API security in PythonASIPCYCydrillCY-ASIP1.0<ul>
<li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit</li><li>Verständnis von API-Sicherheitsfragen</li><li>Detaillierte Analyse der OWASP API Security Top Ten Elemente</li><li>API-Sicherheit in den Kontext von Python stellen</li><li>Über die niedrig hängenden Früchte hinausgehen</li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern</li><li>Ansätze und Grundsätze der Eingabevalidierung</li></ul><p>Allgemeine Python-Entwicklung</p><p>Python-API-Entwickler</p><h4>Tag 1</h4><ul>
<li>Grundlagen der Cybersicherheit
<ul>
<li>Was ist Sicherheit?</li><li>Bedrohung und Risiko</li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade</li><li>Folgen von unsicherer Software</li></ul></li><li>OWASP API-Sicherheit Top Ten
<ul>
<li>OWASP API-Sicherheit Top 10 2023</li></ul></li><li>API1 - Gebrochene Autorisierung auf Objektebene
<ul>
<li>Verwirrter Abgeordneter</li><li>Unsichere direkte Objektreferenz (IDOR)</li><li>Übung - Unsichere direkte Objektreferenz</li><li>Berechtigungsumgehung durch benutzergesteuerte Schlüssel</li><li>Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen</li><li>Labor - Horizontale Genehmigung</li><li>Hochladen von Dateien</li><li>Uneingeschränkter Datei-Upload</li><li>Bewährte Praktiken</li><li>Labor - Uneingeschränkter Datei-Upload</li></ul></li><li>API2 - Fehlerhafte Authentifizierung
<ul>
<li>Grundlagen der Authentifizierung</li><li>Multi-Faktor-Authentifizierung (MFA)</li><li>Fallstudie - Der InfinityGauntlet-Angriff</li><li>Passwortlose Lösungen</li><li>Zeitbasierte Einmal-Passwörter (TOTP)</li><li>Schwachstellen bei der Authentifizierung</li><li>Spoofing im Internet</li><li>Passwortverwaltung</li><li>Speichern von Kontopasswörtern</li><li>Passwort im Transit</li><li>Labor - Reicht das Hashing von Passwörtern aus?</li><li>Wörterbuchangriffe und Brute-Forcing</li><li>Salzen</li><li>Adaptive Hash-Funktionen für die Passwortspeicherung</li><li>Übung - Verwendung adaptiver Hash-Funktionen in Python</li><li>Verwendung von Tools zum Knacken von Passwörtern</li><li>Passwortknacken unter Windows</li><li>Passwort ändern</li><li>Probleme bei der Passwortwiederherstellung</li><li>Bewährte Verfahren zur Passwortwiederherstellung</li><li>Übung - Schwachstelle beim Zurücksetzen des Passworts</li><li>Fallstudie - Übernahme eines Facebook-Kontos über einen Wiederherstellungscode</li><li>Fallstudie - Übernahme eines GitLab-Kontos</li><li>Anti-Automatisierung</li><li>Passwort-Politik</li><li>NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse</li><li>Passwort-Härtung</li><li>Verwendung von Passphrasen</li><li>Migration der Passwort-Datenbank</li><li>(Fehl-)Handhabung Keine Passwörter</li></ul></li></ul><h4>Tag 2</h4><ul>
<li>API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung
<ul>
<li>Informationsexposition</li><li>Offenlegung durch extrahierte Daten und Aggregation</li><li>Fallstudie - Strava-Datenexposition</li><li>Durchsickern von Systeminformationen</li><li>Auslaufende Systeminformationen</li><li>Bewährte Praktiken der Informationsexposition</li><li>Verwaltung von Geheimnissen</li><li>Fest kodierte Passwörter</li><li>Bewährte Praktiken</li><li>Labor - Hartkodiertes Passwort</li><li>Schutz sensibler Informationen im Speicher</li><li>Herausforderungen beim Schutz der Erinnerung</li><li>Fallstudie - Diebstahl geheimer Microsoft-Schlüssel über Dump-Dateien</li></ul></li><li>API4 - Uneingeschränkter Ressourcenverbrauch
