Kursus Pelatihan Web Security Testing - Keamanan dan Pengujian Aplikasi Web Menggunakan OWASP

Android adalah platform terbuka untuk perangkat mobile seperti ponsel dan tablet. Platform ini memiliki berbagai fitur keamanan yang memudahkan pengembangan perangkat lunak yang aman; namun, juga ada beberapa aspek keamanan yang hilang yang hadir di platform hand-held lainnya. Kursus ini memberikan gambaran komprehensif tentang fitur-fitur tersebut dan menyoroti kekurangan kritis yang harus diketahui terkait Linux, sistem file, dan lingkungan umum, serta penggunaan izin dan komponen pengembangan perangkat lunak lainnya dari Android.

Lubang keamanan dan kerentanan khas dituliskan baik untuk kode asli maupun aplikasi Java, bersama dengan rekomendasi dan praktik terbaik untuk menghindari dan memitigasinya. Dalam banyak kasus yang dibahas, masalah-masalah tersebut didukung dengan contoh nyata dan studi kasus. Akhirnya, kami memberikan gambaran singkat tentang cara menggunakan alat pengujian keamanan untuk mengungkap bug pemrograman yang relevan dengan keamanan.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT, dan pengkodean aman
• Mengetahui solusi keamanan pada Android
• Belajar menggunakan berbagai fitur keamanan dari platform Android
• Mendapatkan informasi tentang beberapa kerentanan terbaru dalam Java di Android
• Memahami kesalahan pengkodean khas dan bagaimana menghindarinya
• Memahami kerentanan kode asli pada Android
• Realisasi konsekuensi serius dari penanganan buffer tidak aman dalam kode asli
• Memahami teknik perlindungan arsitektur dan kelemahannya
• Mendapatkan sumber-sumber dan bacaan tambahan tentang praktik pengkodean yang aman

Target Peserta

Profesional

Menerapkan aplikasi jaringan yang aman bisa jadi sulit, bahkan bagi pengembang yang mungkin telah menggunakan berbagai blok penyusun kriptografi (seperti enkripsi dan tanda tangan digital) sebelumnya. Agar peserta memahami peran dan penggunaan primitif kriptografi ini, pertama-tama diberikan dasar yang kuat tentang persyaratan utama komunikasi yang aman – pengakuan yang aman, integritas, kerahasiaan, identifikasi jarak jauh, dan anonimitas – sambil juga memaparkan masalah umum yang dapat merusak persyaratan ini beserta solusi di dunia nyata.

Karena kriptografi merupakan aspek penting dari keamanan jaringan, algoritma kriptografi terpenting dalam kriptografi simetris, hashing, kriptografi asimetris, dan kesepakatan kunci juga dibahas. Alih-alih menyajikan latar belakang matematika yang mendalam, elemen-elemen ini dibahas dari sudut pandang pengembang, dengan menunjukkan contoh kasus penggunaan yang umum dan pertimbangan praktis yang terkait dengan penggunaan kripto, seperti infrastruktur kunci publik. Protokol keamanan di banyak area komunikasi aman diperkenalkan, dengan pembahasan mendalam tentang keluarga protokol yang paling banyak digunakan seperti IPSEC dan SSL/TLS.

Kerentanan kripto yang umum dibahas terkait dengan algoritma kripto dan protokol kriptografi tertentu, seperti BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE dan sejenisnya, serta serangan pengaturan waktu RSA. Dalam setiap kasus, pertimbangan praktis dan konsekuensi potensial dijelaskan untuk setiap masalah, sekali lagi, tanpa membahas detail matematika yang mendalam.

