Cursos de Microsoft SDL Core

Algunos de nuestros clientes

Código del Curso

cl-sdl

Duración

14 horas (usualmente 2 días, incluidas las pausas)

Descripción General

El entrenamiento básico combinado de SDL ofrece una visión general del diseño, desarrollo y pruebas de software seguro a través de Microsoft Secure Development Lifecycle (SDL). Proporciona una visión general del nivel 100 de los bloques fundamentales de SDL, seguido por técnicas de diseño para aplicar, detectar y corregir defectos en las primeras etapas del proceso de desarrollo.

En relación con la fase de desarrollo, el curso ofrece una visión general de los típicos errores de programación relacionados con la seguridad de código administrado y nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas junto con las técnicas de mitigación asociadas, todas explicadas a través de una serie de ejercicios prácticos que proporcionan diversión en vivo para los participantes. La introducción de diferentes métodos de prueba de seguridad sigue demostrando la eficacia de varias herramientas de prueba. Los participantes pueden entender el funcionamiento de estas herramientas a través de una serie de ejercicios prácticos mediante la aplicación de las herramientas para el ya discutido código vulnerable.

Los participantes que asistan a este curso

  • Comprenderan conceptos básicos de seguridad, seguridad de TI y codificación segura
  • Conoceran los pasos esenciales de Microsoft Secure Development Lifecycle
  • Aprenderan prácticas seguras de diseño y desarrollo
  • Conoceran los principios de implementación seguros
  • Entenderan la metodología de pruebas de seguridad
  • Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación seguras

Audiencia

Desarrolladores, Gerentes

Programa del Curso

Día 1

  • Seguridad informática y codificación segura
    • Naturaleza de la seguridad
    • Términos relacionados con la seguridad informática
    • Definición de riesgo
    • Diferentes aspectos de la seguridad informática
    • Requisitos de las diferentes áreas de aplicación
    • Seguridad de TI vs. codificación segura
    • De las vulnerabilidades a las botnets y la ciberdelincuencia
      • Naturaleza de las fallas de seguridad
      • Razones de dificultad
      • Desde un ordenador infectado a ataques dirigidos
    • Clasificación de las fallas de seguridad
      • La taxonomía de Landwehr
      • Los Siete Reinos Perniciosos
      • OWASP Top Ten 2013
      • OWASP Top Ten comparación 2003 - 2013
  • Introducción al Microsoft® Security Development Lifecycle (SDL)
    • Agenda
    • Aplicaciones bajo ataque ...
      • Evolución del delito cibernético
      • Los ataques se centran en las aplicaciones
      • La mayoría de las vulnerabilidades se encuentran en aplicaciones ISV más pequeñas
    • Los orígenes de Microsoft SDL ...
      • Línea de tiempo de seguridad en Microsoft ...
      • ¿Qué aplicaciones se requieren para seguir a SDL?
    • Ciclo de vida de desarrollo de seguridad de Microsoft (SDL)
      • Ciclo de vida de desarrollo de seguridad de Microsoft (SDL)
      • Pre-SDL Requisitos: Entrenamiento de Seguridad
      • Fase Uno: Requisitos
      • Fase Dos: Diseño
      • Fase tres: Implementación
      • Cuarta fase: Verificación
      • Fase Cinco: Liberación - Plan de Respuesta
      • Fase Cinco: Liberación - Revisión Final de Seguridad
      • Fase Cinco: Lanzamiento - Archivo
      • Requisito post-SDL: Respuesta
      • SDL Guía de Procesos para Aplicaciones LOB
      • Guía SDL para metodologías ágiles
      • El desarrollo seguro de software requiere mejoras en los procesos
  • Principios de diseño seguro
    • Superficie de ataque
      • Reducción de superficie de ataque
      • Superficie de ataque - un ejemplo
      • Análisis superficial de ataque
      • Reducción de la superficie de ataque - ejemplos
    • Intimidad
      • Intimidad
      • Comprensión de los comportamientos y preocupaciones de las aplicaciones
    • Defensa en profundidad
      • SDL Principio básico: defensa en profundidad
      • Defensa en profundidad - ejemplo
    • Principio de menor privilegio
      • Menos privilegios - ejemplo
    • Valores predeterminados seguros
      • Valores predeterminados seguros: ejemplos
  • Asegurar principios de implementación
    • Agenda
    • Ciclo de vida de desarrollo de seguridad de Microsoft (SDL)
    • Conceptos básicos de desbordamiento del búfer
      • Procesadores Intel 80x86 - registros principales
      • El diseño de la dirección de la memoria
      • El mecanismo de llamada de función en C / C ++ en x86
      • Las variables locales y el marco de la pila
      • Desbordamiento de pila
        • Desbordamiento del búfer en la pila
        • Ejercicios - introducción
        • Ejercicio BOFIntro
        • Ejercicio BOFIntro - determina el diseño de la pila
        • Ejercicio BOFIntro - un simple exploit
    • Validación de entrada
      • Conceptos de validación de entrada
      • Problemas enteros
        • Representación de enteros negativos
        • Desbordamiento de enteros
        • Desbordamiento aritmético - adivina la salida!
        • Ejercicio IntOverflow
        • ¿Cuál es el valor de Math.Abs ​​(int.MinValue)?
      • Mitigación de problemas de entero
        • Mitigación de problemas de entero
        • Evitar el desbordamiento aritmético - adición
        • Evitar el desbordamiento aritmético - multiplicación
        • Detectar desbordamiento con la palabra clave seleccionada en C #
        • Ejercicio - Uso de la palabra clave seleccionada en C #
        • Excepciones provocadas por desbordamientos en C #
      • Estudio de caso-Desbordamiento de Intenet en .NET
        • Una vulnerabilidad de desbordamiento de enteros del mundo real
        • Explotación de la vulnerabilidad de desbordamiento de enteros
      • Vulnerabilidad de recorrido transversal
        • Mitigación de trayectoria de trayectoria

