Application Security Training

Open een willekeurige krant of nieuwsapp en je wordt geconfronteerd met onheilspellende nieuwstitels die de vele softwarerisico's blootleggen. Organisaties krijgen te maken met digitale bedreigingen zoals datalekken, phishing en ransomware-aanvallen. Deze gevaren ontstaan over het algemeen door onvoldoende kennis om softwarerisico's te minimaliseren. Als developer en softwareontwikkelteam moet je de laatste ontwikkelingen en technieken kennen om te voorkomen dat jouw organisatie het volgende slachtoffer wordt.

Om developers en andere stakeholders meer bewust te maken van, en te wapenen tegen deze risico’s, hebben we twee hands-on trainingen ontwikkeld:

• Application Security: Fundamentals. 
• Application Security: Deep Dive

De eerste behandelt de fundamenten van veilige applicatieontwikkeling en moet je niet zien als zo maar een basistraining. Je leert de meest voorkomende securityrisico's begrijpen en herkennen en je gaat als hacker aan de slag.

In de Deep Dive-training duiken we diep de code en verankeren we een security-first mindset in alle processen van softwareontwikkeling.

In deze training behandelen we de meest voorkomende securityrisico’s, vastgesteld door het Open Web Application Security Project in de OWASP top 10 en de API Security Top 10. Je leert de unieke kwetsbaarheden en beveiligingsrisico's te begrijpen en leert hoe je security-oplossingen toepast en risico's minimaliseert.

We combineren onderwerpen uit beide top 10's om je de meest relevante, up-to-date training te bieden. Aangevuld met achtergrond, kennis en ervaring over OWASP en de hacker mindset.

We behandelen:

• OWASP
• Hacker mindset
• Hacker kill chain
• Broken Object Level Authorization
• Broken User Authentication
• Excessive Data Exposure
• Lack of Resources & Rate Limiting
• Broken Function Level Authorization
• Mass Assignment
• Cross-site scripting
• Broken Access Control
• Cross-site & Server-side Request Forgery
• Security Misconfiguration
• Injection
• Improper Assets Management
• Security Logging and Monitoring
• Post exploitation
• Reverse shells
• Hackertools

Het kennen en gebruiken van de OWASP risico's is misschien wel de meest effectieve eerste stap om de softwareontwikkelingsprocessen en -cultuur binnen jouw organisatie te verbeteren.

Doelgroep: de training is geschikt voor alle developers, architecten en testers die beschikken over basiskennis van request/response principes, en die graag meer willen weten over softwarerisico's, kwetsbaarheden in applicaties en hoe hackers te werk gaan in de praktijk.

Wil je graag nog een stap zetten, bekijk dan de training Application Security Deep Dive hieronder.

Een ééndaagse securitytraining gericht op developers en ontwikkelteams die zich bewust zijn van deze securityrisico's en daarnaar willen handelen. Je bent dus bekend met de meest voorkomende bedreigingen en mogelijke oplossingen. We veronderstellen dat je in staat bent de kwetsbaarheden uit de OWASP top 10 te identificeren - zo niet, raden we eerst onze Fundamentals training aan. Nu wil je dieper de code induiken om echt vanuit een beveiligingsperspectief te leren denken en handelen.

Dat doen we in deze hands-on, dynamische training. De kern van deze training is het vinden en analyseren van kwetsbaarheden in twee applicaties:

• één met een C# backend met Vue.js frontend;
• en een Javascript Express.js applicatie.

Naast de codebases behandelen we o.a. ook de Secure Development Life Cycle, threat modeling en het STRIDE model:

• Security code-analyse:
  Het analyseren van meerdere code bases (C#, Typescript, Infrastructure as Code) met tientallen security-issues en fouten. Wat zit er niet goed? Hoe voorkom je dit? En hoe kun je jezelf hiertegen verdedigen?
• Secure Software Development Life Cycle:
  Op welke manier kun je extra stappen of eigenschappen toevoegen om security nog meer in de dagelijks softwarecyclus op te nemen?
• Security Testing:
  Welke type securitytesten zijn er? Wanneer en hoe zet je ze in? We behandelen SAST, IAST en DAST.
• Security & AI:
  Wat zijn de risico’s van het gebruiken van AI tools als ChatGTP of Github Copilot?

Kortom, een deep dive om een security-first mindset te verankeren in alle processen van jullie softwareontwikkeling.

Doelgroep: developers en software architecten die (bij voorkeur) C# en/of Javascript/Typescript begrijpen, die beschikken over basiskennis van development tooling en van security – idealiter dankzij onze training Application Security Fundamentals.