Akhirnya, karena teknologi XML merupakan pusat pertukaran data oleh aplikasi jaringan, aspek keamanan XML dijelaskan. Ini termasuk penggunaan XML dalam layanan web dan pesan SOAP bersamaan dengan langkah-langkah perlindungan seperti tanda tangan XML dan enkripsi XML – serta kelemahan dalam langkah-langkah perlindungan tersebut dan masalah keamanan khusus XML seperti injeksi XML, serangan entitas eksternal XML (XXE), bom XML, dan injeksi XPath.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI, dan pengkodean aman
• Memahami persyaratan komunikasi yang aman
• Pelajari tentang serangan dan pertahanan jaringan di berbagai lapisan OSI
• Memiliki pemahaman praktis tentang kriptografi
• Memahami protokol keamanan penting
• Memahami beberapa serangan terbaru terhadap sistem kriptografi
• Dapatkan informasi tentang beberapa kerentanan terkait terkini
• Memahami konsep keamanan layanan Web
• Dapatkan sumber dan bacaan lebih lanjut tentang praktik pengkodean yang aman

Hadirin

Pengembang, Profesional

Kursus ini selama tiga hari mengkaji dasar-dasar memastikan kode C/C++ terlindungi dari pengguna yang berbahaya yang dapat memanfaatkan banyak kelemahan dalam kode dengan pengelolaan memori dan pengolahan input, kursus ini membahas prinsip-prinsip menulis kode yang aman.

Bahkan para pemrogram Java yang berpengalaman tidak menguasai semua layanan keamanan yang ditawarkan oleh Java, dan juga tidak menyadari berbagai kerentanan yang relevan untuk aplikasi web yang ditulis dalam bahasa Java.

Kursus ini – selain mempelajari komponen keamanan Standard Java Edition – membahas masalah keamanan Java Enterprise Edition (JEE) dan layanan web. Pembahasan tentang layanan tertentu diawali dengan dasar-dasar kriptografi dan komunikasi yang aman. Berbagai latihan mengungkap teknik keamanan deklaratif dan programmatik di JEE, sedangkan keamanan tingkat transport dan keamanan akhir-ke-akhir layanan web juga dibahas. Penggunaan semua komponen disajikan melalui beberapa latihan praktis, di mana peserta dapat mencoba APIs dan alat-alat yang dibahas secara mandiri.

Kursus ini juga melintasi dan menjelaskan kelalaian pemrograman paling sering dan serius bahasa dan platform Java serta kerentanan terkait web. Selain kesalahan yang umum dilakukan oleh pemrogram Java, kerentanan keamanan yang diperkenalkan mencakup masalah khusus bahasa dan masalah yang berasal dari lingkungan runtime. Semua kerentanan dan serangan yang relevan ditunjukkan melalui latihan-latihan yang mudah dipahami, diikuti oleh pedoman pemrograman yang direkomendasikan dan teknik mitigasi yang mungkin.

Para peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT, dan pemrograman aman
• Mempelajari kerentanan web di luar OWASP Top Ten dan tahu bagaimana mencegahnya
• Memahami konsep keamanan layanan web
• Belajar menggunakan berbagai fitur keamanan lingkungan pengembangan Java
• Memiliki pemahaman praktis tentang kriptografi
• Memahami solusi keamanan Java EE
• Mempelajari kesalahan pemrograman umum dan bagaimana mencegahnya
• Mendapatkan informasi tentang beberapa kerentanan terbaru dalam kerangka Java
• Mendapatkan pengetahuan praktis dalam menggunakan alat pengujian keamanan
• Mendapatkan sumber dan bacaan lebih lanjut tentang praktik pemrograman aman

Penonton

Pemrogram

Deskripsi

Bahasa Java dan lingkungan Runtime (JRE) dirancang untuk bebas dari kebanyakan kerentanan keamanan umum yang problematis yang ditemukan pada bahasa lainnya, seperti C/C++. Namun, pengembang perangkat lunak dan arsitek tidak hanya harus tahu cara menggunakan berbagai fitur keamanan lingkungan Java (keamanan positif), tetapi juga harus menyadari banyak kerentanan yang masih relevan untuk pengembangan Java (keamanan negatif).

Pendahuluan layanan keamanan diawali dengan tinjauan singkat tentang dasar-dasar kriptografi, memberikan dasar bersama untuk memahami tujuan dan operasi komponen yang relevan. Penggunaan komponen ini dipaparkan melalui beberapa latihan praktis, di mana peserta dapat mencoba API yang dibahas secara pribadi.

