Web Security with the OWASP Testing Framework培訓

描述：

本課程旨在為 ISACA 的註冊資訊系統審計師 （CRISC） 考試準備緊張而硬核的考試。ISACA CRISC 教學大綱的最新四 （4） 個領域將重點放在考試上。參加會議時還將提供官方 ISACA CRISC 複習手冊和問答和解釋 （Q，A&E） 補充。Q，A&E在説明代表們理解ISACA風格的問題，ISACA正在尋找的答案類型方面非常出色，它有助於快速記憶同化材料。

ISACA 在 CRISC 認證中推廣和評估的技術技能和實踐是該領域成功的基石。擁有 CRISC 認證證明瞭您在該行業的技能。隨著對具有風險和控制專業知識的專業人員的需求不斷增長，ISACA 的 CRISC 已將自己定位為全球個人和企業的首選認證計劃。CRISC 認證表示致力於為企業和所選專業提供卓越的服務。

目標：

• 説明您第一次通過 CRISC 考試。
• 擁有此認證將意味著您致力於為企業提供卓越的服務。
• 對具有風險和控制技能的專業人員的需求不斷增長，將使該認證的持有者能夠獲得更好的職位和薪水。

您將學習：

• 通過設計、實施、監控和維護基於風險、高效和有效的資訊系統控制，幫助企業實現業務目標。
• CRISC 提倡的技術技能和實踐，是該領域成功的基石。

這種以講師為主導的 台灣（在線或現場）現場培訓面向希望提高識別和管理IT風險和實施資訊系統控制的技能並準備 CRISC 認證考試的中級IT專業人員。

在培訓結束時，參與者將能夠：

• 瞭解IT的治理和風險管理方面。
• 進行IT風險評估並實施風險回應。
• 設計和實施資訊系統控制。
• 有效準備 CRISC 認證考試。

這種以講師為主導的台灣現場培訓（現場或遠端）面向希望使用IBM Qradar SIEM解決緊迫安全用例的安全工程師。

在培訓結束時，參與者將能夠：

• 跨本地和雲環境獲得對企業數據的可見性。
• 自動執行安全情報，以搜尋威脅並控制風險。
• 檢測、識別威脅並確定其優先順序。

這種以講師為主導的台灣現場培訓（現場或遠端）針對的是希望在保護自己免受類似影響的同時對第三方進行研究的人。

在培訓結束時，參與者將能夠：

• 安裝和配置用於執行 OSINT 的高級工具。
• 使用高級技術收集與調查相關的公開可用數據。
• 高效分析大量數據。
• 生成有關調查結果的情報報告。
• 利用 AI 工具進行面部識別和情緒分析。
• 制定戰略，定義目標，並將工作引向最相關和可操作的數據。

本開放源智能入門（OSINT）課程將為代表們提供技能，使他們能夠更有效地在互聯網和萬維網上找到關鍵的智能部分。該課程非常實用，使代表們有時間探索和了解可用的數百種工具和網站。
下一級別深入使用對隱蔽的互聯網調查和情報收集至關重要的高級工具。該課程非常實用，讓代表們有時間探索和理解所涵蓋的工具和資源。“

這種以講師為主導的台灣現場培訓（現場或遠端）涵蓋了企業安全的不同方面，從AI到資料庫安全。它還涵蓋了抵禦攻擊所需的最新工具、流程和思維方式。 

描述：

這個為期 2 天的 CCSK Plus 課程包括 CCSK 基礎課程的所有內容，並在第二天的培訓中通過廣泛的動手實驗對其進行擴展。學生將通過執行一系列練習來學習應用他們的知識，這些練習涉及將虛構組織安全地引入雲的場景。完成此培訓后，學生將為由 Cloud Security Alliance 贊助的 CCSK 認證考試做好充分準備。第二天的培訓包括額外的講座，儘管學生將在練習期間花費大部分時間評估、構建和保護雲基礎設施。

目標：

這是一個為期兩天的課程，從 CCSK- 基礎培訓開始，然後是第二天的額外內容和實踐活動

目標受眾：

本課程面向安全專業人員，但對於任何希望擴展雲安全知識的人也很有用。

本課程將幫助專業人員了解應用程序安全性的價值和限制。雖然應用程序安全主體提供了有關當今應用程序中某些主要風險的寶貴意識，但本課程將突出顯示好的和不太好的。

該課程至關重要，因為開發人員越來越需要以安全的方式進行編碼。將安全性作為質量組件引入開發週期至關重要。本課程旨在通過使用我們專門開發的不安全Web應用程序的實踐練習，向開發人員介紹各種安全漏洞。

Android是一款面向移動設備（如手機和平板電腦）的開放平台。它具有多種安全功能，可以更輕鬆地開發安全軟件;但是，它也缺少其他手持平台中存在的某些安全方面。本課程全面概述了這些功能，並指出了與底層Linux ，文件系統和環境相關的最重要的缺點，以及使用權限和其他Android軟件開發組件。

本機代碼和Java應用程序都描述了典型的安全隱患和漏洞，以及避免和減輕它們的建議和最佳實踐。在許多情況下，現實生活中的例子和案例研究都支持討論過的問題。最後，我們簡要概述瞭如何使用安全測試工具來揭示任何與安全相關的編程錯誤。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解Android上的安全解決方案
• 學習使用Android平台的各種安全功能
• 獲取有關Android Java最近一些漏洞的信息
• 了解典型的編碼錯誤以及如何避免錯誤
• 了解Android上的本機代碼漏洞
• 實現本機代碼中不安全緩衝區處理的嚴重後果
• 了解架構保護技術及其弱點
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

