LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK BREAKING AND FIXING WEB APPLICATIONS SECURITY PENETRATION TESTING IOS APPS ROMA 8-9 GIUGNO 2015 ROMA 10-11 GIUGNO 2015 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it www.technologytransfer.it
BREAKING AND FIXING WEB APPLICATIONS SECURITY DESCRIZIONE Questa classe si rivolge a esperti sviluppatori software di applicazioni Web che vogliono una veloce ma intensa immersione nelle problematiche legate agli aspetti di sicurezza delle applicazioni Web. La classe è costruita attorno a una serie di esercitazioni pratiche durante le quali i partecipanti impareranno i dettagli dei più grandi e importanti difetti di sicurezza delle applicazioni Web e il modo per sfruttarli. Saranno poi sviluppati una serie di laboratori durante i quali i partecipanti impareranno a trovare soluzioni a questi difetti implementando appropriati rimedi in una applicazione Web basata su Java. Questo approccio rapido di violare e rimediare, permette ai partecipanti di capire approfonditamente i più grandi problemi di sicurezza che affliggono oggi gli sviluppatori di applicazioni Web. In particolare i partecipanti impareranno: Come trovare e sfruttare i comuni difetti di sicurezza nelle moderne applicazioni Web Una dettagliata esposizione di OWASP-10 (e altri) sui difetti di sicurezza dell applicazione Web Come correggere un applicazione Web per proteggerla dai più comuni problemi di sicurezza Come progettare e implementare le correzioni di sicurezza nelle applicazioni Web (Gli esempi sono in Java ma facilmente applicabili ad altri linguaggi Web) ParteciPanti Sviluppatori di applicazioni Web Progettisti di applicazioni Web Architetti di applicazioni Web I coding labs sono fatti in Java, ma i concetti sono facilmente adattabili ad altri linguaggi. richiesta Per poter fare le esercitazioni i partecipanti dovranno portare un laptop in grado di installare una macchina virtuale VirtualBox basata su Linux. Quindi dovrebbero avere almeno 8Gb di Ram e 20 Gb di hard disk. Suggeriamo di installare nel proprio Laptop la versione corrente di Virtualbox (www.virtualbox.org) prima dello svolgimento del workshop.
PROGRAMMA PRImA GIORnAtA SeCOndA GIORnAtA 1. introduzione e fase di preparazione Breve introduzione della classe, esercitazioni e aspettative I partecipanti installano e configurano i tools che devono essere usati durante le esercitazioni Il docente mostra i tools e attraverso un esempio si accerta che tutti i partecipanti possano usare questi tools correttamente 2. Breaking Web application security Una carrellata sui numerosi difetti che riguardano la sicurezza delle applicazioni Web includendo i principali 10 rischi OWASP - Injection flaws (includendo SQLi) - Cross-site scripting (XSS) 3. continued Ulteriori esercitazioni sui numerosi difetti che riguardano la sicurezza delle applicazioni Web includendo i principali 10 rischi OWASP - Probemi di autenticazione e session management - Cross-site request forgery (CSRF) 7. coding labs: fixing Web application security Una panoramica sull architettura e il codice dell applicazione usata nelle esercitazioni esercitazioni partiche per scoprire difetti e ripararli - XSS Una carrellata e una discussione su tutto il codice sorgente usato per rimediare alle vulnerabilità 8. continued esercitazioni pratiche per scoprire difetti e ripararli - SQL Injection 9. continued esercitazioni pratiche per scoprire difetti e ripararli - Access Control 10. continued esercitazioni pratiche per scoprire difetti e ripararli - Altre vulnerabilità 4. continued Ulteriori esercitazioni sui numerosi difetti che riguardano la sicurezza delle applicazioni Web includendo i principali 10 rischi OWASP - Access control - Server misconfiguration 5. continued Ulteriori esercitazioni sui numerosi difetti che riguardano la sicurezza delle applicazioni Web includendo i principali 10 rischi OWASP - Fiducia sui componenti deboli - Qualità del codice con conseguenti rischi per la sicurezza 11. applicazione I partecipanti utilizzeranno quello che hanno appreso durante le lezioni e faranno esercitazioni per risolvere un puzzle che è altamente significativo relativo all attacco e al testing di una moderna applicazione Web 12. Domande e risposte 13. conclusioni 6. Domande e risposte
