Secure Software Development Life Cycle (HCK4)

Cybersecurity, ICT Security

Location, current course term

Contact us

Custom Customized Training (date, location, content, duration)

The course:

Hide detail
  • Úvod do aplikační bezpečnosti
    1. Mentalita útočníka a principy secure mindsetu
    2. Shrnutí známých reálných incidentů a dopadů
    3. Seznámení s projektem OWASP a významem Top 10
    4. Vztah k DevSecOps a bezpečnostní kultuře ve firmě
  • A01: Broken Access Control
    1. Proč vznikají chyby v řízení přístupu
    2. Nejčastější typy chyb: IDOR, chybějící kontroly na úrovni serveru
    3. Příklady reálných incidentů a nesprávných implementací
    4. Prevence a detekce nedostatečné kontroly přístupů
  • A02: Cryptographic Failures
    1. Selhání v šifrování přenosu a ukládání dat
    2. Chyby v používání algoritmů, nesprávná implementace TLS
    3. Špatné ukládání hesel a hashovacích funkcí
    4. Doporučení pro ukládání, transport a správu citlivých dat
  • A03: Injection
    1. Typy injekčních útoků: SQL, OS, LDAP, NoSQL
    2. Vstupy bez validace a jejich průnik do interpretrů
    3. Vliv frameworků na vkládání hodnot do dotazů nebo příkazů
    4. Techniky prevence a bezpečného zpracování vstupů
  • A04: Insecure Design / SSDLC
    1. Rozdíl mezi chybou návrhu a implementace
    2. Principy bezpečného návrhu (secure-by-design)
    3. Threat modeling a identifikace rizik v rané fázi vývoje
    4. Vzory bezpečných návrhů a příklady jejich použití
    5. Zpětná kontrola návrhu vs. dodatečná oprava zranitelnosti
  • A05: Security Misconfiguration
    1. Nejčastější slabiny v konfiguračních souborech a nástrojích
    2. Defaultní účty, otevřené porty, chybějící hlavičky, špatné CORS
    3. Význam bezpečných výchozích hodnot
    4. Automatizované skenování a kontrola konfigurace
  • A06: Vulnerable and Outdated Components
    1. Rizika závislosti na starších verzích knihoven a modulů
    2. Identifikace zranitelností pomocí CVE, SBOM
    3. Proces aktualizací a řízení závislostí
    4. Důležitost testování po aktualizaci
  • A07: Identification and Authentication Failures
    1. Prolomení hesel, session hijacking, slabá autentizace
    2. Špatně nastavené cookies, neobnovované tokeny
    3. Význam vícefaktorové autentizace (MFA)
    4. Odlišnosti v autentizaci u klasických aplikací a API
  • A08: Software and Data Integrity Failures
    1. Neověřené moduly, aktualizace a dodavatelské řetězce
    2. Integrita build procesů (CI/CD)
    3. Signování kódu a aktualizací
    4. Důvěra v externí repozitáře a knihovny
  • A09: Security Logging and Monitoring Failures
    1. Co a kdy logovat z pohledu bezpečnosti
    2. Vztah k forenzní analýze a detekci incidentů
    3. Nejčastější chyby: absence logů, nechráněné logy
    4. Základy integrace do SIEM a alertingu
  • A10: Server-Side Request Forgery (SSRF)
    1. Princip SSRF a proč je stále častější
    2. Příklady chyb při zpracování uživatelských URL nebo webhooků
    3. Možnosti zneužití v cloudu nebo interních sítích
    4. Ochranné mechanismy (allowlist, metadata blocking)
  • Bezpečnost REST a SOAP API
    1. Rozdíly mezi klasickou aplikací a REST/SOAP rozhraním
    2. Vstupy, autentizace a autorizace na úrovni API
    3. Problémy s rate limitingem, pagination, IDOR, HPP
    4. Management tokenů a datová izolace mezi tenanty
    5. Propojení s OWASP API Top 10 a dopady do návrhu
Schedule:
2 days (9:00 AM - 5:00 PM )
Language:

Vybrané zákaznické reference

Asseco Central Europe, a.s., Jan P.
Secure Software Development Life Cycle ( HCK4)
"Školení se mi velmi líbilo. Lektor mi přišel opravdu zkušený a je vidět, že ho téma zajímá a baví. Z hlediska cílové skupiny mi přišlo spíše pro BE/ fullstack vývojáře. Komplexita byla více než dostatečná, mohlo by navazovat školení se zaměřením čistě na vývoj FE."
innogy Česká republika, a.s., Jiří H.
Secure Software Development Life Cycle ( HCK4)
"Dobrý den, nemohu hodnotit jinak než kladně. Profesionalita, znalosti a zároveň přátelský/osobní přístup lektora byly dokonalé."
Česká správa sociálního zabezpečení, Jan K.
Secure Software Development Life Cycle ( HCK4)
"Školení bylo úžasné a lektor s neuvěřitelnými vědomostmi."
Česká správa sociálního zabezpečení, Jana F.
Secure Software Development Life Cycle ( HCK4)
"Velmi přínosné školení, skvělá odbornost lektora."
Česká správa sociálního zabezpečení, Martin M.
Secure Software Development Life Cycle ( HCK4)
"Školení bylo perfektní. Na dané téma by se dalo mluvit a proškolit mnohem více, kdyby bylo více času. Lektor mi i za ten týden naučil opravdu spousty nových věcí a dozvěděl jsem se spousty nových informací. "
ITS akciová společnost, Jan V.
Secure Software Development Life Cycle ( HCK4)
"Přátelský přístup lektora, srozumitelný výklad, hezká prezentace. Informací a materiálů je tolik, že by to vydalo klidně i na měsíční školení :) Díky"
T-Mobile Czech Republic a.s., Radomír M.
Secure Software Development Life Cycle ( HCK4)
"Výborné přehledové školení na Web jak pro vývojaře webů, tak pro it security. Možnost se kdykoliv přerušit zeptat se na detaily atp."
AlbisTech s.r.o., Tomáš V.
Secure Software Development Life Cycle ( HCK4)
"Můj dojem ze školení je výborný. Lektor byl profesionál s velkým množstvím znalostí a zkušeností. Bylo vidět, že problematice opravdu rozumí. Získal jsem plno informací a materiálů, které mi velmi pomohou v dalším profesním růstu. Jsem velice spokojený."
ententee s.r.o., Petr V.
Secure Software Development Life Cycle ( HCK4)
"velká profesionalita pana Šottla - jak odborná, tak trenérská. Perfektně splnil obtížné zadání- do 3 hodin kondenzovat ochutnávku 2 denního kurzu, abychom mohli definovat individuální follow-upy. Velmi ochotně nad rámec tréninku dodal tipy na dlší studium problematiky... -> 5* "