Kursus Pelatihan Pelatihan Pengembang .NET Aman (Incl OWASP)

Menerapkan aplikasi jaringan yang aman bisa jadi sulit, bahkan bagi pengembang yang mungkin telah menggunakan berbagai blok penyusun kriptografi (seperti enkripsi dan tanda tangan digital) sebelumnya. Agar peserta memahami peran dan penggunaan primitif kriptografi ini, pertama-tama diberikan dasar yang kuat tentang persyaratan utama komunikasi yang aman – pengakuan yang aman, integritas, kerahasiaan, identifikasi jarak jauh, dan anonimitas – sambil juga memaparkan masalah umum yang dapat merusak persyaratan ini beserta solusi di dunia nyata.

Karena kriptografi merupakan aspek penting dari keamanan jaringan, algoritma kriptografi terpenting dalam kriptografi simetris, hashing, kriptografi asimetris, dan kesepakatan kunci juga dibahas. Alih-alih menyajikan latar belakang matematika yang mendalam, elemen-elemen ini dibahas dari sudut pandang pengembang, dengan menunjukkan contoh kasus penggunaan yang umum dan pertimbangan praktis yang terkait dengan penggunaan kripto, seperti infrastruktur kunci publik. Protokol keamanan di banyak area komunikasi aman diperkenalkan, dengan pembahasan mendalam tentang keluarga protokol yang paling banyak digunakan seperti IPSEC dan SSL/TLS.

Kerentanan kripto yang umum dibahas terkait dengan algoritma kripto dan protokol kriptografi tertentu, seperti BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE dan sejenisnya, serta serangan pengaturan waktu RSA. Dalam setiap kasus, pertimbangan praktis dan konsekuensi potensial dijelaskan untuk setiap masalah, sekali lagi, tanpa membahas detail matematika yang mendalam.

Akhirnya, karena teknologi XML merupakan pusat pertukaran data oleh aplikasi jaringan, aspek keamanan XML dijelaskan. Ini termasuk penggunaan XML dalam layanan web dan pesan SOAP bersamaan dengan langkah-langkah perlindungan seperti tanda tangan XML dan enkripsi XML – serta kelemahan dalam langkah-langkah perlindungan tersebut dan masalah keamanan khusus XML seperti injeksi XML, serangan entitas eksternal XML (XXE), bom XML, dan injeksi XPath.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI, dan pengkodean aman
• Memahami persyaratan komunikasi yang aman
• Pelajari tentang serangan dan pertahanan jaringan di berbagai lapisan OSI
• Memiliki pemahaman praktis tentang kriptografi
• Memahami protokol keamanan penting
• Memahami beberapa serangan terbaru terhadap sistem kriptografi
• Dapatkan informasi tentang beberapa kerentanan terkait terkini
• Memahami konsep keamanan layanan Web
• Dapatkan sumber dan bacaan lebih lanjut tentang praktik pengkodean yang aman

Hadirin

Pengembang, Profesional

Menulis kode C dan C++ yang aman memerlukan pertahanan yang ketat terhadap eksploitasi jahat, korupsi memori, dan pengelakan validasi input. Program ini meninjau pola kerentanan termasuk buffer overflow, use-after-free, integer overflow, dan kebingungan tipe. Peserta menerapkan pedoman pemrograman aman, alat analisis statis, dan teknik pemrograman defensif untuk menghilangkan kelemahan, menegakkan sanitasi input, dan memberikan perangkat lunak yang diperkuat agar tahan terhadap serangan siber.

Bahkan programmer Java yang berpengalaman tidak selalu menguasai berbagai layanan keamanan yang ditawarkan oleh Java, dan juga tidak menyadari berbagai kerentanan yang relevan untuk aplikasi web yang ditulis dalam Java.

Kursus ini - selain memperkenalkan komponen keamanan Standard Java Edition - membahas isu-isu keamanan dari Java Enterprise Edition (JEE) dan layanan web. Pembahasan layanan spesifik didahului dengan dasar-dasar kriptografi dan komunikasi yang aman. Berbagai latihan berurusan dengan teknik keamanan deklaratif dan programatik di JEE, sementara keamanan lapisan transport dan akhir-ke-akhir dari layanan web dibahas. Penggunaan semua komponen disajikan melalui beberapa latihan praktis, di mana peserta dapat mencoba sendiri API dan alat yang dibahas.

