری گزارش و تجزیه و تحلیل برنامه های وب
• آزمایش امنیت
• تأثیر IPv6 بر امنیت وب

SEC522.6: تمرین ضبط و دفاع از پرچم

• کاهش خطاهای پیکربندی سرور
• کشف و کاهش مشکلات برنامه نویسی
• آزمایش مسائل منطقی کسب و کار و رفع مشکلات
• آزمایش خدمات وب و کاهش مشکلات امنیتی
• تقویت مباحث کلیدی مورد بحث در طول دوره از طریق تمرینات جامع

سرفصل های انگلیسی

SEC522.1: Web Fundamentals and Security Configurations

• Introduction to HTTP protocol
• Overview of web authentication technologies
• Web application architecture
• Recent attack trends
• Web infrastructure security/Web application firewalls
• Managing configurations for web apps

SEC522.2: Defense Against Input Related Threats

• Input-related vulnerabilities in web applications
• SQL injection
• Cross-site request forgery
• Cross-site scripting vulnerability and defenses
• Unicode handling strategy
• File upload handling
• Business logic and concurrency

SEC522.3: Web Application Authentication and Authorization

• Authentication vulnerabilities and defense
• Multifactor authentication
• Session vulnerabilities and testing
• Authorization vulnerabilities and defense
• SSL vulnerabilities and testing
• Proper encryption use in web application

SEC522.4: Web Services and Front-End Security

• Honeytoken
• Web services overview
• Security in parsing of XML
• XML security
• AJAX technologies overview
• AJAX attack trends and common attacks
• REST security
• Browser-based defense such as Content Security Policy

SEC522.5: Cutting-Edge Web Security

• Serialization security
• Clickjacking
• DNS rebinding
• HTML5 security
• Logging collection and analysis for web apps
• Security testing
• IPv6 impact on web security

SEC522.6: Capture-and-Defend-the-Flag Exercise

• Mitigating server configuration errors
• Discovering and mitigating coding problems
• Testing business logic issues and fixing problems
• Testing web services and mitigating security problems
• Reinforcing key topics discussed throughout the course through comprehensive exercises