Visão Geral

Essa intensa classe de codificação é essencial para desenvolvedores experientes que precisam produzir serviços web seguros baseados em J2EE. Ao longo do curso, os alunos aprendem as melhores práticas para projetar, implementar e implantar serviços da Web seguros usando J2EE. Este curso é curto na teoria e longo na aplicação.

Examinaremos as práticas recomendadas para codificação defensiva de serviços da Web J2EE, incluindo o uso de WS-Security, quando apropriado. Por fim, um conjunto de padrões de segurança J2EE é examinado com um laboratório que aplica um padrão de segurança na defesa contra um ataque complexo real de serviço da Web.

Objetivo

Após a conclusão deste curso, você será capaz de:

• Entenda as fontes potenciais de dados não confiáveis
• Entenda as consequências de não lidar adequadamente com dados não confiáveis, como negação de serviço, scripts entre sites e injeções
• Ser capaz de testar serviços da Web com várias técnicas de ataque para determinar a existência e a eficácia das defesas em camadas
• Prevenir e defender a vulnerabilidade potencial associada a dados não confiáveis
• Compreender as vulnerabilidades associadas à autenticação e autorização no contexto de serviços da web
• Ser capaz de detectar, atacar e implementar defesas para funcionalidade de autenticação e autorização
• Entenda os perigos e os mecanismos por trás dos ataques Cross-Site Scripting (XSS) e de injeção
• Ser capaz de detectar, atacar e implementar defesas contra ataques XSS e Injection
• Entenda os conceitos e a terminologia por trás da codificação defensiva, segura
• Compreender o uso do Threat Risk Modeling como uma ferramenta na identificação de vulnerabilidades de software com base em ameaças realistas contra ativos significativos
• Realize revisões de código estático e testes dinâmicos de aplicativos para descobrir vulnerabilidades em serviços da Web baseados em Java
• Compreender os fundamentos da Criptografia XML e como ela pode ser usada como parte da infraestrutura defensiva para serviços da Web
• Compreender os fundamentos da Assinatura Digital XML e como ela pode ser usada como parte da infraestrutura defensiva para serviços da web
• Entender e defender vulnerabilidades específicas de analisadores XML e XML

Publico Alvo

• Este é um curso de J2EE/Web Services de nível intermediário a avançado, projetado para desenvolvedores que desejam começar a trabalhar no desenvolvimento de serviços da Web bem defendidos.
  

Pre-Requisitos

• A familiaridade com Java e J2EE é necessária e a experiência de programação do mundo real é altamente recomendada. Idealmente, os alunos devem ter aproximadamente 6 meses a um ano de conhecimento de trabalho Java e J2EE. Além disso, é necessária experiência e/ou conhecimento de trabalho de serviços da Web e processamento de XML no J2EE. Este curso começa imediatamente atacando e defendendo web services implementados em J2EE. Não há familiarização preliminar com J2EE ou Web Services.
  

Informações Gerais

Carga Horária: 32h

• Se noturno este curso é ministrado de Segunda-feira à sexta-feira, das 19h às 23h
• Se aos sábados este curso é ministrado das 9h às 18h
• Se in-company por favor fazer contato para mais detalhes.

Formato de entrega: 

• 100% on-line ao vivo, via Microsoft Teams na presença de um instrutor/consultor ativo no mercado.
• Nota: não é curso gravado. 

Lab:

• Laboratório + Exercícios práticos

Materiais

Conteúdo Programatico

Foundation

1. Terminology and Players
2. Assets, Threats, and Attacks
3. OWASP
4. Basic Principles
5. Reality
6. Survey of recent, relevant incidents
7. Lab to find the security defects in an existing web service
8. Defending XML Processing and Web Services
9. Understanding common attacks and how to defend
10. Operating in safe mode
11. Appropriate protocol layer for WS Security
12. Using standards-based security
13. XML-aware security infrastructure
14. WSDL protection
15. Message validation, compliance, and inspection

Top Ten Security Vulnerabilities

1. Unvalidated Input
2. Description with working web service example
3. Defenses
4. Identifying trust boundaries Qualifying untrusted data
5. Implementing a layered defense that effectively protects quality of service as well as data integrity
6. Designing an appropriate response to a recognized attack
7. Testing defenses and responses for weaknesses

 Broken Access Control

1. Description with working web service example
2. Defenses
3. Defending special privileges such as
4. inistrative functions
5. Application authorization best practices

Broken Authentication and Session Management

1. Description with working web service example
2. Defenses
3. Multi-layered defenses of authentication services

Cross Site Scripting (XSS) Flaws

1. Description with working web service example
2. Defenses
3. Character encoding complications
4. Blacklisting
5. Whitelisting
6. HTML/XML entity encoding
7. Understanding the implications of trust boundary definition
8. Implementing a layered defense that effectively protects quality of service as well as XSS vulnerabilities
9. Designing an appropriate response to a recognized attack

Buffer Overflows

1. Description with working example
2. Defenses
3. Java’s strong typing
4. Java’s memory model

Injection Flaws

1. Description with working web service example
2. Defenses
3. Qualifying untrusted data
4. JDBC with Prepared Statements
5. Hibernate best practices
6. XML best practices
7. Implementing a layered defense that effectively protects quality of service as well as injection vulnerabilities
8. Designing an appropriate response to a recognized attack

Improper Error Handling, Auditing, and Logging

1. Description with working web service example
2. Defenses
3. Web service exception handling
4. Error response best practices
5. Error, auditing, and logging content management
6. Error, auditing, and logging service management
7. Best practices for supporting web service attack forensics

Insecure Storage

1. Description with working web service example
2. Defenses
3. Data leakage
4. Risk minimization
5. Cryptography Overview
6. Working with XML Encryption

Insecure Management of Configuration

1. Description with working example
2. Defenses

Dynamic Loading

1. Description with working web service example
2. Defenses
3. XML/DTD/Schema/XSLT best practices

WS-Security

1. WS-Security
2. WS-Security Stack
3. J2EE and WS-Security
4. Best Practices
5. XML Digital Signature
6. Architecture
7. Working with XML Digital Signature
8. Integrating XML Digital Signature into Web Services
9. Best Practices

Best Practices and Design Patterns

1. Defensive Coding Principles
2. Attack Surface Management
3. Application States
4. Defense in Depth
5. Not Trusting the Untrusted
6. No Security through Obscurity
7. Security Defect Mitigation
8. Leverage Experience
9. J2EE Web Application Security Design Patterns
10. Authentication Enforcer
11. Authorization Enforcer
12. Intercepting Validator
13. Secure Base Action
14. Secure Logger
15. Secure Pipe
16. Secure Service Proxy
17. Intercepting Web Agent

Secure Design and Analysis

1. Design and Analysis Processes
2. Motivation
3. Security Development Lifecycle (SDL)
4. CLASP applied
5. Application of Design and Analysis Processes
6. Threat Risk Modeling
7. Testing and Review Best Practices