Kursus ini juga membahas dan menjelaskan cacat pemrograman yang paling sering dan parah dari bahasa dan platform Java serta kerentanan terkait web. Selain bug khas yang dilakukan oleh programmer Java, kerentanan keamanan yang diperkenalkan mencakup isu-isu khusus bahasa dan masalah yang berasal dari lingkungan runtime. Semua kerentanan dan serangan yang relevan didemonstrasikan melalui latihan yang mudah dipahami, diikuti oleh pedoman pengkodean yang direkomendasikan dan teknik mitigasi yang mungkin.

Peserta yang mengikuti kursus ini akan

• Mengerti konsep dasar keamanan, keamanan TI, dan pengkodean yang aman
• Mempelajari kerentanan web di luar OWASP Top Ten dan tahu cara menghindarinya
• Mengerti konsep keamanan dari layanan web
• Mempelajari penggunaan berbagai fitur keamanan dari lingkungan pengembangan Java
• Memiliki pemahaman praktis tentang kriptografi
• Mengerti solusi keamanan dari Java EE
• Mempelajari kesalahan pengkodean umum dan cara menghindarinya
• Mendapatkan informasi tentang beberapa kerentanan terbaru dalam framework Java
• Mendapatkan pengetahuan praktis dalam menggunakan alat pengujian keamanan
• Mendapatkan sumber dan bacaan lebih lanjut tentang praktik pengkodean yang aman

Audience

Pengembang

Beragam bahasa pemrograman tersedia saat ini untuk mengompilasi kode ke dalam kerangka kerja .NET dan ASP.NET. Lingkungan ini menyediakan sarana yang kuat untuk pengembangan keamanan, namun pengembang harus mengetahui cara menerapkan teknik pemrograman pada tingkat arsitektur dan kode guna mengimplementasikan fungsionalitas keamanan yang diinginkan serta menghindari kerentanan atau membatasi eksploitasi terhadapnya.

Tujuan dari kursus ini adalah membekali para pengembang dengan berbagai latihan praktis mengenai cara mencegah kode yang tidak dapat dipercaya melakukan tindakan privilese, melindungi sumber daya melalui autentikasi dan otorisasi yang kuat, menyediakan panggilan prosedur jarak jauh, mengelola sesi, memperkenalkan berbagai implementasi untuk fungsionalitas tertentu, dan masih banyak lagi.

Pengenalan berbagai kerentanan dimulai dengan memaparkan beberapa masalah pemrograman umum yang terjadi saat menggunakan .NET, sementara diskusi mengenai kerentanan pada ASP.NET juga membahas berbagai pengaturan lingkungan serta dampaknya. Terakhir, topik kerentanan khusus ASP.NET tidak hanya membahas tantangan keamanan aplikasi web secara umum, tetapi juga isu-isu khusus dan metode serangan seperti serangan terhadap ViewState atau serangan terminasi string.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI, dan pemrograman yang aman
• Belajar tentang kerentanan web di luar OWASP Top Ten dan mengetahui cara menghindarinya
• Belajar menggunakan berbagai fitur keamanan dari lingkungan pengembangan .NET
• Mendapatkan pengetahuan praktis dalam penggunaan alat pengujian keamanan
• Belajar mengenai kesalahan pemrograman umum dan cara menghindarinya
• Mendapatkan informasi mengenai beberapa kerentanan terbaru pada .NET dan ASP.NET
• Mendapatkan sumber dan bacaan lanjutan mengenai praktik pemrograman yang aman

Target Peserta

Pengembang

Kursus ini menyediakan keterampilan penting untuk pengembang PHP yang diperlukan untuk memastikan aplikasi mereka tahan terhadap serangan kontemporer melalui Internet. Kerentanan web dibahas melalui contoh berbasis PHP yang melampaui OWASP top ten, menangani berbagai serangan injeksi, injeksi skrip, serangan terhadap penanganan sesi PHP, referensi objek langsung yang tidak aman, masalah dengan pengunggahan file, dan banyak lagi. Kerentanan terkait PHP diperkenalkan dalam kelompok jenis kerentanan standar seperti validasi input yang hilang atau tidak benar, penanganan kesalahan dan pengecualian yang tidak benar, penggunaan fitur keamanan yang tidak benar dan masalah terkait waktu dan keadaan. Untuk yang terakhir, kita membahas serangan seperti pengecualian open_basedir, denial-of-service melalui magic float atau serangan hash table collision. Dalam semua kasus, peserta akan memahami teknik dan fungsi yang paling penting untuk digunakan untuk mengurangi risiko yang tercantum.

