Jednodnevni kurs "PHP Security Coding"
Namenjen je developerima zaduženim za razvoj web aplikacija i servisa. Cilj kursa je da se studenti upoznaju sa aktuelnim opasnostima koje vrebaju na mreži, da saznaju na koji način pisanje nebezbednog koda može dovesti do njegove eksploatacije i da nauče kako da primenjuju stečeno znanje na rešavanje konkretnih problema.
Sadržaj kursa:
Namenjen je developerima zaduženim za razvoj web aplikacija i servisa. Cilj kursa je da se studenti upoznaju sa aktuelnim opasnostima koje vrebaju na mreži, da saznaju na koji način pisanje nebezbednog koda može dovesti do njegove eksploatacije i da nauče kako da primenjuju stečeno znanje na rešavanje konkretnih problema.
Sadržaj kursa:
- Uvod
• Uvod u bezbednost web aplikacija
• Uvod u PHP sa aspekta bezbednosti
- Podešavanje okruženja
• Web server (Apache, IIS)
• PHP.ini
• Kontrola grešaka
- Tipovi napada i njihova prevencija
• Nevalidirani sadržaj
• Izmena logike aplikacije (Command Injection)
• Izmena korisničkog interfejsa (Cross site scripting)
• Izmena podataka u bazi podataka (SQL injection, Blind SQL Injection)
• Greške u kontroli korisnika
• Problem sa korisničkim sesijama (Broken Account and Session Management, CSRF)
• Problem sa PRIVILEGIJAMA korisnika (Broken Access Control)
• Ostali problemi
• Kriptografske greške (Insecure Use of Cryptography)
• Prelivanje bafera (Buffer Overflow)
• AJAX i RIA problemi (SOAP, JSON, XML, Race Condition)
- Dodatni sadržaj
• Implemetacija bezbednosnih biblioteka (OWASP ESAPI)
• Egzotični problemi (HPP)