Skip to main content

Durata corso:

5 giorni

Costo:

€ 2.250

Luogo:

Live Virtual Classroom

OWASP

CODICE SIPV17

Il corso OWASP (Open Web Application Security Project) è un programma formativo dedicato alla sicurezza delle applicazioni web. OWASP è una comunità globale di esperti in sicurezza informatica che si concentra sulla creazione di risorse e linee guida per affrontare le minacce e le vulnerabilità nelle applicazioni web. Il corso è progettato per insegnare agli sviluppatori, ai tester di sicurezza e ai professionisti della sicurezza come proteggere le applicazioni web da potenziali attacchi e violazioni.

Modalità di erogazione
In aula o Live Virtual Classroom

Attestato di partecipazione
Al termine del corso verrà rilasciato l’attestato di frequenza

Contenuti del corso

Introduzione all’OWASP e alla Top 10

  • Storia dell’OWASP
  • Obiettivi e finalità della Top 10
  • Importanza della sicurezza delle applicazioni web

 

A01:2021 – Broken Access Control

  • Concetti fondamentali di controllo degli accessi
  • Autenticazione Autorizzazione
  • Tipologie di attacchi: elevazione dei privilegi, bypass dei controlli,
  • Lab pratica: dimostrazione di attacchi a controllo accessi
  • Misure preventive: least privilege, deny by default,

 

A02:2021 – Cryptographic Failures

  • Principi di base della crittografia
  • Vulnerabilità comuni: storage non protetto, algoritmi deprecati, chiavi deboli,
  • Lab pratica: exploit su sistemi crittografici deboli
  • Misure preventive: uso di standard moderni, rotazione delle chiavi,

 

A03:2021 – Injection

  • Fondamenti degli attacchi di iniezione: SQL, OS, LDAP,
  • XSS come sotto-categoria: stored, reflected, DOM-based
  • Lab pratica: SQL injection e XSS
  • Misure preventive: input validation, parameterized queries,

 

A04:2021 – Insecure Design

  • Fondamenti del design sicuro
  • Esempi di design insicuro e minacce associate
  • Lab pratica: analisi di schemi di progetto insicuri
  • Misure preventive: threat modeling, design patterns sicuri,

 

A05:2021 – Security Misconfiguration

  • Esempi comuni: server esposti, funzionalità di default,
  • Introduzione a XXE
  • Lab pratica: exploit di misconfigurazioni
  • Misure preventive: revisioni regolari, hardening,

 

A06:2021 – Vulnerable and Outdated Components

  • Rischi associati a componenti obsoleti o vulnerabili
  • Lab pratica: exploit su componenti obsoleti
  • Misure preventive: gestione delle dipendenze, patch management,

 

A07:2021 – Identification and Authentication Failures

  • Principi di autenticazione e identificazione
  • Vulnerabilità comuni: password deboli, MFA bypass,
  • Lab pratica: attacchi su meccanismi di autenticazione
  • Misure preventive: MFA, policy di password,

 

A08:2021 – Software and Data Integrity Failures

  • Importanza dell’integrità del software e dei dati
  • Rischi associati alle pipeline CI/CD
  • Lab pratica: attacchi sull’integrità del software
  • Misure preventive: firma digitale, verifica dell’integrità, ecc.

 

A09:2021 – Security Logging and Monitoring Failures

  • Principi di logging e monitoring
  • Lab pratica: analisi dei log per identificare attacchi
  • Misure preventive: configurazione di SIEM, alerting, ecc.

A10:2021 – Server-Side Request Forgery (SSRF)

  • Fondamenti di SSRF
  • Lab pratica: esempi di attacchi SSRF
  • Misure preventive: limitare le uscite, utilizzare allow-lists, ecc.

 

Conclusioni e Best Practices

  • Revisione e riflessione su quanto appreso
  • Prossimi passi per approfondire la sicurezza delle applicazioni web
  • Risorse aggiuntive e ulteriori letture

 

Partecipanti

sviluppatori, tester di sicurezza e professionisti della sicurezza

Prerequisiti

Il discente ideale ha già maturato le seguenti competenze:

  • Autonomia totale nell’utilizzo dei calcolatori elettronici basati sull’O.S. Windows
  • Dimestichezza nell’utilizzo di Browser di ricerca (ad Chrome)
  • Fondamenti di Algoritmi e Strutture dati
  • Fondamenti di programmazione in almeno un linguaggio di programmazione (Preferibilmente C#, Java o Python)
Obiettivi
  • Autonomia nella progettazione e sviluppo di soluzioni IT sicure e scalabili
  • Analisi della postura di CyberSecurity delle soluzioni esistenti con strumenti ad hoc
  • Fondamenti di Penetration Testing & Software Testing
  • Fondamenti di Code Analysis e tecniche per ottimizzare il TTM (Time to Market)
  • Fondamenti di Networking e Sistemi
Lingue
Italiano
Vuoi ulteriori info?

Torna a trovarci per conoscere i nuovi Corsi inseriti

Oppure richiedi informazioni sul corso che ti interessa nella sezione Contatti

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.