Kursus ini juga menjelajahi dan menjelaskan kerusakan pemrograman yang paling sering dan serius dari bahasa dan platform Java, mencakup baik kesalahan umum yang dilakukan oleh programer Java dan masalah yang spesifik untuk bahasa dan lingkungan. Semua kerentanan dan serangan yang relevan ditunjukkan melalui latihan yang mudah dipahami, diikuti oleh pedoman pemrograman yang direkomendasikan dan teknik mitigasi yang mungkin.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI dan pemrograman aman
• Mempelajari kerentanan web di luar OWASP Top Ten dan tahu cara menghindarinya
• Belajar menggunakan berbagai fitur keamanan lingkungan pengembangan Java
• Memahami kriptografi secara praktis
• Mempelajari kesalahan pemrograman umum dan cara menghindarinya
• Mendapatkan informasi tentang beberapa kerentanan terbaru dalam kerangka Java
• Mendapatkan sumber dan pembacaan lebih lanjut tentang praktik pemrograman aman

Audience

Pembangun

Banyak bahasa pemrograman yang tersedia saat ini untuk mengompilasi kode ke dalam kerangka .NET dan ASP.NET. Lingkungan ini menyediakan sarana yang kuat untuk pengembangan keamanan, tetapi pengembang harus tahu bagaimana menerapkan teknik pemrograman tingkat arsitektur dan kode untuk menerapkan fungsi keamanan yang diinginkan dan mengurangi kerentanan atau membatasi eksploitasi mereka.

Tujuan dari kursus ini adalah untuk mengajari para pengembang melalui banyak latihan praktis bagaimana mencegah kode tidak dipercaya melakukan tindakan berprivilej, melindungi sumber daya melalui otentikasi dan otorisasi yang kuat, menyediakan pemanggilan prosedur jarak jauh, mengelola sesi, memperkenalkan berbagai implementasi untuk beberapa fungsi, dan masih banyak lagi.

Pendahuluan tentang berbagai kerentanan dimulai dengan memperkenalkan beberapa masalah pemrograman tipikal yang dilakukan saat menggunakan .NET, sedangkan diskusi tentang kerentanan ASP.NET juga mempertimbangkan berbagai pengaturan lingkungan dan dampaknya. Terakhir, topik tentang kerentanan spesifik ASP.NET tidak hanya membahas beberapa tantangan keamanan aplikasi web umum, tetapi juga masalah khusus dan metode serangan seperti menyerang ViewState atau serangan penutup string.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT, dan pemrograman aman
• Mempelajari kerentanan web di luar OWASP Top Ten dan mengetahui cara menghindarinya
• Mempelajari penggunaan berbagai fitur keamanan lingkungan pengembangan .NET
• Mendapatkan pengetahuan praktis dalam penggunaan alat pengujian keamanan
• Mempelajari kesalahan kode tipikal dan cara menghindarinya
• Mendapatkan informasi tentang beberapa kerentanan terkini di .NET dan ASP.NET
• Mendapatkan sumber dan bacaan lanjut tentang praktik pemrograman aman

Pihak yang dituju

Pengembang

Kursus ini memperkenalkan beberapa konsep keamanan umum, memberikan gambaran tentang sifat kerentanan tanpa memandang bahasa pemrograman dan platform yang digunakan, serta menjelaskan cara mengatasi risiko-risiko yang berhubungan dengan keamanan perangkat lunak pada berbagai fase siklus hidup pengembangan perangkat lunak. Tanpa masuk terlalu dalam ke detail teknis, kursus ini menyoroti beberapa kerentanan yang paling menarik dan mengganggu di berbagai teknologi pengembangan perangkat lunak, serta menyajikan tantangan dari uji coba keamanan bersama dengan beberapa teknik dan alat yang dapat diterapkan untuk menemukan masalah apa pun dalam kode.

