|
קבוצת Application & DB Security
מידע כללי:
מועד: בכל יום א' השני של כל חודש.
מועד קרוב:
11/10/09
מיקום: המכללה האקדמית להנדסה
מבצע קדש 38,תל-אביב
מתחם הפיקוס, חדר 206
אבטחת תשתיות אפליקציה
מנהל הקורס: ארז מטולה.
מרצים: ארז מטולה, מתי סימן, ירון חקון, אבי דוגלן, עמית קורן, רן אדלר,פטרישיה שטרן.
רקע מומלץ: פיתוח / אבטחת מידע.
מיקום: אפקה – המכללה האקדמית להנדסה, רח' מבצע קדש 38 תל-אביב
תכנית הלימודים:
1) מבוא לאבטחת אפליקציות (תקציר הקורס)
2) מתקפות אפליקטיביות וביצוע בדיקות חוסן
3) עקרונות לכתיבת קוד מאובטח
4) ביצוע בדיקות קוד (code review)
5) אוטנטיקציה וניהול הרשאות נכון
6) קריפטוגרפיה
7) אבטחת web services ו SOA
8) אבטחת תשתיות האפליקציה
9) מנגנוני אבטחה בבסיסי נתונים חלק :I Microsoft SQL Server
10) מנגנוני אבטחה בבסיסי נתונים חלק II: DB Oracle
11) ניהול תהליכי פיתוח לפי מודל SDL
12) רגולציות והשפעתן על תהליכי הפיתוח
תאור המפגשים
|
מסד
|
תאריך
|
נושא ראשי
|
תיאור / תת נושאים
|
מדריך
|
|
1
|
8.2.09
|
מבוא לאבטחת אפליקציות (תקציר הקורס)
|
- תאור הקורס ונושאיו.
- מבוא לאבטחת מידע ברמת האפליקציה.
- מתקפות
- דרכי התגוננות עיקריות
|
ארז מטולה
|
|
2
|
8/3/09 |
מתקפות אפליקטיביות וביצוע בדיקות חוסן
|
· עשרת המתקפות העיקריות (OWASP)
o Unvalidated input
o Broken access control
o Broken session management
o Cross site scripting
o Buffer overflow
o Injection flaws
o Error handling
o Insecure storage
o Denial of service
o Insecure configuration
· מתודולוגית מבחני חוסן אפליקטיביים
|
ארז מטולה
|
|
3
|
26.4.09
|
עקרונות לכתיבת קוד מאובטח
|
· הצורך בכתיבת קוד מאובטח
· אימות קלט
· עקרון Secure by default
· עקרון least privilege
· עקרון separation of duties
|
ירון חקון
|
|
4
|
10.5.09
|
ביצוע בדיקות קוד
|
· טכניקות לביצוע בדיקות קוד
· מה לחפש
· הגישה הידנית
· הגישה האוטומטית
|
מתי סימן
|
|
5
|
14.6.09
|
אוטנטיקציה וניהול הרשאות נכון
|
· סוגי מנגנוני זיהוי
o מנגנוני זיהוי מובנים
o Kerberos
o Windows authentication
o Basic authentication
o Certificate based authentication
· סוגי מנגנוני הרשאות
o מנגנוני הרשאות מובנים
o ACL
o Role based access control (RBAC)
|
אבי דוגלן
|
|
6
|
12.7.09
|
קריפטוגרפיה
|
· הצפנה סימטרית
· הצפנה א-סימטרית
· Hash
· Certificate
· PKI
· דוגמאות לאלגוריתמים תקניים
o DES,3DES,AES,RSA,
SHA-1, SSL
|
ארז מטולה
|
|
7
|
9.8.09
|
אבטחת web services ו -SOA
|
· מהם web services?
· מתקפות על web services
· כיצד להגן על web services
· Ws-security
|
ירון חקון
|
|
8
|
13.9.09
|
אבטחת תשתיות האפליקציה
|
· הגנה על מערכת ההפעלה
· הקשחת שירותים ורכיבים מרכזיים
· הגבלת גישה במערכת הקבצים
· הורדת הרשאות עפ"י least privileged
· קונפיגורציה מאובטחת של שרתי WEB
|
עמית קורן
|
|
9
|
11.10.09
|
מנגנוני אבטחה בבסיסי נתונים חלק :I Microsoft SQL Server
|
· מבוא לבסיסי נתונים ושפת SQL
· מנגנוני הזדהות של sql server
· מנגנוני הרשאות של sql server
· Views
· Stored procedures
|
פטי שטרן
|
|
10
|
8.11.09
|
מנגנוני אבטחה בבסיסי נתונים חלק II: DB Oracle
|
· מנגנוני הזדהות של oracle
· מנגנוני הרשאות של oracle
· VPD
· Views
· Stored procedures
|
פטי שטרן
|
|
11
|
13.12.09
|
ניהול תהליך פיתוח מאובטח לפי מודל SDL
|
· הצורך בשילוב אבטחת מידע בתהליכי הפיתוח
· ביצוע תכן מאובטח
· Threat modeling
· אבטחת מידע בשלב כתיבת הקוד
· ביצוע מבחני חוסן כחלק אינטגרלי מתהליך בדיקות המערכת
|
אבי דוגלן
|
|
12
|
10.1.10
|
רגולציות והשפעתן על תהליכי הפיתוח
|
· תאימות לרגולציות
· תקני אבטחת מידע מובילים
o SOX
o PCI
o HIPAA
o הוראת המפקח על הבנקים (357)
o הוראת המפקח על הביטוח
· מתן דגש על אופן הפיתוח ועמידה ברגולציות
|
רן אדלר
|
הערה – עלולים להיות שינויים בתאריכי המפגשים ובשמות המרצים |