<ul>
<li>Denial of Service</li><li>Überschwemmungen</li><li>Erschöpfung der Ressourcen</li><li>Nachhaltiges Kundenengagement</li><li>Unendliche Schleifen</li><li>Wirtschaftliche Verweigerung der Nachhaltigkeit (EDoS)</li><li>Fragen der algorithmischen Komplexität</li><li>Denial of Service mit regulären Ausdrücken (ReDoS)</li><li>Labor - ReDoS</li><li>Der Umgang mit ReDoS</li><li>Fallstudie - ReDoS-Schwachstellen in Python</li></ul></li><li>API5 - Gebrochene Autorisierung auf Funktionsebene
<ul>
<li>Autorisierung</li><li>Grundlagen der Zugangskontrolle</li><li>Arten der Zugangskontrolle</li><li>Fehlende oder unzulässige Genehmigung</li><li>Versäumnis, den URL-Zugang zu beschränken</li><li>Cross-Site Request Forgery (CSRF)</li><li>Labor - Cross-Site Request Forgery</li><li>Bewährte CSRF-Verfahren</li><li>CSRF-Verteidigung in der Tiefe</li><li>Übung - CSRF-Schutz mit Token</li></ul></li><li>API6 - Uneingeschränkter Zugang zu sensiblen Geschäftsflüssen
<ul>
<li>Sicherheit durch Design</li><li>Das STRIDE-Modell der Bedrohungen</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder</li><li>Wirtschaftlichkeit des Mechanismus</li><li>Ausfallsichere Standardwerte</li><li>Vollständige Mediation</li><li>Open design</li><li>Trennung der Privilegien</li><li>Geringstes Privileg</li><li>Am wenigsten verbreiteter Mechanismus</li><li>Psychologische Akzeptanz</li><li>Protokollierung und Überwachung</li><li>Grundsätze der Protokollierung und Überwachung</li><li>Unzureichende Protokollierung</li><li>Fallstudie - Klartext-Passwörter bei Facebook</li><li>Baumstammfälschung</li><li>Web-Log-Fälschung</li><li>Labor - Baumstammfälschung</li><li>Protokollfälschung - bewährte Verfahren</li><li>Bewährte Praktiken der Protokollierung</li><li>Überwachung bewährter Verfahren</li></ul></li><li>API7 - Server Side Request Forgery
<ul>
<li>Server-seitige Anforderungsfälschung (SSRF)</li><li>Fallbeispiel - SSRF in Ivanti Connect Secure</li></ul></li><li>API8 - Fehlkonfiguration der Sicherheit
<ul>
<li>Offenlegung von Informationen durch Fehlermeldungen</li><li>Informationsleck über Fehlerseiten</li><li>Labor - Informationsleck im Kolben</li><li>Fallstudie - Informationslecks durch Fehler in Apache Superset</li><li>Cookie-Sicherheit</li><li>Cookie-Attribute</li><li>Politik der gleichen Herkunft</li><li>Einfacher Antrag</li><li>Preflight-Anfrage</li><li>Ursprungsübergreifende Ressourcennutzung (CORS)</li><li>Labor - Demo zur Politik des gleichen Herkunftslandes</li><li>Konfigurieren von XML-Parsern</li><li>DTD und die Entitäten</li><li>Erweiterung der Entität</li><li>Angriff auf externe Entitäten (XXE)</li><li>Einbeziehung von Dateien mit externen Stellen</li><li>Server-Side Request Forgery mit externen Entitäten</li><li>Labor - Angriff einer externen Einheit</li><li>Verhinderung von XXE</li><li>Labor - Verbot der DTD</li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten</li></ul></li></ul><h4>Tag 3</h4><ul>
<li>API9 - Unsachgemässe Bestandsverwaltung
<ul>
<li>Blinde Flecken in der Dokumentation</li><li>Blinde Flecken im Datenfluss</li><li>Verwendung anfälliger Komponenten</li><li>Import von nicht vertrauenswürdigen Funktionen</li><li>Bösartige Pakete in Python</li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io</li><li>Management von Schwachstellen</li><li>Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern</li></ul></li><li>API10 - Unsicherer Verbrauch von APIs
<ul>