Peserta yang menghadiri kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT, dan pengkodean yang aman
• Memahami kerentanan web baik di sisi server maupun klien
• Menyadari akibat serius dari penanganan buffer yang tidak aman
• Mendapatkan informasi tentang beberapa kerentanan terkini dalam lingkungan pengembangan dan kerangka kerja
• Belajar tentang kesalahan pengkodean tipikal dan bagaimana menghindarinya
• Memahami pendekatan dan metodologi uji coba keamanan

Audiens

Manajer

Kursus ini menyediakan keterampilan penting untuk pengembang PHP yang diperlukan untuk memastikan aplikasi mereka tahan terhadap serangan kontemporer melalui Internet. Kerentanan web dibahas melalui contoh berbasis PHP yang melampaui OWASP top ten, menangani berbagai serangan injeksi, injeksi skrip, serangan terhadap penanganan sesi PHP, referensi objek langsung yang tidak aman, masalah dengan pengunggahan file, dan banyak lagi. Kerentanan terkait PHP diperkenalkan dalam kelompok jenis kerentanan standar seperti validasi input yang hilang atau tidak benar, penanganan kesalahan dan pengecualian yang tidak benar, penggunaan fitur keamanan yang tidak benar dan masalah terkait waktu dan keadaan. Untuk yang terakhir, kita membahas serangan seperti pengecualian open_basedir, denial-of-service melalui magic float atau serangan hash table collision. Dalam semua kasus, peserta akan memahami teknik dan fungsi yang paling penting untuk digunakan untuk mengurangi risiko yang tercantum.

Perhatian khusus diberikan pada keamanan sisi klien yang menangani masalah keamanan JavaScript, Ajax dan HTML5. Beberapa ekstensi terkait keamanan untuk PHP diperkenalkan seperti hash, mcrypt dan OpenSSL untuk kriptografi, atau Ctype, ext/filter dan HTML Purifier untuk validasi input. Praktik penguatan terbaik diberikan dalam hubungan dengan konfigurasi PHP (mengatur php.ini), Apache dan server secara umum. Akhirnya, diberikan gambaran umum tentang berbagai alat dan teknik pengujian keamanan yang dapat digunakan oleh pengembang dan penester, termasuk pemindai keamanan, uji penetrasi dan paket eksploitasi, pengintai, server proxy, alat fuzzing dan analisis kode sumber statis.

Pendahuluan tentang kerentanan dan praktik konfigurasi didukung oleh beberapa latihan praktis yang menunjukkan akibat serangan yang berhasil, menunjukkan cara menerapkan teknik mitigasi dan memperkenalkan penggunaan berbagai ekstensi dan alat.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI dan pemrograman aman
• Belajar tentang kerentanan web di luar OWASP Top Ten dan tahu bagaimana mencegahnya
• Belajar tentang kerentanan sisi klien dan praktik pemrograman aman
• Memiliki pemahaman praktis tentang kriptografi
• Belajar menggunakan berbagai fitur keamanan PHP
• Belajar tentang kesalahan pemrograman umum dan bagaimana mencegahnya
• Diberi informasi tentang kerentanan terkini dari framework PHP
• Memiliki pengetahuan praktis dalam menggunakan alat pengujian keamanan
• Mendapatkan sumber dan bacaan lanjut tentang praktik pemrograman aman

Pendapat

Pengembang

Pelatihan SDL core gabungan memberikan wawasan tentang desain, pengembangan, dan pengujian perangkat lunak yang aman melalui Microsoft Secure Development Lifecycle (SDL). Ini menyediakan tinjauan tingkat 100 dari blok-blok dasar SDL, diikuti oleh teknik desain untuk mendeteksi dan memperbaiki kelemahan pada tahap awal proses pengembangan.

