Cảm ơn bạn đã gửi yêu cầu! Một thành viên trong đội ngũ của chúng tôi sẽ liên hệ với bạn ngay lập tức.
Cảm ơn bạn đã gửi đặt chỗ! Một thành viên trong đội ngũ của chúng tôi sẽ liên hệ với bạn ngay lập tức.
Đề cương khóa học
A01:2025 - Kiểm soát Truy cập bị lỗi
A02:2025 - Cấu hình Bảo mật sai
A03:2025 - Thất bại trong Chuỗi Cung ứng Phần mềm
A04:2025 - Thất bại về Mã hóa
A05:2025 - Tiêm mã
A06:2025 - Thiết kế Bất an toàn
A07:2025 - Thất bại về Xác thực
A08:2025 - Thất bại về Tính Toàn vẹn Phần mềm hoặc Dữ liệu
A09:2025 - Thất bại về Ghi nhật ký và Báo động Bảo mật
A10:2025 - Xử lý Sai lệch Điều kiện Bất thường
A01:2025 Kiểm soát Truy cập bị lỗi - Kiểm soát truy cập thực thi chính sách sao cho người dùng không thể hành động ngoài quyền hạn mong muốn của họ. Các thất bại thường dẫn đến việc tiết lộ thông tin không được ủy quyền, sửa đổi hoặc hủy hoại tất cả dữ liệu, hoặc thực hiện chức năng kinh doanh ngoài giới hạn của người dùng.
A02:2025 Cấu hình Bảo mật sai - Cấu hình bảo mật là khi một hệ thống, ứng dụng hoặc dịch vụ đám mây được thiết lập không đúng từ góc độ bảo mật, tạo ra các lỗ hổng.
A03:2025 Thất bại trong Chuỗi Cung ứng Phần mềm - Các thất bại trong chuỗi cung ứng phần mềm là những sự cố hoặc vi phạm khác trong quá trình xây dựng, phân phối, hoặc cập nhật phần mềm. Chúng thường do các lỗ hổng hoặc thay đổi độc hại trong mã nguồn thứ ba, công cụ, hoặc các phụ thuộc khác mà hệ thống dựa vào.
A04:2025 Thất bại về Mã hóa - Nói chung, tất cả dữ liệu đang di chuyển nên được mã hóa tại lớp vận chuyển (OSI layer 4). Các rào cản trước đây như hiệu suất CPU và quản lý khóa riêng tư/chứng chỉ hiện đã được xử lý bởi các CPU có hướng dẫn thiết kế để tăng tốc mã hóa (ví dụ: hỗ trợ AES) và quản lý khóa riêng tư và chứng chỉ được đơn giản hóa bởi các dịch vụ như LetsEncrypt.org, với các nhà cung cấp đám mây lớn cung cấp các dịch vụ quản lý chứng chỉ tích hợp chặt chẽ hơn cho nền tảng cụ thể của họ. Ngoài việc bảo mật lớp vận chuyển, quan trọng là xác định dữ liệu nào cần mã hóa khi lưu trữ cũng như dữ liệu nào cần mã hóa thêm khi di chuyển (tại lớp ứng dụng, OSI layer 7). Ví dụ, mật khẩu, số thẻ tín dụng, hồ sơ sức khỏe, thông tin cá nhân, và bí mật kinh doanh yêu cầu bảo vệ thêm, đặc biệt nếu dữ liệu đó thuộc về các luật bảo mật, như Quy định Bảo vệ Dữ liệu Chung của EU (GDPR) hoặc các quy định như Tiêu chuẩn An ninh Dữ liệu PCI (PCI DSS).
A05:2025 Tiêm mã - Lỗ hổng tiêm mã là một lỗ hổng hệ thống cho phép kẻ tấn công chèn mã độc hại hoặc lệnh (như SQL hoặc shell code) vào các trường đầu vào của chương trình, lừa hệ thống thực thi mã hoặc lệnh đó như thể nó là một phần của hệ thống. Điều này có thể dẫn đến hậu quả truly dire.
A06:2025 Thiết kế Bất an toàn - Thiết kế bất an toàn là một danh mục rộng đại diện cho các yếu kém khác nhau, được diễn đạt là “thiếu hoặc không hiệu quả trong thiết kế kiểm soát.” Thiết kế bất an toàn không phải là nguồn gốc của tất cả các loại rủi ro Top Ten. Lưu ý rằng có sự khác biệt giữa thiết kế bất an toàn và triển khai bất an toàn. Chúng tôi phân biệt giữa các lỗi thiết kế và các lỗi triển khai vì chúng có những nguyên nhân gốc rễ khác nhau, diễn ra ở thời điểm khác nhau trong quá trình phát triển, và có các biện pháp khắc phục khác nhau. Một thiết kế bảo mật vẫn có thể có các lỗi triển khai dẫn đến lỗ hổng có thể bị khai thác. Một thiết kế bất an toàn không thể được sửa chữa bằng một triển khai hoàn hảo vì các kiểm soát bảo mật cần thiết chưa bao giờ được tạo ra để phòng chống các cuộc tấn công cụ thể. Một trong những yếu tố góp phần vào thiết kế bất an toàn là việc thiếu đánh giá rủi ro kinh doanh nội tại của phần mềm hoặc hệ thống đang phát triển, và do đó không xác định được mức độ thiết kế bảo mật cần thiết.
A07:2025 Thất bại về Xác thực - Khi một kẻ tấn công có thể lừa hệ thống nhận dạng người dùng không hợp lệ hoặc sai là chính đáng, lỗ hổng này tồn tại.
