Secured Software Development

หลักการและเหตุผล
          การพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย ถือเป็นหนึ่งแนวทางสำคัญในการสร้างความมั่นคงปลอดภัยด้วยการออกแบบและพัฒนาซอฟต์แวร์ที่สามารถป้องกันการถูกบุกรุกหรือการโจมตีจากแฮกเกอร์ด้วยเทคนิคและเครื่องมือต่าง ๆ เพื่อลดความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้นต่อหน่วยงานทั้งภาครัฐและเอกชน

          ดังนั้น เพื่อเป็นการส่งเสริมทักษะและเพิ่มพูนความรู้เทคโนโลยีด้านความมั่นคงปลอดภัยระบบสารสนเทศ ต่อผู้พัฒนาซอฟต์แวร์ด้านเว็บแอปพลิเคชัน (Web Application Programmer) และ ผู้ดูแลระบบ (System Administrator) หรือ นักทดสอบเจาะระบบ (Penetration Tester) หรือสายงานด้านความมั่นคงปลอดภัยสารสนเทศทั้งหมด โดยเน้นที่การพัฒนาซอฟต์แวร์ด้านเว็บแอปพลิเคชันอย่างมั่นคงปลอดภัยบนภาษา PHP ให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่าง ๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บแอปพลิเคชันแบบผู้ไม่ประสงค์ดี จนทำให้ผู้เข้าร่วมอบรมมีความตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนำแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สำเร็จนักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน, ผู้ดูแลระบบ, นักทดสอบเจาะระบบ, ที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศและผู้สนใจอื่น ๆ ด้านความมั่นคงปลอดภัยสารสนเทศ

 
จำนวนผู้อบรม 20 ท่าน
 
สถานที่จัดอบรม
 
ค่าใช้จ่าย
ราคา : – บาท (รวมภาษีมูลค่าเพิ่มแล้ว)
ระยะเวลาอบรมหลักสูตรจำนวน 3 วัน
• รอบที่ 1 วันที่ 17-19 สิงหาคม 2564
• รอบที่ 2 วันที่ 19-21 กันยายน 2564
 

สมัครคลิกเลย

ประวัติวิทยากร

วันที่ 1

เวลา เนื้อหา
9.00-10.30

Introduction to Web Application
● ภัยคุกคาม ช่องโหว่ ที่เกิดขึ้นในปัจจุบัน
● เรียนรู้คำศัพท์ที่เกี่ยวข้อง
● ประวัติการพัฒนาเว็บแอพพลิเคชัน
● โครงสร้างระบบเว็บแอพพลิเคชัน
● เว็บไซต์และเว็บแอพพลิเคชัน
● เว็บเซิร์ฟเวอร์
● ทำความรู้จัก HTTP Protocol

10.30-10.45

อาหารว่าง

10.45-12.00

● Information Security Fundamental
● Confidentiality
● Integrity
● Availability
● General Security Components
● Authentication
● Authorization
● Accountability/Auditing
● Non-repudiation

12.00-13.00

รับประทานอาหารกลางวัน

13.00-14.30

● Why do you need application security?
● Principles and concepts (Including OWASP)
● Security by Design
● Threat Modelling
● Do Programming Languages Matter?
● Application Security Myths
● Top 25 Most Dangerous Software Errors

14.30-14.45

อาหารว่าง

14.45-17.00

● มาตรฐาน ISO/IEC 27001:2013
● Technical Vulnerability Management
● Management of technical vulnerabilities
● Risk Management

วันที่ 2

เวลา เนื้อหา
9.00-10.30

Introduction to Web Application Security
● Vulnerability Stack
● Defense in depth
Using a Web Proxy
● Example: Burp Proxy
● man-in-the-middle
● Proxy Configuration
● Intercept & Scope Configuration
● HTTP, HTTPS
● Manual browser configuration
● Browser addon
● Using The Spider & Discover
● Using The Repeater Tab
● Using The Intruder Tab
● Text Specific Searching


Using a Hacking Tools
● Example: Kali Linux
● Commands to help you navigate any Linux system
● Add/remove software and update/upgrade your system
● Archive and compress files and folders
● Use wildcards to make daily tasks easier
● Editing files
● Configuring and managing services
● Managing users, groups and permissions
● Chaining multiple commands for greater effect

10.30-10.45

อาหารว่าง

10.45-12.00

SDLC vs. SSDLC
Secure Design Principles
● Least Privilege
● Separation of Duties
● Minimize Attack Surface
● Defense In Depth
● Fail Secure

12.00-13.00

รับประทานอาหารกลางวัน

13.00-14.30

Risk Management
● Vulnerability,
● Threat,
● Control
Threat Modeling
● Attack Tree
● Use Case

14.30-14.45

อาหารว่าง

14.45-17.00

Web Application Risks (OWASP Top 10)
● OWASP Testing Guide
● The OWASP Testing Framework
● Black Box Testing Tools
● Basic HTTP Protocol
● Web Components
● HTTP Request & Response
● HTTP Method
● URL Encode
● User Agent
● Session & Cookie
● X-Forwarded-For
● Header Security
● Cache Control
● HSTS
● X-XSS-Protection
● X-Content-Type-Options
● MIME Type
● X-FRAME-OPTIONS
● UI Redressing
● Iframe busing

วันที่ 3

เวลา เนื้อหา
9.00-10.30

How to secure PHP application (cont’d)
Authentication
● Captcha
● Random token
● Password strength test
Session management
● Session Fixation
● Multiple session
● HTTP Only
● Secure Flag
Access control
● Basic
● Digest
● Client Certificate
● Form-based
● IWA

10.30-10.45

อาหารว่าง

10.45-12.00

Input Validation
● $_FILE
● $_REQUEST
● $_SERVER
● Whitelist
● Numeric Validation
● String Validation
● Path Traversal
● Encoding

12.00-13.00

รับประทานอาหารกลางวัน

13.00-14.30

Output Validation
● File Upload
● Arbitrary File Upload
● SQL Injection
● PDO, bind PARAM()
● White List Input Validation
● XSS
● Encode data
● Cookie Flags
● X-XSS-Protection
● OWASP PHP Anti-XSS library

14.30-14.45

อาหารว่าง

14.45-17.00

CSRF
● Reflected vs. Stored
● CSRF style protection
● OWASP CSRF Guard
● Insecure Direct Object Reference
● Unvalidated Redirects and Forwards
● Insecure Cryptographic Storage
● Hashing with salt
● Sensitive Data Disclosure
● Robot.txt
● HTML Comment
● Directory Listing
● Backup files
● Directory Brute-Force
● Logging

หมายเหตุ : เนื้อหาอาจมีการปรับเปลี่ยนแก้ไขตามความเหมาะสม