LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK I PRINCIPALI ATTACCHI ALLE APPLICAZIONI WEB E IL MODO DI SCONFIGGERLI ROMA 7-9 GIUGNO 2010 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it www.technologytransfer.it
I PRINCIPALI ATTACCHI ALLE APPLICAZIONI WEB E IL MODO DI SCONFIGGERLI DESCRIZIONE Questo workshop insegna ai partecipanti come sviluppare applicazioni sicure nel complesso ambiente interconnesso di oggi. I partecipanti riceveranno un approfondita spiegazione dei più prevalenti e pericolosi difetti di sicurezza nelle applicazioni di oggi. Inoltre essi riceveranno delle pratiche guidelines su come rimediare a questi comuni difetti in Java/J2EE e come fare il test nelle proprie applicazioni. Questa classe comincia con una descrizione dei problemi di sicurezza che si presentano oggi agli sviluppatori software che con una dettagliata descrizione dei Top 10 difetti di sicurezza dell OWASP (Open Application Security Project). Questi difetti verranno studiati nel corso del seminario, si faranno inoltre tanti esercizi per permettere ai partecipanti di imparare il modo per sfruttare i difetti nella realtà per violare un applicazione reale. (I laboratori saranno effettuati in ambienti di test sicuri.) Saranno studiate strategie e tecniche di riparazione per ciascun difetto. Sono infine presentate e discusse delle pratiche guidelines su come integrare pratiche sicure di sviluppo software all interno del processo di sviluppo. PARTECIPANTI Lo studente ideale di questo workshop è lo sviluppatore o architetto di applicazioni che vuole imparare le Best Practices per uno sviluppo software sicuro. È anche indicato per: Software Tester Sviluppatori software Manager di sviluppo e testing Auditor di sicurezza Analisti e Consulenti di Information Security Specialisti di Quality Assurance Si ricorda ai partecipanti di portare il laptop. Configurazioni raccomandate: Windows XP, IE 6.X o Firefox 3.X browser Privilegi amministrativi per installare e configurare software Circa 5 gigabytes di spazio sul disco 2 gigabyte di memoria
PROGRAMMA 1. Fase di preparazione: comprensione del problema Quali sono gli aspetti critici del software che è suscettibile a un attacco? Perché gli sviluppatori software continuano a sviluppare software debole? 2. Panoramica delle soluzioni possibili Discussione ad alto livello sulle Best Practices per sviluppare software sicuro Attività di sicurezza che possono essere integrate completamente in un tipico ciclo di vita di sviluppo software 3. Predisposizione del laboratorio e demo Gli studenti installano e configurano i tools software che devono essere usati nelle esercitazioni L istruttore spiega i tools e svolge un esercizio per far vedere ai partecipanti come usare correttamente i tools Esame dei fondamentali dell applicazione - Metodi HTTP (es. GET, POST) - Identificazione e Autenticazione - Session Management 4. Sfruttare le debolezze dell applicazione Introduzione ai Top 10 difetti di sicurezza dell OWASP nelle applicazioni Come gli aggressori sfruttano queste debolezze Esercizi sulle principali debolezze delle applicazioni 5. Processi di sviluppo sicuro Uno sguardo dettagliato sulle tre più comuni metodologie di sviluppo sicuro con i loro punti di forza e di debolezza: - SDL di Microsoft - Touchpoints di Cigital - CLASP di OWASP Discussione di gruppo sulla fattibilità dei processi 6. Processi in dettaglio: analisi del codice statico Descrizione dei processi di revisione del codice statico Revisione scrupolosa o revisione automatica: benefici e punti di debolezza Tecnologia disponibile sulla revisione automatica del codice statico Integrare efficacemente un tool di revisione di codice statico all interno di un processo di sviluppo software 7. Processi in dettaglio: testing di sicurezza Testing di sicurezza del software black box o white box Panoramica sulle più comuni metodologie e tools di sicurezza Penetration Testing Fuzz Testing Validazione dinamica 8. Esercitazioni sul Coding Esercitazioni pratiche per riparare una applicazione violata - SQL injection (OWASP Issue 1) - Cross-site scripting (OWASP Issue 2) - Access control 9. Getting started Gli elementi chiave per riuscire con un iniziativa di software security Sviluppo di un piano d azione Primi passi