A08:2025 Thất bại về Tính Toàn vẹn Phần mềm hoặc Dữ liệu - Các thất bại về tính toàn vẹn phần mềm và dữ liệu liên quan đến mã và cơ sở hạ tầng không bảo vệ chống lại việc xử lý mã hoặc dữ liệu không hợp lệ hoặc không tin cậy như là tin cậy và hợp lệ. Một ví dụ về điều này là nơi ứng dụng dựa vào các plugin, thư viện, hoặc mô-đun từ nguồn không tin cậy, kho lưu trữ, và mạng phân phối nội dung (CDNs). Một CI/CD pipeline không an toàn không tiêu thụ và cung cấp các kiểm tra tính toàn vẹn phần mềm có thể giới thiệu khả năng truy cập trái phép, mã không an toàn hoặc độc hại, hoặc vi phạm hệ thống. Một ví dụ khác là CI/CD pulling code or artifacts từ nơi không tin cậy và/hoặc không xác minh chúng trước khi sử dụng (bằng cách kiểm tra chữ ký hoặc cơ chế tương tự).
A09:2025 Thất bại về Ghi nhật ký & Báo động Bảo mật - Không có ghi nhật ký và giám sát, các cuộc tấn công và vi phạm không thể được phát hiện, và không có báo động thì rất khó để phản ứng nhanh chóng và hiệu quả trong trường hợp sự cố bảo mật. Ghi nhật ký không đủ, giám sát liên tục, phát hiện, và báo động để khởi động các phản hồi chủ động xảy ra bất cứ khi nào
A10:2025 Xử lý Sai lệch Điều kiện Bất thường - Việc xử lý sai lệch điều kiện bất thường trong phần mềm xảy ra khi các chương trình không thể ngăn chặn, phát hiện và phản hồi đối với các tình huống bất thường và khó dự đoán, dẫn đến hỏng hóc, hành vi không mong muốn, và đôi khi là lỗ hổng. Điều này có thể liên quan đến một hoặc nhiều trong số 3 lỗi sau: ứng dụng không ngăn chặn tình huống bất thường xảy ra, nó không xác định tình huống khi đang xảy ra, và/hoặc nó phản hồi kém hoặc không phản hồi gì cả sau đó.
Chúng tôi sẽ thảo luận và trình bày các khía cạnh thực tế của:
Kiểm soát Truy cập bị lỗi
- Ví dụ thực tế về kiểm soát truy cập bị lỗi
- Các biện pháp kiểm soát truy cập bảo mật và tốt nhất
Cấu hình Bảo mật sai
- Ví dụ thực tế về cấu hình không đúng
- Các bước để phòng ngừa cấu hình không đúng, bao gồm quản lý cấu hình và các công cụ tự động hóa
Thất bại về Mã hóa
- Phân tích chi tiết về các thất bại mã hóa như thuật toán mã hóa yếu hoặc quản lý khóa không đúng cách
- Tầm quan trọng của các cơ chế mã hóa mạnh, giao thức bảo mật (SSL/TLS), và ví dụ về mã hóa hiện đại trong bảo mật web
Tiêm mã
- Phân tích chi tiết về tiêm SQL, NoSQL, OS, và LDAP
- Các kỹ thuật giảm thiểu sử dụng các câu lệnh chuẩn bị, truy vấn tham số hóa, và thoát đầu vào
Thiết kế Bất an toàn
- Chúng tôi sẽ khám phá các lỗi thiết kế có thể dẫn đến lỗ hổng, như xác thực đầu vào không đúng cách
- Chúng tôi sẽ nghiên cứu các chiến lược cho kiến trúc bảo mật và nguyên tắc thiết kế bảo mật
Thất bại về Xác thực
- Các vấn đề xác thực phổ biến
- Các chiến lược xác thực bảo mật, như xác thực đa yếu tố và quản lý phiên hợp lý
Thất bại về Tính Toàn vẹn Phần mềm hoặc Dữ liệu
- Tập trung vào các vấn đề như cập nhật phần mềm không tin cậy và can thiệp dữ liệu
- Cơ chế cập nhật an toàn và kiểm tra tính toàn vẹn dữ liệu
Thất bại về Ghi nhật ký và Giám sát Bảo mật
- Tầm quan trọng của việc ghi thông tin bảo mật liên quan và giám sát các hoạt động đáng ngờ
- Các công cụ và thực hành cho ghi nhật ký phù hợp và giám sát thời gian thực để phát hiện vi phạm sớm
Yêu cầu
- Hiểu biết tổng quát về vòng đời phát triển web
- Kinh nghiệm trong phát triển và bảo mật ứng dụng web
Đối tượng
- Nhà phát triển web
- Lãnh đạo
14 Giờ
Đánh giá (7)
đào tạo rất năng động và linh hoạt!
Valentina Giglio - Fincons SPA
Khóa học - OWASP Top 10
Dịch thuật bằng máy
Các bài tập thực hành
Pietro Colonna - Fincons SPA
Khóa học - OWASP Top 10
Dịch thuật bằng máy
Các thành phần tương tác và ví dụ.
Raphael - Global Knowledge
Khóa học - OWASP Top 10
Dịch thuật bằng máy
Phương pháp thực hành và Kiến thức của Giảng viên
RICARDO
Khóa học - OWASP Top 10
Dịch thuật bằng máy
Kiến thức của người huấn luyện viên thật phi thường
Patrick - Luminus
Khóa học - OWASP Top 10
Dịch thuật bằng máy
các bài tập, ngay cả khi nằm ngoài vùng an toàn của tôi.
Nathalie - Luminus
Khóa học - OWASP Top 10
Dịch thuật bằng máy
Giảng viên rất thông tin và thực sự am hiểu về chủ đề
Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Khóa học - OWASP Top 10
Dịch thuật bằng máy