Perhatian khusus diberikan pada keamanan sisi klien yang menangani masalah keamanan JavaScript, Ajax dan HTML5. Beberapa ekstensi terkait keamanan untuk PHP diperkenalkan seperti hash, mcrypt dan OpenSSL untuk kriptografi, atau Ctype, ext/filter dan HTML Purifier untuk validasi input. Praktik penguatan terbaik diberikan dalam hubungan dengan konfigurasi PHP (mengatur php.ini), Apache dan server secara umum. Akhirnya, diberikan gambaran umum tentang berbagai alat dan teknik pengujian keamanan yang dapat digunakan oleh pengembang dan penester, termasuk pemindai keamanan, uji penetrasi dan paket eksploitasi, pengintai, server proxy, alat fuzzing dan analisis kode sumber statis.

Pendahuluan tentang kerentanan dan praktik konfigurasi didukung oleh beberapa latihan praktis yang menunjukkan akibat serangan yang berhasil, menunjukkan cara menerapkan teknik mitigasi dan memperkenalkan penggunaan berbagai ekstensi dan alat.

Peserta yang mengikuti kursus ini akan

• Memahami konsep dasar keamanan, keamanan TI dan pemrograman aman
• Belajar tentang kerentanan web di luar OWASP Top Ten dan tahu bagaimana mencegahnya
• Belajar tentang kerentanan sisi klien dan praktik pemrograman aman
• Memiliki pemahaman praktis tentang kriptografi
• Belajar menggunakan berbagai fitur keamanan PHP
• Belajar tentang kesalahan pemrograman umum dan bagaimana mencegahnya
• Diberi informasi tentang kerentanan terkini dari framework PHP
• Memiliki pengetahuan praktis dalam menggunakan alat pengujian keamanan
• Mendapatkan sumber dan bacaan lanjut tentang praktik pemrograman aman

Pendapat

Pengembang

Pelatihan SDL core gabungan memberikan wawasan tentang desain, pengembangan, dan pengujian perangkat lunak yang aman melalui Microsoft Secure Development Lifecycle (SDL). Ini menyediakan tinjauan tingkat 100 dari blok-blok dasar SDL, diikuti oleh teknik desain untuk mendeteksi dan memperbaiki kelemahan pada tahap awal proses pengembangan.

Dalam fase pengembangan, kursus ini memberikan gambaran umum tentang bug-bug keamanan yang khas dari kode terkelola maupun natif. Metode serangan disajikan untuk kerentanan yang dibahas bersama dengan teknik mitigasi yang terkait, semuanya dijelaskan melalui sejumlah latihan praktis yang menyediakan kesenangan hacking langsung bagi peserta. Pengenalan metode pengujian keamanan diikuti dengan demonstrasi efektivitas berbagai alat pengujian. Peserta dapat memahami cara kerja alat-alat tersebut melalui sejumlah latihan praktis dengan menerapkan alat-alat tersebut pada kode yang rentan yang telah dibahas.

Peserta yang mengikuti kursus ini akan

Memahami konsep dasar keamanan, IT keamanan, dan pemrograman aman

Mengenal langkah-langkah esensial Microsoft Secure Development Lifecycle

Belajar praktik desain dan pengembangan yang aman

Memahami prinsip-prinsip implementasi yang aman

Memahami metodologi pengujian keamanan

• Mendapatkan sumber dan bacaan lebih lanjut tentang praktik pemrograman aman

Target Peserta

Pengembang, Manajer

Dalam kursus ini yang dipimpin instruktur secara langsung di Indonesia, peserta akan mempelajari cara memformulasi strategi keamanan yang tepat untuk menghadapi tantangan keamanan DevOps.

