LA TECHNOLOGY TRANSFER PRESENTALA TECHNOLOGY TRANSFER PRESENTA

ALLE APPLICAZIONI WEBI PRINCIPALI ATTACCHI

E IL MODODI SCONFIGGERLI

KENVAN WYK

ROMA 7-9 GIUGNO 2010VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37

info@technologytransfer.itwww.technologytransfer.it

I PRINCIPALI ATTACCHI ALLE APPLICAZIONI WEB E IL MODO DI SCONFIGGERLI

DESCRIZIONE

Questo workshop insegna ai partecipanti come sviluppare applicazioni Web sicure nel complesso ambiente in-terconnesso di oggi. I partecipanti riceveranno un’approfondita spiegazione dei più prevalenti e pericolosi difettidi sicurezza nelle applicazioni di oggi. Inoltre essi riceveranno delle pratiche guidelines su come rimediare aquesti comuni difetti in Java/J2EE e come fare il test nelle proprie applicazioni.Questa classe comincia con una descrizione dei problemi di sicurezza che si presentano oggi agli sviluppatorisoftware che con una dettagliata descrizione dei “Top 10” difetti di sicurezza dell’OWASP (Open Web Applica-tion Security Project). Questi difetti verranno studiati nel corso del seminario, si faranno inoltre tanti esercizi perpermettere ai partecipanti di imparare il modo per sfruttare i difetti nella realtà per “violare” un’applicazioneWeb reale. (I laboratori saranno effettuati in ambienti di test sicuri.)Saranno studiate strategie e tecniche di riparazione per ciascun difetto. Sono infine presentate e discusse dellepratiche guidelines su come integrare pratiche sicure di sviluppo software all’interno del processo di sviluppo.

PARTECIPANTI

Lo studente ideale di questo workshop è lo sviluppatore o architetto di applicazioni Web che vuole imparare leBest Practices per uno sviluppo software sicuro. È anche indicato per:

• Software Tester• Sviluppatori software• Manager di sviluppo e testing• Auditor di sicurezza• Analisti e Consulenti di Information Security• Specialisti di Quality Assurance

Si ricorda ai partecipanti di portare il laptop. Configurazioni raccomandate:

• Windows XP, IE 6.X o Firefox 3.X browser• Privilegi amministrativi per installare e configurare software• Circa 5 gigabytes di spazio sul disco• 2 gigabyte di memoria

PROGRAMMA

1. Fase di preparazione:comprensione del problema

• Quali sono gli aspetti critici delsoftware che è suscettibile a unattacco?

• Perché gli sviluppatori softwarecontinuano a sviluppare softwaredebole?

2. Panoramica delle soluzionipossibili

• Discussione ad alto livello sulleBest Practices per svilupparesoftware sicuro

• Attività di sicurezza che possonoessere integrate completamentein un tipico ciclo di vita di svilupposoftware

3. Predisposizione del laborato-rio e demo

• Gli studenti installano e configu-rano i tools software che devonoessere usati nelle esercitazioni

• L’istruttore spiega i tools e svolgeun esercizio per far vedere aipartecipanti come usare corret-tamente i tools

• Esame dei fondamentali dell’ap-plicazione Web- Metodi HTTP (es.GET, POST)- Identificazione e Autenticazione- Session Management

4. Sfruttare le debolezze dell’ap-plicazioneWeb

• Introduzione ai “Top 10” difetti disicurezza dell’OWASP nelle ap-plicazioni Web

• Come gli aggressori sfruttanoqueste debolezze

• Esercizi sulle principali debolez-ze delle applicazioni Web

5. Processi di sviluppo sicuro

• Uno sguardo dettagliato sulle trepiù comuni metodologie disviluppo sicuro con i loro punti diforza e di debolezza:- SDL di Microsoft- Touchpoints di Cigital- CLASP di OWASP

• Discussione di gruppo sulla fat-tibilità dei processi

6. Processi in dettaglio:analisi del codice statico

• Descrizione dei processi di revi-sione del codice statico

• Revisione scrupolosa o revisioneautomatica: benefici e punti didebolezza

• Tecnologia disponibile sulla revi-sione automatica del codice sta-tico

• Integrare efficacemente un tooldi revisione di codice staticoall’interno di un processo di svi-luppo software

7. Processi in dettaglio:testing di sicurezza

• Testing di sicurezza del softwareblack box o white box

• Panoramica sulle più comunimetodologie e tools di sicurezza

• Penetration Testing• Fuzz Testing• Validazione dinamica

8. Esercitazioni sul Coding

• Esercitazioni pratiche per riparareuna applicazione Web violata- SQL injection(OWASP Issue 1)