<li>Überprüfung der Eingaben</li><li>Input-Validierungsprinzipien</li><li>Denylisten und Zulassungslisten</li><li>Fallstudie - Denylist-Fehler in urllib.parse.urlparse()</li><li>Was zu validieren ist - die Angriffsfläche</li><li>Wo soll validiert werden - Verteidigung in der Tiefe</li><li>Wann validieren - Validierung vs. Umwandlung</li><li>Bereinigung der Ausgabe</li><li>Herausforderungen bei der Kodierung</li><li>Unicode-Herausforderungen</li><li>Validierung mit Regex</li><li>Einspritzung</li><li>Injektionsprinzipien</li><li>Injektionsangriffe</li><li>SQL-Einschleusung</li><li>Grundlagen der SQL-Injektion</li><li>Übung - SQL-Injektion</li><li>Angriffsmethoden</li><li>Inhaltsbasierte blinde SQL-Injektion</li><li>Zeitbasierte blinde SQL-Injektion</li><li>Bewährte Praktiken zur SQL-Einschleusung</li><li>Überprüfung der Eingaben</li><li>Parametrisierte Abfragen</li><li>Übung - Verwendung vorbereiteter Erklärungen</li><li>Datenbankverteidigung in der Tiefe</li><li>Fallstudie - SQL-Injection gegen US-Flughafensicherheit</li><li>Code-Einspritzung</li><li>Code-Injektion über input()</li><li>OS-Befehlsinjektion</li><li>Übung - Befehlsinjektion</li><li>Bewährte Praktiken zur Injektion von OS-Befehlen</li><li>Vermeidung von Befehlseingaben mit den richtigen APIs</li><li>Übung - Bewährte Praktiken der Befehlsinjektion</li><li>Fallstudie - Shellshock</li><li>Labor - Shellshock</li><li>Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen</li><li>Offene Umleitungen und Weiterleitungen</li><li>Offene Umleitungen und Weiterleitungen - bewährte Verfahren</li><li>Dateien und Datenströme</li><li>Pfadüberquerung</li><li>Übung - Pfadüberquerung</li><li>Zusätzliche Herausforderungen in Windows</li><li>Fallstudie - Dateispoofing in WinRAR</li><li>Bewährte Verfahren zur Pfadüberquerung</li><li>Labor - Kanonisierung von Pfaden</li><li>Einpacken</li><li>Grundsätze der sicheren Kodierung</li><li>Grundsätze der robusten Programmierung von Matt Bishop</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder</li><li>Und was nun?</li><li>Quellen zur Softwaresicherheit und weiterführende Literatur</li><li>Python-Ressourcen</li></ul></li></ul><ul>
<li>Grundlagen der Cybersicherheit</li><li>OWASP API-Sicherheit Top Ten</li><li>API1 - Gebrochene Autorisierung auf Objektebene</li><li>API2 - Defekte Authentifizierung</li><li>API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung</li><li>API4 - Uneingeschränkter Ressourcenverbrauch</li><li>API5 - Gebrochene Autorisierung auf Funktionsebene</li><li>API6 - Uneingeschränkter Zugang zu sensiblen Geschäftsflüssen</li><li>API7 - Server Side Request Forgery</li><li>API8 - Fehlkonfiguration der Sicherheit</li><li>API9 - Unsachgemässe Bestandsverwaltung</li><li>API10 - Unsicherer Verbrauch von APIs</li><li>Einpacken</li></ul><p><em>Dieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/en/course/cydrill-asip"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>hier</a></span>.</em></p>- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit
- Verständnis von API-Sicherheitsfragen
- Detaillierte Analyse der OWASP API Security Top Ten Elemente
- API-Sicherheit in den Kontext von Python stellen
- Über die niedrig hängenden Früchte hinausgehen
- Verwaltung von Schwachstellen in Komponenten von Drittanbietern
- Ansätze und Grundsätze der EingabevalidierungAllgemeine Python-EntwicklungPython-API-EntwicklerTag 1
- Grundlagen der Cybersicherheit
- Was ist Sicherheit?