Workshop ini kelas dunia, terdepan, dan praktis membenamkan peserta dalam kenyataan-kenyataan kritis keamanan pipeline CI/CD modern. Dirancang untuk profesional keamanan, insinyur DevOps, dan pengembang yang bersemangat untuk menguasai pertahanan terhadap pelanggaran pipeline tingkat lanjut, pelatihan ini menggabungkan simulasi serangan langsung dengan alat-alat terkemuka di industri dan teknik pertahanan praktis.

EC-Council Certified DevSecOps Engineer (ECDE) adalah kursus praktis yang dirancang untuk membekali profesional dengan keterampilan untuk menyelipkan keamanan di seluruh siklus hidup DevOps, memungkinkan pengembangan perangkat lunak yang aman dari perencanaan hingga peluncuran.

Kursus langsung ini (daring atau tatap muka) ditujukan untuk profesional perangkat lunak dan DevOps tingkat menengah yang ingin mengintegrasikan praktik keamanan ke dalam pipa CI/CD, memastikan pengiriman kode yang aman dan sesuai.

Setelah selesai kursus ini, peserta akan dapat:

• Mengerti prinsip dan praktik DevSecOps.
• Melindungi setiap tahap pipa CI/CD menggunakan alat otomatisasi.
• Menerapkan praktik pengkodean yang aman dan pemindaian kelemahan.
• Mempersiapkan diri untuk sertifikasi ECDE dengan laboratorium praktis dan ulasan.

Format Kursus

• Lecture interaktif dan diskusi.
• Penggunaan langsung alat DevSecOps dalam pipa simulasi.
• Latihan terarah yang difokuskan pada pengembangan dan peluncuran yang aman.

Opsi Kustomisasi Kursus

• Jika Anda ingin meminta pelatihan khusus untuk kursus ini berdasarkan alur kerja atau rantai alat tim Anda, silakan hubungi kami untuk mengatur.

Berdasarkan panduan terbaru dari Proyek OWASP GenAI Security, peserta akan belajar untuk mengidentifikasi, menilai, dan meredakan ancaman spesifik AI melalui latihan praktis dan skenario dunia nyata.

Pelatihan ini dipandu oleh instruktur secara langsung (online atau tatap muka) ditujukan untuk pengembang web dan pemimpin yang ingin mengeksplorasi dan menerapkan standar referensi OWASP Top 10 untuk mengamankan aplikasi web mereka.

Pada akhir pelatihan ini, peserta akan dapat merancang strategi, menerapkan, mengamankan, dan memantau aplikasi web dan layanan mereka menggunakan dokumen OWASP Top 10.

Pelatihan daring langsung ini di Indonesia (daring atau di tempat) ditujukan bagi pengembang, insinyur, dan arsitek yang ingin menerapkan kerangka kerja, prinsip, dan teknik WSTG untuk melindungi aplikasi web dan layanan mereka.

Selesai pelatihan ini, peserta akan dapat:

• Menggunakan WSTG untuk menerapkan proses dan teknik pengujian dalam siklus hidup pengembangan web.
• Mengeksplorasi berbagai teknik pengujian untuk menyesuaikan kerangka kerja WSTG sesuai dengan kebutuhan bisnis.
• Melakukan metode pengujian keamanan yang berbeda untuk melindungi aplikasi web dari risiko dan serangan.
• Membuat laporan penilaian untuk mendokumentasikan temuan dan hasil pengujian keamanan.

Kurs ini di Indonesia bertujuan untuk membantu dalam hal-hal berikut:

1. Membantu Pengembang untuk menguasai teknik penulisan kode yang aman
2. Membantu Pengetes Perangkat Lunak untuk mengecek keamanan aplikasi sebelum diterbitkan di lingkungan produksi
3. Membantu Arsitek Perangkat Lunak untuk memahami risiko yang mengelilingi aplikasi
4. Membantu Pemimpin Tim untuk menetapkan garis dasar keamanan bagi pengembang
5. Membantu Web Master untuk mengonfigurasi Server agar terhindar dari konfigurasi yang salah

Kursus ini menguras konsep dan prinsip pemrograman aman dengan Java melalui metode pengujian Open Web Application Security Project (OWASP). Open Web Application Security Project adalah sebuah komunitas online yang menciptakan artikel, metodologi, dokumentasi, alat, dan teknologi yang tersedia secara gratis di bidang keamanan aplikasi web.