Corso Sicurezza Applicazioni PHP
Il corso Sicurezza Applicazioni PHP organizzato da Triboo Academy permette di acquisire solide basi di programmazione nell’ambito di questo versatile linguaggio di programmazione che consente di creare siti ed applicazioni complesse.
Il corso prenderà in esame, dopo una breve e generica introduzione sulle problematiche relative alla sicurezza, le principale tecniche di attacco note che possono essere rivolte alle nostre pagine web. Lo scopo è quello, attraverso le tecniche di attacco, individuare i principi base della programmazione per prevenire gli attacchi. In alcuni casi verrà evidenziato come la sicurezza non passerà semplicemente da un buon codice ma prenderà in esame la configurazione dell’applicazione e le soluzioni da implementare a livello di architettura.
Terminata la ricognizione sulle tecniche di attacco prenderemo in considerazione, tramite l’utilizzo di software opportuno, le modalità di conduzione di pentration testing per verificare la sicurezza della propria applicazione prima di procedere al deployment.
Il corso si concluderà con la discussione su una check list da seguire per verificare il lavoro dalla progettazione, al test, al monitoraggio della nostra applicazione.
Programma
Il corso viene svolto in 1 lezione da 8 ore ciascuna.
1. La sicurezza delle applicazioni web
- 1. introduzione
- 2. le tipologie di attacco (DOS, furto di dati, Accessi indesiderati, etc)
- 3. le vulnerabilità delle applicazioni web
- 4. crittografia
2. Le tecniche di attacco
- 1. register global
- 2. Sql Injection
- 3. Cross Site Scripting (XSS)
- 4. Session Fixation
- 5. Session Hijacking
- 6. Cross-Site Request Forgeries
3. Le soluzioni di difesa
- 1. le opzioni per filtrare gli input
- 2. funzioni php per la gestione di input/output
- 3. gestione degli errori
- 4. gestione del database
- 5. configurazione del php.ini
- 6. cenni sulla configurazione del file .htaccess
- 7. Esempi: area riservata, repository files.
4. Penetration test
- 1.panoramica dei software
- 2.installazione
- 3.realizzazione di un penetration test
5. Best practices