Biztonságos programozás .NET környezetben

Leírás

Óraszám:  nap;  tanóra

Minimum létszám:  fő

A képzés nyelve: magyar

Tandíj:  Ft /fő + ÁFA

A képzés rövid leírása:

Napjainkban a .NET és ASP.NET környezetet tekinthetjük az egyik legáltalánosabb programfejlesztési eszköznek, hiszen számos programozási nyelv áll a rendelkezésünkre, amellyel e platformra fejleszthetünk. A fejlesztési környezet teljeskörűen támogatja a biztonságos programfejlesztést, de a szoftvertervezőknek és fejlesztőknek ennek ellenére is tisztában kell lenniük az egyes architekturális és kódolási szintű problémákkal, hogy elkerüljék az esetleges sérülékenységeket.

A képzés célja egyrészt megmutatni, hogy hogyan kell a különböző .NET és ASP.NET komponenseket helyesen konfigurálni és használni annak érdekében, hogy meggátoljuk bármely kód privilegizált üzemmódban való futását, hogyan kell az erőforrásokat védeni megfelelő authentikáció és authorizáció révén, hogyan kell biztonságos távoli eljáráshívást implementálni, sessiont kezelni, és így tovább.

Másrészt a különböző .NET és ASP.NET alapú sérülékenységekkel foglalkozunk. Ezek bemutatása az általános web alkalmazások problémáin felül kitér a .NET-specifikus bemenet ellenőrzési hibákra, a helyes biztonsági módszerek használatára, hiba- és kivételkezelésre, illetve az időzítéses és állapotkezelési hibákra. Külön fejezetet szentelünk az ASP.NET-specifikus hibák összefoglalására, amelyek olyan érdekes kérdéseket vetnek fel, mint a PostBack támadása, a Viewstate biztonsága, session kezelési problémák, vagy a hashtable ütközéses támadás.

A képzés programozóknak, fejlesztőknek, szoftvertervezőknek, biztonsági szakembereknek ajánljuk, akik szeretnék megismerni a minél biztonságosabb programok, alkalmazások készítésének professzionális technikáit .NET/ASP.NET környezetben. A képzés egyedi formában is elérhető más fejlesztői környezettel, technológiával összevonva.

Képzési tematika:

• Az IT biztonságtól a biztonságos programozásig: általános vs. IT biztonság, biztonsági fogalmak, a kockázat fogalma, biztonsági követelmények, biztonságos programozás, a sérülékenységektől a szervezett bűnözésig, a biztonsági rések jellege, kategóriái.
• Web alkalmazások sérülékenységei: SQL injection a gyakorlatban, védekezés; általános command injection, CSS injection, cookie injection; persistent és reflected Cross-Site Scripting (XSS), védekezés; Cross Site Request Forgery (CSRF), védekezés; rosszindulatú állomány-feltöltés, veszélyes közvetlen hivatkozás, egyéb hibák.
• .NET biztonsági architektúra: Code Access Security, Role Access Security, deklaratív és imperatív biztonság, .NET runtime biztonsági ellenőrzés, remoting és security.
• ASP.NET biztonsági architektúra: provider model, alkalmazás-szolgáltatások, biztonsági funkciók, authentikáció (windows, forms), Microsoft Passport, ASP.NET authorizáció (ACL és URL-alapú, Role Manager, Roles API), IIS biztonsága (alkalmazás compartmentalization, szűrés, ApplicationHost.config, Web.config, Web.sitemap, Machine.config), ASP.NET biztonsági funkciók web alkalmazásokhoz (Trust szintek, kérés ellenőrzés, viewstate védelem, postback védelme)
• ASP.NET konfiguráció és biztonsági beállítások: komponensek áttekintése, üzembeállítás és konfiguráció, az operációs rendszer biztonsági beállítása, adatbázis biztonsági beállítások, IIS szerver biztonsági beállítások; ASP.NET beállítása (Configuration Lockdown, javasolt beállítások, Partial Trust konfiguráció).
• Bemenet-ellenőrzési hibák: natív hívások használatából fakadó veszélyek, integer túlcsordulás és elkerülése (checked és unchecked használata), valós életből vett példa az EncoderParameter-ben, reflection használatának veszélyei, log hamisítás.
• Biztonsági módszerek helytelen használata: biztonságos véletlenszám generálás, jelszó menedzsment tipikus problémái, authentikáció, személyes adatok védelme (privacy), private adattagok hozzáférése reflection-nel.
• Hiba- és kivételkezeléssel kapcsolatos biztonsági problémák: hibás kivételjelzés és elkapás, null ellenőrzése – NullReferenceException, erőforrások újrafelhasználása, információszerzés hibajelentésekből.
• Időzítéses és állapotkezelési hibák: szinkronizációs problémák, helytelen granularitás, deadlock kialakulása, lock-olás és atomicitás, lock-mentes újrarendezés, konkurens file hozzáférés, konkurens véletlenszám generálás Random-mal, kivételkezelés thread-ekben, interrupt és abort, biztonságos thread befejezés – a Cancel helyes használata, Immutability, Purity és Isolation elvek, konkurens hozzáférés az adatbázisokhoz, optimista és pesszimista lock-olás.
• ASP.NET specifikus sérülékenységek: a PostBack támadása, letiltott vagy rejtett kontrollok elérése, a kontrollok sorrendjének problémája, a Viewstate biztonsági kérdései, NULL byte-ok, egy valós életből vett probléma – Forms Authentication Bypass, session fixation, session eltérítése ELMAH-hal, érték árnyékolás (value shadowing), denial of service .NET kódban, hashtable collision támadás.
• Tanácsok és elvek: fejlesztőknek és üzemeltetőknek, Saltzer és Schröder 8 elve, Matt Bishop robusztus programozási elvei, referenciák, további források, sérülékenység adatbázisok, összefoglaló.
• OWASP Top Ten 2017 friss és teljes vizsgálata, Client-side security (Ajax, Html5, Javascript), Criptography, Common Coding mistakes

Belépési feltételek:

C# programozási ismeretek és legalább kétéves gyakorlat .NET / ASP.NET programozásban. Alapvető kriptográfiai fogalmak és módszerek alapfokú gyakorlati ismerete ajánlott. Mivel a tananyag angol nyelvű, ezért alapfokú, dokumentumolvasás szintű angol nyelvtudás szükséges. Az előadás magyar nyelven zajlik.

Igazolás: Tanúsítvány