專業人士

目前有許多編程語言可用於將代碼編譯到.NET和ASP.NET框架。環境提供了強大的安全開發手段，但開發人員應該知道如何應用體系結構和編碼級編程技術，以實現所需的安全功能，避免漏洞或限制其利用。

本課程的目的是通過大量實踐練習教授開發人員如何防止不受信任的代碼執行特權操作，通過強身份驗證和授權保護資源，提供遠程過程調用，處理會話，為某些功能引入不同的實現，以及許多更多。一個特殊部分專門用於配置和強化.NET和ASP.NET環境以確保安全性。

對密碼學基礎的簡要介紹為理解各種算法的目的和操作提供了一個通用的實用基礎，基於該基礎，該課程提供了可在.NET中使用的加密功能。隨後引入了一些最近的加密漏洞，這些漏洞既與某些加密算法和加密協議有關，也與旁道攻擊有關。

引入不同的漏洞首先要介紹使用.NET時提交的一些典型編程問題，包括輸入驗證，錯誤處理或競爭條件的錯誤類別。特別關注XML安全性，而ASP.NET特定漏洞的主題解決了一些特殊問題和攻擊方法：如攻擊ViewState或字符串終止攻擊。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 學習使用.NET開發環境的各種安全功能
• 對密碼學有實際的了解
• 了解最近針對密碼系統的一些攻擊
• 獲取有關.NET和ASP.NET中最近一些漏洞的信息
• 了解典型的編碼錯誤以及如何避免錯誤
• 獲得使用安全測試工具的實用知識
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發商

即使對於可能事先使用過各種加密構建塊（例如加密和數字簽名）的開發人員來說，實現安全的網絡應用程序也很困難。為了使參與者理解這些加密原語的作用和用法，首先給出了安全通信的主要要求的堅實基礎 - 安全確認，完整性，機密性，遠程識別和匿名性 - 同時還提出了典型的問題，可能會破壞這些要求以及現實世界的解決方案。

作為網絡安全的一個關鍵方面是密碼學，還討論了對稱密碼學，散列，非對稱密碼學和密鑰協商中最重要的密碼算法。這些元素不是提供深入的數學背景，而是從開發人員的角度討論，顯示典型的用例示例和與加密使用相關的實際考慮因素，例如公鑰基礎結構。介紹了許多安全通信領域的安全協議，並對最廣泛使用的協議系列（如IPSEC和SSL / TLS）進行了深入討論。

討論了與某些加密算法和加密協議相關的典型加密漏洞，例如BEAST，CRIME，TIME，BREACH，FREAK，Logjam，Padding oracle，Lucky Thirteen，POODLE等，以及RSA定時攻擊。在每種情況下，都會針對每個問題描述實際考慮因素和潛在後果，同樣不需要深入研究數學細節。

最後，由於XML技術是網絡應用程序進行數據交換的核心，因此描述了XML的安全性方面。這包括在Web服務和SOAP消息中使用XML以及XML簽名和XML加密等保護措施 - 以及這些保護措施和XML特定安全問題（如XML注入， XML外部實體（XXE）攻擊）中的弱點， XML炸彈和XPath注入。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解安全通信的要求
• 了解不同OSI層的網絡攻擊和防禦
• 對密碼學有實際的了解
• 了解基本的安全協議
• 了解最近針對密碼系統的一些攻擊
• 獲取有關最近相關漏洞的信息
• 了解Web服務的安全性概念
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發人員，專業人士

遷移到雲在效率和成本方面為公司和個人帶來了巨大的好處。在安全性方面，影響是多種多樣的，但人們普遍認為使用雲服務會以積極的方式影響安全性。然而，即使在確定誰負責確保云資源的安全性方面，意見也會多次分歧。

涵蓋IaaS，PaaS和SaaS，首先討論基礎架構的安全性：強化和配置問題以及身份管理的各種身份驗證和授權解決方案，這些解決方案應該是所有安全架構的核心。接下來是關於法律和合同問題的一些基礎知識，即如何在雲中建立和管理信任。

通過雲安全的過程將繼續了解特定於雲的威脅以及攻擊者的目標和動機，以及針對雲解決方案採取的典型攻擊步驟。還特別關注審計雲並提供各級雲解決方案的安全評估，包括滲透測試和漏洞分析。

本課程的重點是應用程序安全問題，處理數據安全性和應用程序本身的安全性。從應用程序安全性的角度來看，雲計算安全性與一般軟件安全性沒有太大差別，因此基本上所有OWASP列入的漏洞在該領域也是相關的。正是這組威脅和風險產生了不同，因此通過列舉與預先討論的弱點相關的各種雲特定攻擊向量來結束訓練。

參加此課程的學員將

• 了解安全性，IT安全性和安全編碼的基本概念
• 了解雲域中的主要威脅和風險
• 了解基本的雲安全解決方案
• 獲取有關雲的信任和治理的信息
• 對密碼學有實際的了解
• 獲得有關雲中應用程序安全性的廣泛知識
• 了解OWASP Top Ten之外的Web漏洞並知道如何避免它們
• 了解審計和評估雲系統的安全性所面臨的挑戰
• 了解如何保護雲環境和基礎架構
• 獲取有關安全編碼實踐的資料和進一步閱讀材料

聽眾

開發人員，經理，專業人士

這個為期三天的課程涵蓋了保護C / C++代碼以防止可能利用內存管理和輸入處理利用代碼中的許多漏洞的惡意用戶的基礎知識，該課程涵蓋了編寫安全代碼的原則。