A Conviso disponibilizou em seu canal de YouTube o treinamento AppSec Starter – um treinamento gratuito de conscientização em segurança de aplicações.
O programa é composto por 15 vídeos, onde conceitos básicos sobre segurança de aplicações são destrinchados pelos especialistas da empresa.
Ao longo dos vídeos, temas como Modelagem de Ameaças, Owasp Top 10 e Testes de Segurança de Aplicações são adequados em uma linguagem didática e acessível.
Essa é mais uma de nossa série de iniciativas que visam conscientizar o mercado sobre a importância de segurança de aplicações.
Este curso foi criado para facilitar a entrada de novos Insiders da Conviso em uma cultura de AppSec. Então, ele está aberto e acessível para que qualquer profissional com interesse em aprender mais sobre o tema possa ingressar nos conceitos iniciais de segurança de aplicações.
Conheça o conteúdo do nosso treinamento gratuito em Segurança de Aplicações
Vale lembrar que todos os profissionais envolvidos com desenvolvimento de software podem se beneficiar com as informações contidas no curso. As aulas já estão totalmente disponíveis no Youtube para que cada um assista a qualquer momento.
Confira o que cada uma das 15 aulas contempla:
Aula 01 – Conceitos Básicos
- Superfície de ataque e sua redução
- Defesa em profundidade/camadas
- Princípio do menor privilégio
- Padrões seguros
- Privacidade
- Autenticação e Autorização
- Responsabilização
- Tipos de dados
Aula 02 – Visão de Risco
- Agente de Ameaça
- Vetores de Ataque
- Vulnerabilidades
- Controles
- Impactos técnicos
- Impactos de negócio
Aula 03 – Modelagem de Ameaças
- Conceito de modelagem de correção
- Objetivos da modelagem de correção
- Introdução aos principais métodos de modelagem de correção.
- Terminologias da modelagem de correção
Aula 04 – O que é OWASP Top 10
Apresenta o que é Open Web Application Security Project (OWASP) e o projeto OWASP Top 10:
- Injection
- Broken Authentication and Session Management
- Sensitive Data Exposure
- XML External Entity (XXE)
- Broken Access Control
- Security Misconfiguration
- Cross-Site Scripting(XSS)
- Insecure Deserialization
- Using Components with known Vulnerabilities
Aula 05 – A1:2017- Injeção – OWASP Top 10 2017
Falhas de injeção, tais como injeções de SQL, OS e LDAP ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta legítima.
Aula 06 – A2:2017-Quebra de Autenticação – OWASP Top 10 2017
As funções da aplicação que estão relacionadas com a autenticação e gestão de sessões são muitas vezes implementadas incorretamente, sendo assim, permite que um atacante possa comprometer senhas, chaves, tokens de sessão, ou mesmo abusar de outras falhas da implementação que lhe permitam assumir a identidade de outros utilizadores (temporária ou permanentemente).
Aula 07 – A3: 2017- Exposição de Dados Sensíveis – OWASP Top 10 2017
Muitas aplicações web e APIs não protegem de forma adequada dados sensíveis, como dados financeiros ou dados de identificação pessoal (PII). Desta forma, atacantes mal intencionados podem roubar ou modificar estes dados para realizar fraudes com cartões de crédito, roubo de identidade – entre muitos outros crimes.
Aula 08 – A4:2017 – Entidades Externas de XML (XXE) – OWASP Top 10 2017
Muitos processadores de XML mais antigos ou mal configurados avaliam referências a entidades externas dentro dos documentos XML. Estas entidades externas podem ser usadas para revelar ficheiros internos usando o processador de URI de ficheiros, partilhas internas de ficheiros, pesquisa de portas de comunicação internas, execução de código remoto e ataques de negação de serviço, tal como o ataque Billion Laughs.
Aula 09 – A5:2017-Quebra de Controle de Acessos – OWASP Top 10 2017
As restrições sobre o que os utilizadores autenticados estão autorizados a fazer nem sempre são corretamente verificadas. Desta forma, os atacantes podem abusar destas falhas para acessar funcionalidades ou dados aos quais têm autorização. Como, por exemplo, outras contas de utilizador, visualizar ficheiros sensíveis, modificar os dados de outros utilizadores, alterar as permissões de acesso, entre outros.
Aula 10 – A6:2017-Configurações de Segurança Incorretas – OWASP Top 10 2017
As más configurações de segurança são o aspecto mais observado nos dados recolhidos. Normalmente, isto é consequência de configurações padrão inseguras, incompletas ou ad hoc, bem como de armazenamento na nuvem sem qualquer restrição de acesso, cabeçalhos HTTP mal configurados ou mensagens de erro com informações sensíveis.
Aula 11 – A7: 2017-Cross-Site-Scripting (XSS) – OWASP Top 10 2017
As falhas de XSS ocorrem sempre que uma aplicação inclui dados não-confiáveis numa nova página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web existente com dados enviados por um utilizador por meio de uma API do browser que possa criar JavaScript.
O XSS permite que atacantes possam executar scripts no browser da vítima, os quais podem raptar sessões do utilizador, descaracterizar sites web ou redirecionar o utilizador para sites maliciosos.
Aula 12 – A8:2017-Desserialização Insegura – OWASP Top 10 2017
A desserialização insegura normalmente leva à execução remota de código. Mesmo que isto não aconteça, pode ser usada para realizar ataques, incluindo ataques por repetição, injeção e elevação de privilégios.
Aula 13 – A9:2017-Utilização de Componentes Vulneráveis – OWASP Top 10 2017
Componentes tais como bibliotecas, frameworks e outros módulos de software são executados com os mesmos privilégios que a aplicação.
No entanto, o abuso de um componente vulnerável pode conduzir a uma perda séria de dados ou controle completo de um servidor. Aplicações e APIs que usem componentes com vulnerabilidades conhecidas podem enfraquecer as defesas da aplicação possibilitando ataques e impactos diversos.
Aula 14 – A 10:2017 – Registo e Monitoramento Insuficiente – OWASP Top 10 2017
O registro e monitorização insuficientes, em conjunto com uma resposta inexistente a incidentes – ou mesmo insuficiente – permite que os atacantes possam abusar do sistema de forma persistente. Ou, até mesmo, que o possam usar como entrada para atacar outros sistemas, sendo assim, permite que possam alterar, extrair ou destruir dados.
Aula 15 – Testes de Segurança de Aplicações
Testes de Segurança: Garantir a segurança das aplicações por meio da aplicação de técnicas de testes inseridos no processo de desenvolvimento. Nesta aula, apresentamos de maneira simplificada e expositiva os principais tipos de verificações de segurança:
- Tipos de testes integrados na esteira de desenvolvimento
- Modelagem de Ameaças
- SAST
- Revisão de código
- DAST
- Pentest
- SCA
Confira o treinamento AppSec Starter na íntegra
O treinamento gratuito em segurança de aplicações AppSec Starter está disponível integralmente no canal do YouTube da Conviso:
2 Comments