Descrizione

Il corso consente di sviluppare competenze teoriche e pratiche avanzate per lo sviluppo di SW e applicazioni sicure, con particolare riferimento alle best practices di controllo OWASP. Inoltre, il corso si pone l’obiettivo di far comprendere come interpretare i risultati delle attività di VA e PT, definendo le relative contromisure.

Durata

Il corso ha la durata di 32 ore, tipicamente erogate in 4 giornate full-time.

Programma

• Introduzione alla OWASP Top 10
• OWASP Top 10: A1 Injection
• OWASP Top 10: A2 Broken Authentication
• OWASP Top 10: A3 Sensitive Data Exposure
• OWASP Top 10: A4 XML External Entities (XXE)
• OWASP Top 10: A5 Broken Access Control
• OWASP Top 10: A6 Security Misconfiguration
• OWASP Top 10: A7 Cross-Site Scripting (XSS)
• OWASP Top 10: A8 Insecure Deserialization
• OWASP Top 10: A9 Using Components with Known Vulnerabilities
• OWASP Top 10: A10 Insufficient Logging and Monitoring
• CSRF
• VA/PT fasi, operazioni e remediation (ad alto livello)
• OWASP Static Code Analysis (SCA)
• Code development best-practices
• Code testing best-practices
• Tools per Code Review, Testing, Analytics ecc.

Modalità e metodologia

Il corso è erogabile sia in presenza che da remoto e prevede parti di lezione frontale al fine di introdurre i concetti chiave e parti di laboratorio per le esercitazioni pratiche dei concetti appresi.