Bezpieczeństwo aplikacji PHP

Opis szkolenia

Szkolenie jest przeznaczone dla programistów pracujących w technologii PHP zainteresowanych poszerzeniem swojej wiedzy dotyczącej bezpieczeństwa aplikacji webowych oraz dla osób chcących wykorzystać tą wiedzę podczas swojej pracy.

W trakcie szkolenia pojawi się dużo ćwiczeń i przykładów defektów bezpieczeństwa, opracowanych na podstawie doświadczenia trenera zdobytego podczas testowania bezpieczeństwa aplikacji. Zostaną omówione techniki i mechanizmy umożliwiające tworzenie bezpiecznych aplikacji.

Konspekt

  1. Wprowadzenie
  • Wprowadzenie do tematyki bezpieczeństwa sieci, systemów i aplikacji
  • Dobre praktyki, zasady i standardy

 

  1. Modelowanie zagrożeń
  • Podstawowe pojęcia
  • Istniejące podejścia
  • Warsztaty, na przykładzie aplikacji, nad którą pracuje dany zespół

 

  1. Przegląd standardów i przydatnych dokumentów
  • OWASP ASVS 2013
  • OWASP TOP 10 2013
  • OWASP Proactive Controls
  • OWASP CheatSheets

 

  1. Komunikacja SSL/TLS
  • Wprowadzenie do PKI
  • Budowa i rodzaje certyfikatów
  • Przykłady komunikacji (analiza zapisu ruchu sieciowego SSL/TLS)
  • Bezpieczeństwo i testowanie SSL/TLS

 

  1. Bezpieczne programowanie w PHP
  • Dostępne mechanizmy bezpieczeństwa – na poziomie kodu i konfiguracji
  • Zastosowanie dobrych praktyk bezpiecznego programowania w PHP w kontekście aplikacji webowych oraz API serwerowego
  • Bezpieczeństwo w kontekście wykorzystywanych bibliotek i frameworków
  • Połączenie i obsługa zapytań do baz danych
  • Często występujące błędy w kodzie PHP
  • Analiza przykładowych błędów bezpieczeństwa

 

Część warsztatowa (ćwiczenia, w trakcie omawiania rodzajów błędów)