- Bedrohung und Risiko
- Arten von Cybersicherheitsbedrohungen - die CIA-Triade
- Folgen von unsicherer Software
- OWASP API-Sicherheit Top Ten
- OWASP API-Sicherheit Top 10 2023
- API1 - Gebrochene Autorisierung auf Objektebene
- Verwirrter Abgeordneter
- Unsichere direkte Objektreferenz (IDOR)
- Übung - Unsichere direkte Objektreferenz
- Berechtigungsumgehung durch benutzergesteuerte Schlüssel
- Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen
- Labor - Horizontale Genehmigung
- Hochladen von Dateien
- Uneingeschränkter Datei-Upload
- Bewährte Praktiken
- Labor - Uneingeschränkter Datei-Upload
- API2 - Fehlerhafte Authentifizierung
- Grundlagen der Authentifizierung
- Multi-Faktor-Authentifizierung (MFA)
- Fallstudie - Der InfinityGauntlet-Angriff
- Passwortlose Lösungen
- Zeitbasierte Einmal-Passwörter (TOTP)
- Schwachstellen bei der Authentifizierung
- Spoofing im Internet
- Passwortverwaltung
- Speichern von Kontopasswörtern
- Passwort im Transit
- Labor - Reicht das Hashing von Passwörtern aus?
- Wörterbuchangriffe und Brute-Forcing
- Salzen
- Adaptive Hash-Funktionen für die Passwortspeicherung
- Übung - Verwendung adaptiver Hash-Funktionen in Python
- Verwendung von Tools zum Knacken von Passwörtern
- Passwortknacken unter Windows
- Passwort ändern
- Probleme bei der Passwortwiederherstellung
- Bewährte Verfahren zur Passwortwiederherstellung
- Übung - Schwachstelle beim Zurücksetzen des Passworts
- Fallstudie - Übernahme eines Facebook-Kontos über einen Wiederherstellungscode
- Fallstudie - Übernahme eines GitLab-Kontos
- Anti-Automatisierung
- Passwort-Politik
- NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse
- Passwort-Härtung
- Verwendung von Passphrasen
- Migration der Passwort-Datenbank
- (Fehl-)Handhabung Keine Passwörter
Tag 2
- API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung
- Informationsexposition
- Offenlegung durch extrahierte Daten und Aggregation
- Fallstudie - Strava-Datenexposition
- Durchsickern von Systeminformationen
- Auslaufende Systeminformationen
- Bewährte Praktiken der Informationsexposition
- Verwaltung von Geheimnissen
- Fest kodierte Passwörter
- Bewährte Praktiken
- Labor - Hartkodiertes Passwort
- Schutz sensibler Informationen im Speicher
- Herausforderungen beim Schutz der Erinnerung
- Fallstudie - Diebstahl geheimer Microsoft-Schlüssel über Dump-Dateien
- API4 - Uneingeschränkter Ressourcenverbrauch
- Denial of Service
- Überschwemmungen
- Erschöpfung der Ressourcen
- Nachhaltiges Kundenengagement
- Unendliche Schleifen
- Wirtschaftliche Verweigerung der Nachhaltigkeit (EDoS)
- Fragen der algorithmischen Komplexität
- Denial of Service mit regulären Ausdrücken (ReDoS)
- Labor - ReDoS
- Der Umgang mit ReDoS
- Fallstudie - ReDoS-Schwachstellen in Python
- API5 - Gebrochene Autorisierung auf Funktionsebene
- Autorisierung
- Grundlagen der Zugangskontrolle
- Arten der Zugangskontrolle
- Fehlende oder unzulässige Genehmigung
- Versäumnis, den URL-Zugang zu beschränken
- Cross-Site Request Forgery (CSRF)
- Labor - Cross-Site Request Forgery
- Bewährte CSRF-Verfahren
- CSRF-Verteidigung in der Tiefe
- Übung - CSRF-Schutz mit Token
- API6 - Uneingeschränkter Zugang zu sensiblen Geschäftsflüssen
- Sicherheit durch Design
- Das STRIDE-Modell der Bedrohungen
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Wirtschaftlichkeit des Mechanismus
- Ausfallsichere Standardwerte
- Vollständige Mediation
- Open design
- Trennung der Privilegien
- Geringstes Privileg
- Am wenigsten verbreiteter Mechanismus
- Psychologische Akzeptanz
- Protokollierung und Überwachung
- Grundsätze der Protokollierung und Überwachung
- Unzureichende Protokollierung
- Fallstudie - Klartext-Passwörter bei Facebook
- Baumstammfälschung
- Web-Log-Fälschung
- Labor - Baumstammfälschung
- Protokollfälschung - bewährte Verfahren
- Bewährte Praktiken der Protokollierung
