Kurs: Kurs i sikker programmering

Formålet med kurset er å belyse de mest populære angrepene mot webapplikasjoner og hvordan man kan beskytte seg mot disse. Dette er et praktisk kurs med hovedvekt på eksempler og øvelser, hvor deltakerene vil få opplæring i en rekke ulike angrepsteknikker. Angrepene gjennomføres i kontrollerte omgivelser mot systemer som er tilpasset undervisningsformål.

Varighet
Kurset undervises over to dager fra kl. 09:00 – 16:00. Lønsjpause mellom kl 12:00 og 13:00.

Innhold
Kurset er fordelt på 12 undervisningssegmenter, og er en blanding av plenumsforelesninger og praktiske øvelser. Summarisk oversikt:

Kursdag 1
1. Introduksjon: webapplikasjoner og sikkerhet

2. Angriperens framgangsmåte og metode for testing

3. Angrepssegment 1: triksing med parametre, URL-hacking og tilgangskontroll

4. Hacker- og testverktøy, samt oppgaver angrepssegment 1

5. Angrepssegment 2: cross-site scripting (XSS)

6. Oppgaver angrepssegment 2 og forsvarsmekanismer mot XSS

Kursdag 2
1.  Angrepssegment 3: Kodeinjeksjon

2.  Autentisering og sesjonshåndtering

3.  Angrepssegment 4: Cross-site request forgery (CSRF)

4.  Oppgaver angrepssegment 3 og beskyttelse mot kodeinjeksjon

5.  Oppgaver angrepssegment 4 og beskyttelse mot CSRF

6.  Oppsummering og oppgaver fra alle angrepssegmenter

Forkunnskaper
Bakgrunn innen webprogrammering.

Instruktører
Lars Hopland Nestås,  Lars-Helge Netland, Yngve Espelid.