- Cross-site scripting(OWASP Issue 2)

- Access control

9.Getting started

• Gli elementi chiave per riuscirecon un’iniziativa di software se-curity

• Sviluppo di un piano d’azione• Primi passi

KEN VAN WYKI PRINCIPALI ATTACCHIALLE APPLICAZIONI WEBE IL MODO DI SCONFIGGERLI

Roma 7-9 Giugno 2010Visconti Palace HotelVia Federico Cesi, 37

Quota di iscrizione:€ 1500 (+iva)

In caso di rinuncia o di cancellazione dei seminarivalgono le condizioni generali riportate all’interno.

È previsto il servizio di traduzione simultanea

nome ......................................................................

cognome ................................................................

funzione aziendale .................................................

azienda ..................................................................

partita iva ...............................................................

codice fiscale .........................................................

indirizzo ..................................................................

città ........................................................................

cap .........................................................................

provincia ................................................................

telefono ..................................................................

fax ..........................................................................

e-mail .....................................................................

�

Timbro e firma

Da restituire compilato a:Technology Transfer S.r.l.Piazza Cavour, 3 - 00193 RomaTel. 06-6832227 - Fax 06-6871102info@technologytransfer.itwww.technologytransfer.it

INFORMAZIONI

QUOTA DIPARTECIPAZIONE

€ 1500 (+iva)

La quota di partecipazionecomprende documentazione,colazioni di lavoro e coffeebreaks.

LUOGORoma, Visconti Palace HotelVia Federico Cesi, 37

DURATA ED ORARIO3 giorni: 9.30-13.00

14.00-17.00

È previsto il servizio ditraduzione simultanea

MODALITÀ D’ISCRIZIONE

Il pagamento della quota,IVA inclusa, dovrà essereeffettuato tramite bonifico,codice Iban:IT 34 Y 03069 05039 048890270110Banca Intesa Sanpaolo S.p.A.Ag. 6787 di Romaintestato allaTechnology Transfer S.r.l.e la ricevuta di versamentoinviata insieme alla schedadi iscrizione a:

TECHNOLOGYTRANSFER S.r.l.Piazza Cavour, 300193 ROMA(Tel. 06-6832227Fax 06-6871102)

entro il 24 Maggio 2010

Vi consigliamo di far precederela scheda d’iscrizione da unaprenotazione telefonica.

CONDIZIONI GENERALI

In caso di rinuncia conpreavviso inferiore a 15 giorniverrà addebitato il 50% dellaquota di partecipazione, incaso di rinuncia con preavvisoinferiore ad una settimanaverrà addebitata l’intera quota.In caso di cancellazione delseminario, per qualsiasicausa, la responsabilità dellaTechnology Transfer si intendelimitata al rimborso delle quotedi iscrizione già pervenute.

SCONTI DI GRUPPO

Se un’azienda iscrive allostesso evento 5 partecipanti,pagherà solo 4 partecipazioni.Chi usufruisce di questaagevolazione non ha diritto adaltri sconti per lo stesso evento.

ISCRIZIONI IN ANTICIPO

I partecipanti che si iscriverannoal seminario 30 giorni primaavranno uno sconto del 5%.

TUTELA DATI PERSONALI

Ai sensi dell’art. 13 della leggen. 196/2003, il partecipante èinformato che i suoi datipersonali acquisiti tramite lascheda di partecipazione alseminario saranno trattati daTechnology Transfer anchecon l’ausilio di mezzi elettronici,con finalità riguardantil’esecuzione degli obblighiderivati dalla Suapartecipazione al seminario,per finalità statistiche e perl’invio di materialepromozionale dell’attività diTechnology Transfer.Il conferimento dei dati èfacoltativo ma necessario perla partecipazione al seminario.Il titolare del trattamento deidati è Technology Transfer,Piazza Cavour, 3 - 00193Roma, nei cui confronti ilpartecipante può esercitare idiritti di cui all’art. 13 dellalegge n. 196/2003.

Ken Van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro “Inci-dent Response and Secure Coding”. È columnist di eSecurityPlanet e Visiting Scientist al Software Engi-neering Institute della Canergie Mellon University. Ha più di 20 anni di esperienza nel settore dell’IT Security,ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiosealla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Carnegie Mellon eLehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Secu-rity Teams) ed è stato uno dei fondatori di CERT® (Computer Emergency Response Team).

DOCENTE