PENETRATION TESTING IOS APPS DESCRIZIONE Questo seminario spiega le tecniche per testare la sicurezza delle applicazioni ios. I partecipanti impareranno come analizzare staticamente e dinamicamente le applicazioni ios sia per l implementazione che per i difetti di sicurezza architetturali. dopo una breve descrizione della security architecture sia hardware che software di ios, il seminario si inoltrerà in una miriade di trabocchetti di sicurezza fatti da molti sviluppatori. Ogni punto di debolezza è descritto in dettaglio ed esplorato nei laboratori per permettere ai partecipanti di capire completamente i dettagli. Si comincia da semplici problemi per arrivare a problemi molto più complessi e avanzati che culmineranno nell uso di attacchi man in the App contro le applicazioni che stanno girando. Usando le tecniche mita, l architettura delle apps è attivamente investigata ed esplorata attraverso le debolezze dell ambiente sottostante Objective C runtime per trovare punti deboli nei controlli di sicurezza dal lato client. Questo range di analisi statica e dinamica delle apps permette a chi esegue il test di mettere in campo un largo range di test di sicurezza su qualsiasi target ios app. In particolare i partecipanti impareranno: Una spiegazione dettagliata dell architettura di sicurezza del Sistema operativo ios di Apple Una spiegazione dettagliata dei più comuni difetti di sicurezza delle app ios Come condurre un analisi statica di una app ios per trovare comuni difetti di sicurezza Come condurre un analisi dinamica di una app ios per trovare difetti di sicurezza architetturali e di comunicazioni ParteciPanti ios Security testers Sviluppatori Progettisti Architetti richiesta Per partecipare attivamente alle esercitazioni i partecipanti dovranno portare un laptop provvisto di un completo ambiente di sviluppo ios (Xcode) già installato. (disponibile gratuitamente sul sito della Apple Computer, Inc.). Per fare tutti gli esercizi includendo gli attacchi mita è necessario avere un jailbroken ios device. noi raccomandiamo di usare un device dedicato per il testing.
PROGRAMMA PRImA GIORnAtA SeCOndA GIORnAtA 1. introduzione e setup del tool Una breve introduzione ai problemi di sicurezza legati allo sviluppo e al testing di ios apps Obiettivi della classe e i tools usati nei labs 2. architettura di sicurezza della piattaforma discussione dettagliata delle caratteristiche di sicurezza della piattaforma ios - Sandboxing - Hardware encryption - Pasteboard esercitazione per esplorare le caratteristiche di iphone Simulator e hardware device 3. continued dettagli ed esercitazioni di punti di debolezza in termini di sicurezza della piattaforma ios - Screen shots - Cut-n-past buffer - Autocorrect cache 3. architettura dell applicazione Una descrizione dettagliata delle caratteristiche di sicurezza dell app ios - App sadnbox file space - data protection esercizi 4. continued Ulteriori caratteristiche, possibilità e debolezze di sicurezza di ios - Keychains - App screen shots - App caches 6. Jailbreaking Una discussione dettagliata su come lavora Jailbreaking - Files e folders esposti da Jailbreak esercizi per esplorare dati su un device jailbroken (fornito dagli studenti) - esplorazione sui files fuori dagli ambienti normali sandbox 7. continued esercizi per eseguire una analisi statica di qualsiasi app ios - Come trovare potenziali difetti architetturali - mappare in maniera statica una app ios per determinare le sue componenti, le librerie collegate ecc 8. analisi dinamica dell app a run-time Uno sguardo dettagliato al ventre molle di Objective-C s, il suo ambiente Run-time Un esplorazione dinamica di una app che gira per conoscere la sua architettura - Oggetti e metodi nella memoria di processo testing della sicurezza di un ambiente Run-time dall interno dell app esercizi per esplorare una app ios usando le tecniche man in the App 9. Mettere tutto insieme Come fare in modo che le tecniche descritte durante questa classe diventino un processo rigoroso di testing della sicurezza 10. conclusioni 5. Domande e risposte