- Überwachung bewährter Verfahren
- API7 - Server Side Request Forgery
- Server-seitige Anforderungsfälschung (SSRF)
- Fallbeispiel - SSRF in Ivanti Connect Secure
- API8 - Fehlkonfiguration der Sicherheit
- Offenlegung von Informationen durch Fehlermeldungen
- Informationsleck über Fehlerseiten
- Labor - Informationsleck im Kolben
- Fallstudie - Informationslecks durch Fehler in Apache Superset
- Cookie-Sicherheit
- Cookie-Attribute
- Politik der gleichen Herkunft
- Einfacher Antrag
- Preflight-Anfrage
- Ursprungsübergreifende Ressourcennutzung (CORS)
- Labor - Demo zur Politik des gleichen Herkunftslandes
- Konfigurieren von XML-Parsern
- DTD und die Entitäten
- Erweiterung der Entität
- Angriff auf externe Entitäten (XXE)
- Einbeziehung von Dateien mit externen Stellen
- Server-Side Request Forgery mit externen Entitäten
- Labor - Angriff einer externen Einheit
- Verhinderung von XXE
- Labor - Verbot der DTD
- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten
Tag 3
- API9 - Unsachgemässe Bestandsverwaltung
- Blinde Flecken in der Dokumentation
- Blinde Flecken im Datenfluss
- Verwendung anfälliger Komponenten
- Import von nicht vertrauenswürdigen Funktionen
- Bösartige Pakete in Python
- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io
- Management von Schwachstellen
- Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern
- API10 - Unsicherer Verbrauch von APIs
- Überprüfung der Eingaben
- Input-Validierungsprinzipien
- Denylisten und Zulassungslisten
- Fallstudie - Denylist-Fehler in urllib.parse.urlparse()
- Was zu validieren ist - die Angriffsfläche
- Wo soll validiert werden - Verteidigung in der Tiefe
- Wann validieren - Validierung vs. Umwandlung
- Bereinigung der Ausgabe
- Herausforderungen bei der Kodierung
- Unicode-Herausforderungen
- Validierung mit Regex
- Einspritzung
- Injektionsprinzipien
- Injektionsangriffe
- SQL-Einschleusung
- Grundlagen der SQL-Injektion
- Übung - SQL-Injektion
- Angriffsmethoden
- Inhaltsbasierte blinde SQL-Injektion
- Zeitbasierte blinde SQL-Injektion
- Bewährte Praktiken zur SQL-Einschleusung
- Überprüfung der Eingaben
- Parametrisierte Abfragen
- Übung - Verwendung vorbereiteter Erklärungen
- Datenbankverteidigung in der Tiefe
- Fallstudie - SQL-Injection gegen US-Flughafensicherheit
- Code-Einspritzung
- Code-Injektion über input()
- OS-Befehlsinjektion
- Übung - Befehlsinjektion
- Bewährte Praktiken zur Injektion von OS-Befehlen
- Vermeidung von Befehlseingaben mit den richtigen APIs
- Übung - Bewährte Praktiken der Befehlsinjektion
- Fallstudie - Shellshock
- Labor - Shellshock
- Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen
- Offene Umleitungen und Weiterleitungen
- Offene Umleitungen und Weiterleitungen - bewährte Verfahren
- Dateien und Datenströme
- Pfadüberquerung
- Übung - Pfadüberquerung
- Zusätzliche Herausforderungen in Windows
- Fallstudie - Dateispoofing in WinRAR
- Bewährte Verfahren zur Pfadüberquerung
- Labor - Kanonisierung von Pfaden
- Einpacken
- Grundsätze der sicheren Kodierung
- Grundsätze der robusten Programmierung von Matt Bishop
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Und was nun?
- Quellen zur Softwaresicherheit und weiterführende Literatur
- Python-Ressourcen- Grundlagen der Cybersicherheit
- OWASP API-Sicherheit Top Ten
- API1 - Gebrochene Autorisierung auf Objektebene
- API2 - Defekte Authentifizierung
- API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung
- API4 - Uneingeschränkter Ressourcenverbrauch
- API5 - Gebrochene Autorisierung auf Funktionsebene
- API6 - Uneingeschränkter Zugang zu sensiblen Geschäftsflüssen
- API7 - Server Side Request Forgery
- API8 - Fehlkonfiguration der Sicherheit
- API9 - Unsachgemässe Bestandsverwaltung
- API10 - Unsicherer Verbrauch von APIs
- EinpackenDieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.3 Tage2250.002250.002250.002250.002250.00