Dalam fase pengembangan, kursus ini memberikan gambaran umum tentang bug-bug keamanan yang khas dari kode terkelola maupun natif. Metode serangan disajikan untuk kerentanan yang dibahas bersama dengan teknik mitigasi yang terkait, semuanya dijelaskan melalui sejumlah latihan praktis yang menyediakan kesenangan hacking langsung bagi peserta. Pengenalan metode pengujian keamanan diikuti dengan demonstrasi efektivitas berbagai alat pengujian. Peserta dapat memahami cara kerja alat-alat tersebut melalui sejumlah latihan praktis dengan menerapkan alat-alat tersebut pada kode yang rentan yang telah dibahas.

Peserta yang mengikuti kursus ini akan

Memahami konsep dasar keamanan, IT keamanan, dan pemrograman aman

Mengenal langkah-langkah esensial Microsoft Secure Development Lifecycle

Belajar praktik desain dan pengembangan yang aman

Memahami prinsip-prinsip implementasi yang aman

Memahami metodologi pengujian keamanan

• Mendapatkan sumber dan bacaan lebih lanjut tentang praktik pemrograman aman

Target Peserta

Pengembang, Manajer

Setelah mengenal dengan lebih dekat mengenai kelemahan dan metode serangan, peserta mempelajari pendekatan umum dan metodologi untuk pengujian keamanan, serta teknik-teknik yang dapat diterapkan untuk mengungkapkan kelemahan tertentu. Pengujian keamanan seharusnya dimulai dengan pengumpulan informasi tentang sistem (ToC, yaitu Target of Evaluation), kemudian pemodelan ancaman yang teliti harus mengungkapkan dan menilai semua ancaman, tiba di rencana pengujian yang paling sesuai yang didorong oleh analisis risiko.

Evaluasi keamanan dapat terjadi pada berbagai tahap SDLC, dan kami membahas ulasan desain, ulasan kode, rekognisi dan pengumpulan informasi tentang sistem, pengujian implementasi, serta pengujian dan perlindungan lingkungan untuk penyebaran yang aman. Beberapa teknik pengujian keamanan diungkapkan secara detail, seperti analisis penyusupan dan ulasan kode berbasis heuristik, analisis kode statis, pengujian dinamis kerentanan web atau fuzzing. Beberapa jenis alat diperkenalkan yang dapat diterapkan untuk mengotomatisasi evaluasi keamanan produk perangkat lunak, yang juga didukung oleh beberapa latihan, di mana kita menjalankan alat-alat tersebut untuk menganalisis kode rentan yang sudah dibahas. Beberapa kasus studi nyata mendukung pemahaman yang lebih baik tentang berbagai kelemahan.

Kursus ini mempersiapkan penester dan staf QA untuk merencanakan dan melaksanakan pengujian keamanan dengan tepat, memilih dan menggunakan alat dan teknik yang paling sesuai untuk menemukan bahkan kelemahan keamanan yang tersembunyi, dan dengan demikian memberikan keterampilan praktis penting yang dapat diterapkan pada hari kerja berikutnya.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT, dan pemrograman aman
• Mempelajari kerentanan web di luar OWASP Top Ten dan tahu bagaimana menghindari mereka
• Memahami kerentanan sisi klien dan praktik pemrograman aman
• Memahami pendekatan dan metodologi pengujian keamanan
• Mendapatkan pengetahuan praktis dalam menggunakan teknik dan alat pengujian keamanan
• Mendapatkan sumber dan bacaan lebih lanjut tentang praktik pemrograman aman

Audience

Pengembang, Penester

Melindungi aplikasi yang dapat diakses melalui web memerlukan profesional keamanan yang siap sedia dan selalu mengetahui metode serangan dan tren saat ini. Berbagai teknologi dan lingkungan yang memungkinkan pengembangan web aplikasi yang nyaman ada. Tidak hanya harus mengetahui masalah keamanan yang relevan dengan platform tersebut, tetapi juga semua kerentanan umum yang berlaku terlepas dari alat pengembangan yang digunakan.