Dia 2

  • Asegurar principios de implementación
    • Inyección
      • Métodos típicos de ataque con inyección de SQL
      • Inyección SQL ciega y basada en el tiempo
      • Métodos de protección contra inyección de SQL
      • Comando de inyección
    • Autenticación rota: administración de contraseñas
      • Ejercicio - Debilidad de las contraseñas hash
      • Gestión y almacenamiento de contraseñas
      • Algoritmos de hash de propósito especial para el almacenamiento de contraseñas
    • Cross-Site Scripting (XSS)
      • Cross-Site Scripting (XSS)
      • Inyección CSS
      • Explotación: inyección a través de otras etiquetas HTML
      • Prevención de XSS
    • Falta el control de acceso al nivel de funciones
      • Filtrado de archivos subidos
    • Criptografía práctica
      • Proporcionar confidencialidad con criptografía simétrica
      • Algoritmos de cifrado simétricos
      • Bloquear cifras - modos de operación
      • Hash o resumen de mensajes
      • Algoritmos de hash
      • Código de autenticación de mensajes (MAC)
      • Proporcionar integridad y autenticidad con una clave simétrica
      • Proporcionar confidencialidad con el cifrado de clave pública
      • Regla de oro - posesión de clave privada
      • Errores típicos en la administración de contraseñas
      • Ejercicio - Contraseñas codificadas duras
      • Conclusión
  • Asegurar los principios de verificación
    • Pruebas funcionales vs. pruebas de seguridad
    • Vulnerabilidades de seguridad
    • Priorización
    • Pruebas de seguridad en el SDLC
    • Pasos de la planificación de las pruebas (análisis de riesgos)
    • Escopo y recopilación de información
      • Interesados
      • Bienes
      • La superficie de ataque
      • Objetivos de seguridad para las pruebas
    • Modelado de amenazas
      • Modelado de amenazas
      • Perfiles de atacante
      • Modelado de amenazas basado en árboles de ataque
      • Modelado de amenazas basado en casos de uso indebido / abuso
      • Casos de mal uso / abuso - un simple ejemplo de tienda en la Web
      • STRIDE por elemento para el modelado de amenazas - MS SDL
      • Identificación de objetivos de seguridad
      • Diagramación - ejemplos de elementos DFD
      • Diagrama de flujo de datos - ejemplo
      • Enumeración de amenazas - Los elementos STRIDE y DFD de MS SDL
      • Análisis de riesgos - clasificación de amenazas
      • El modelo de clasificación de riesgo / riesgo DREAD
    • Técnicas y herramientas de pruebas de seguridad
      • Enfoques generales de pruebas
      • Técnicas para varios pasos del SDLC
    • Revisión de código
      • Revisión de código para seguridad de software
      • Análisis de manchas
      • Heurística
    • Análisis de código estático
      • Análisis de código estático
      • Análisis de código estático
      • Ejercicio - Uso de herramientas de análisis de código estático
    • Prueba de la implementación
      • Verificación manual en tiempo de ejecución
      • Prueba de seguridad manual vs. automatizada
      • Pruebas de penetración
      • Pruebas de esfuerzo
    • Fuzzing
      • Pruebas de seguridad automatizadas - fuzzing
      • Desafíos de fuzzing
    • Escáneres de vulnerabilidad web
      • Ejercicio - Uso de un escáner de vulnerabilidades
    • Control y endurecimiento del medio ambiente
      • Sistema Común de Puntuación de Vulnerabilidad - CVSS
      • Escáneres de vulnerabilidad
      • Bases de datos públicas
    • Estudio de caso - bypass de autenticación de formularios
      • Vulnerabilidad NULL byte termination
      • La vulnerabilidad de desvío de autenticación de formularios en el código
      • Explotación del bypass de autenticación de formularios
    • Fuentes de conocimiento
      • Fuentes de codificación seguras: un kit de inicio
      • Bases de datos de vulnerabilidad
      • Directrices de codificación segura de .NET en MSDN
      • Cifras de codificación segura .NET
      • Libros recomendados - .NET y ASP.NET

Testimonios

★★★★★
★★★★★

Categorías Relacionadas

Cursos Relacionados

Promociones

Descuentos en los Cursos

We respect the privacy of your email address. We will not pass on or sell your address to others.
You can always change your preferences or unsubscribe completely.

is growing fast!

We are looking to expand our presence in Mexico!

As a Business Development Manager you will:

  • expand business in Mexico
  • recruit local talent (sales, agents, trainers, consultants)
  • recruit local trainers and consultants

We offer:

  • Artificial Intelligence and Big Data systems to support your local operation
  • high-tech automation
  • continuously upgraded course catalogue and content
  • good fun in international team

If you are interested in running a high-tech, high-quality training and consulting business.

Apply now!

Este sitio en otros países / regiones