INFORMAZIONI QUOTA DI PARTECIPAZIONE 1500 (+iva) La quota di partecipazione comprende documentazione, colazioni di lavoro e coffee breaks. LUOGO Roma, Visconti Palace Hotel Via Federico Cesi, 37 DURATA ED ORARIO 3 giorni: 9.30-13.00 14.00-17.00 È previsto il servizio di traduzione simultanea MODALITÀ D ISCRIZIONE Il pagamento della quota, IVA inclusa, dovrà essere effettuato tramite bonifico, codice Iban: IT 34 Y 03069 05039 048890270110 Banca Intesa Sanpaolo S.p.A. Ag. 6787 di Roma intestato alla Technology Transfer S.r.l. e la ricevuta di versamento inviata insieme alla scheda di iscrizione a: TECHNOLOGY TRANSFER S.r.l. Piazza Cavour, 3 00193 ROMA (Tel. 06-6832227 Fax 06-6871102) entro il 24 Maggio 2010 Vi consigliamo di far precedere la scheda d iscrizione da una prenotazione telefonica. CONDIZIONI GENERALI In caso di rinuncia con preavviso inferiore a 15 giorni verrà addebitato il 50% della quota di partecipazione, in caso di rinuncia con preavviso inferiore ad una settimana verrà addebitata l intera quota. In caso di cancellazione del seminario, per qualsiasi causa, la responsabilità della Technology Transfer si intende limitata al rimborso delle quote di iscrizione già pervenute. SCONTI DI GRUPPO Se un azienda iscrive allo stesso evento 5 partecipanti, pagherà solo 4 partecipazioni. Chi usufruisce di questa agevolazione non ha diritto ad altri sconti per lo stesso evento. ISCRIZIONI IN ANTICIPO I partecipanti che si iscriveranno al seminario 30 giorni prima avranno uno sconto del 5%. TUTELA DATI PERSONALI Ai sensi dell art. 13 della legge n. 196/2003, il partecipante è informato che i suoi dati personali acquisiti tramite la scheda di partecipazione al seminario saranno trattati da Technology Transfer anche con l ausilio di mezzi elettronici, con finalità riguardanti l esecuzione degli obblighi derivati dalla Sua partecipazione al seminario, per finalità statistiche e per l invio di materiale promozionale dell attività di Technology Transfer. Il conferimento dei dati è facoltativo ma necessario per la partecipazione al seminario. Il titolare del trattamento dei dati è Technology Transfer, Piazza Cavour, 3-00193 Roma, nei cui confronti il partecipante può esercitare i diritti di cui all art. 13 della legge n. 196/2003. KEN VAN WYK I PRINCIPALI ATTACCHI ALLE APPLICAZIONI WEB E IL MODO DI SCONFIGGERLI Roma 7-9 Giugno 2010 Visconti Palace Hotel Via Federico Cesi, 37 nome... cognome... funzione aziendale... azienda... partita iva... Timbro e firma Quota di iscrizione: 1500 (+iva) codice fiscale... indirizzo... In caso di rinuncia o di cancellazione dei seminari valgono le condizioni generali riportate all interno. città... cap... provincia... È previsto il servizio di traduzione simultanea telefono... fax... e-mail... Da restituire compilato a: Technology Transfer S.r.l. Piazza Cavour, 3-00193 Roma Tel. 06-6832227 - Fax 06-6871102 info@technologytransfer.it www.technologytransfer.it
DOCENTE Ken Van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro Incident Response and Secure Coding. È columnist di esecurityplanet e Visiting Scientist al Software Engineering Institute della Canergie Mellon University. Ha più di 20 anni di esperienza nel settore dell IT Security, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiose alla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Carnegie Mellon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Security Teams) ed è stato uno dei fondatori di CERT (Computer Emergency Response Team).