Kursus ini memberikan gambaran mengenai solusi keamanan yang dapat diterapkan dalam aplikasi web, dengan fokus khusus pada pemahaman solusi kriptografi paling penting yang harus diterapkan. Kerentanan dalam aplikasi web diperlihatkan baik di sisi server (sesuai dengan OWASP Top Ten) dan sisi klien, yang ditunjukkan melalui serangan yang relevan, dan diikuti dengan teknik pengkodean yang direkomendasikan dan metode mitigasi untuk mengatasi masalah terkait. Subjek pengkodean aman dikemukakan dengan membahas beberapa kesalahan pemrograman yang berkaitan dengan keamanan dalam bidang validasi input, penggunaan yang tidak benar fitur keamanan dan kualitas kode.

Pengujian memainkan peran yang sangat penting dalam memastikan keamanan dan kestabilan aplikasi web. Berbagai pendekatan – dari audit tingkat tinggi hingga penetrasi testing dan hacking etis – dapat diterapkan untuk menemukan kerentanan dari berbagai jenis. Namun, jika ingin melampaui buah-buahan mudah yang dapat ditemukan, pengujian keamanan harus direncanakan dan dieksekusi dengan baik. Ingat: pengujian keamanan seharusnya menemukan semua bug untuk melindungi sistem, sedangkan untuk musuh cukup menemukan satu kerentanan yang dapat dieksploitasi untuk memasuki sistem tersebut.

Latihan praktis akan membantu memahami kerentanan aplikasi web, kesalahan pemrograman dan paling penting teknik mitigasi, bersama dengan percobaan tangan pertama berbagai alat pengujian dari scanner keamanan, penyelidik, proxy server, alat fuzzing hingga analisis kode sumber statis, kursus ini memberikan keterampilan praktis yang esensial yang dapat diterapkan di tempat kerja pada hari berikutnya.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan IT dan pengkodean aman
• Belajar tentang kerentanan web di luar OWASP Top Ten dan tahu cara menghindarinya
• Belajar tentang kerentanan sisi klien dan praktik pengkodean aman
• Memiliki pemahaman praktis tentang kriptografi
• Memahami pendekatan dan metodologi pengujian keamanan
• Mendapatkan pengetahuan praktis dalam menggunakan teknik dan alat pengujian keamanan
• Diberi informasi tentang kerentanan terbaru pada berbagai platform, kerangka kerja dan perpustakaan
• Mendapatkan sumber dan pembacaan lebih lanjut tentang praktik pengkodean aman

Audience

Pembuat aplikasi, penguji

Dalam kursus ini yang dipimpin instruktur secara langsung di Indonesia, peserta akan mempelajari cara memformulasi strategi keamanan yang tepat untuk menghadapi tantangan keamanan DevOps.

Kurs ini di Indonesia bertujuan untuk membantu dalam hal-hal berikut:

1. Membantu Pengembang untuk menguasai teknik penulisan kode yang aman
2. Membantu Pengetes Perangkat Lunak untuk mengecek keamanan aplikasi sebelum diterbitkan di lingkungan produksi
3. Membantu Arsitek Perangkat Lunak untuk memahami risiko yang mengelilingi aplikasi
4. Membantu Pemimpin Tim untuk menetapkan garis dasar keamanan bagi pengembang
5. Membantu Web Master untuk mengonfigurasi Server agar terhindar dari konfigurasi yang salah

Kursus ini menguras konsep dan prinsip pemrograman aman dengan Java melalui metode pengujian Open Web Application Security Project (OWASP). Open Web Application Security Project adalah sebuah komunitas online yang menciptakan artikel, metodologi, dokumentasi, alat, dan teknologi yang tersedia secara gratis di bidang keamanan aplikasi web.

Kursus ini membahas konsep dan prinsip pemrograman aman dengan ASP.net melalui metode pengujian Open Web Application Security Project (OWASP). OWASP adalah komunitas online yang membuat artikel, metodologi, dokumentasi, alat, dan teknologi yang tersedia secara gratis dalam bidang keamanan aplikasi web.

Kursus ini menjelajahi fitur keamanan Dot Net Framework dan cara memastikan keamanan aplikasi web.