INFORMAZIONI QUOTA DI PARTECIPAZIONE Breaking and fixing Web applications security 1200 (+iva) Penetration testing ios apps 1200 (+iva) La partecipazione ad entrambi i seminari viene offerta ad una speciale quota 2300 (+iva) La quota di partecipazione comprende documentazione, colazioni di lavoro e coffee breaks. LUOGO Roma, Visconti Palace Hotel Via Federico Cesi, 37 DURATA ED ORARIO 2 giorni/ 2 giorni: 9.30-13.00 14.00-17.00 È previsto il servizio di traduzione simultanea MODALITÀ D ISCRIZIONE Il pagamento della quota, IVA inclusa, dovrà essere effettuato tramite bonifico, codice IBAn: It 03 W 06230 03202 000057031348 Banca: Cariparma Agenzia 1 di Roma intestato alla technology transfer S.r.l. e la ricevuta di versamento inviata insieme alla scheda di iscrizione a: technology transfer S.r.l. Piazza Cavour, 3 00193 ROmA (tel. 06-6832227 Fax 06-6871102) entro il 25 Maggio 2015 Vi consigliamo di far precedere la scheda d iscrizione da una prenotazione telefonica. CONDIZIONI GENERALI In caso di rinuncia con preavviso inferiore a 15 giorni verrà addebitato il 50% della quota di partecipazione, in caso di rinuncia con preavviso inferiore ad una settimana verrà addebitata l intera quota. In caso di cancellazione del seminario, per qualsiasi causa, la responsabilità della technology transfer si intende limitata al rimborso delle quote di iscrizione già pervenute. SCONTI I partecipanti che si iscriveranno al seminario 30 giorni prima avranno uno sconto del 5%. Se un azienda iscrive allo stesso evento 5 partecipanti, pagherà solo 4 partecipazioni. Gli sconti per lo stesso evento non sono cumulabili fra di loro. TUTELA DATI PERSONALI Ai sensi dell art. 13 della legge n. 196/2003, il partecipante è informato che i suoi dati personali acquisiti tramite la scheda di partecipazione al seminario saranno trattati da technology transfer anche con l ausilio di mezzi elettronici, con finalità riguardanti l esecuzione degli obblighi derivati dalla Sua partecipazione al seminario, per finalità statistiche e per l invio di materiale promozionale dell attività di technology transfer. Il conferimento dei dati è facoltativo ma necessario per la partecipazione al seminario. Il titolare del trattamento dei dati è technology transfer, Piazza Cavour, 3-00193 Roma, nei cui confronti il partecipante può esercitare i diritti di cui all art. 13 della legge n. 196/2003. KEN VAN WYK Breaking and Fixing WeB applications security nome... cognome... Roma 8-9 Giugno 2015 Visconti Palace Hotel - Via Federico Cesi, 37 Quota di iscrizione: 1200 (+iva) PenetratiOn testing ios apps Roma 10-11 Giugno 2015 Visconti Palace Hotel - Via Federico Cesi, 37 Quota di iscrizione: 1200 (+iva) entrambi i seminari Quota di iscrizione per entrambi i seminari: 2300 (+iva) In caso di rinuncia o di cancellazione dei seminari valgono le condizioni generali riportate all interno. È previsto il servizio di traduzione simultanea funzione aziendale... azienda... partita iva... codice fiscale... indirizzo... città... cap... provincia... telefono... fax... e-mail... Timbro e firma Da restituire compilato a: Technology Transfer S.r.l. Piazza Cavour, 3-00193 Roma Tel. 06-6832227 - Fax 06-6871102 info@technologytransfer.it www.technologytransfer.it
DOCENTE ken van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro incident response and secure coding. È columnist di esecurityplanet e Visiting Scientist al Software engineering Institute della Canergie mellon University. Ha più di 20 anni di esperienza nel settore dell It Security, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiose alla tekmark, Para-Protect, SAIC oltre che al dipartimento della difesa e alle Università di Canergie mellon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRSt (Forum of Incident Response and Security teams) ed è stato uno dei fondatori di CeRt (Computer emergency Response team).