Code responsibly with generative AI in JavaCRWGAIJCYCydrillCY-CRWGAIJ1.0<ul>
<li>Die Grundlagen der verantwortungsvollen KI verstehen</li><li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit</li><li>Verstehen, wie Kryptographie die Sicherheit unterstützt</li><li>Lernen, wie man kryptografische APIs in Java richtig verwendet</li><li>Verständnis von Sicherheitsfragen bei Webanwendungen</li><li>Detaillierte Analyse der OWASP Top Ten Elemente</li><li>Die Sicherheit von Webanwendungen im Kontext von Java</li><li>Über die niedrig hängenden Früchte hinausgehen</li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern</li><li>All dies im Kontext von GitHub Copilot</li></ul><p>OWASP, SEI CERT, CWE und Fortify Taxonomien</p><p>Java-Entwickler, die Copilot oder andere GenAI-Tools verwenden</p><h4>Tag 1
</h4><h4>Verantwortungsbewusst kodieren mit GenAI</h4><ul>
<li>Was ist verantwortungsvolle KI?</li><li>Was ist Sicherheit?</li><li>Bedrohung und Risiko</li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade</li><li>Folgen von unsicherer Software</li><li>Sicherheit und verantwortungsvolle KI in der Softwareentwicklung</li><li>GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere</li><li>Die OWASP Top Ten aus der Sicht von Copilot
<ul>
<li>Die OWASP Top Ten 2021
<ul>
<li>A01 - Defekte Zugangskontrolle
<ul>
<li>Grundlagen der Zugangskontrolle</li><li>Fallstudie - Fehlerhaftes authn/authz in Apache OFBiz</li><li>Verwirrter Abgeordneter</li><li>Unsichere direkte Objektreferenz (IDOR)</li><li>Pfadüberquerung</li><li>Übung - Unsichere direkte Objektreferenz</li><li>Bewährte Verfahren zur Pfadüberquerung</li><li>Übung - Experimentieren mit der Pfadverfolgung in Copilot</li><li>Berechtigungsumgehung durch benutzergesteuerte Schlüssel</li><li>Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen</li><li>Labor - Horizontale Genehmigung (Erkundung mit Copilot)</li><li>Hochladen von Dateien
<ul>
<li>Uneingeschränkter Datei-Upload</li><li>Bewährte Praktiken</li><li>Übung - Uneingeschränkter Datei-Upload (Erkundung mit Copilot)</li><li>Fallstudie - Sicherheitslücke beim Hochladen von Dateien in Netflix Genie</li></ul></li></ul></li><li>A02 - Kryptographische Ausfälle
<ul>
<li>Kryptographie für Entwickler</li><li>Grundlagen der Kryptographie</li><li>Die kryptografische Java-Architektur (JCA) in Kürze</li><li>Elementare Algorithmen</li><li>Hashing
<ul>
<li>Grundlagen des Hashings</li><li>Hashing in Java</li><li>Übung - Hashing in JCA (Erkundung mit Copilot)</li></ul></li><li>Erzeugung von Zufallszahlen
<ul>
<li>Pseudo-Zufallszahlengeneratoren (PRNGs)</li><li>Kryptografisch sichere PRNGs</li><li>Schwache und starke PRNGs in Java</li><li>Übung - Verwendung von Zufallszahlen in Java (Erkundung mit Copilot)</li><li>Fallstudie - Equifax-Kontosperrung</li></ul></li><li>Schutz der Vertraulichkeit
<ul>
<li>Symmetrische Verschlüsselung
<ul>
<li>Blockchiffren</li><li>Betriebsarten</li><li>Betriebsarten und IV - bewährte Verfahren</li><li>Symmetrische Verschlüsselung in Java</li><li>Symmetrische Verschlüsselung in Java mit Streams</li><li>Übung - Symmetrische Verschlüsselung in JCA (Erkundung mit Copilot)</li></ul></li><li>Asymmetrische Verschlüsselung</li><li>Kombination von symmetrischen und asymmetrischen Algorithmen</li><li>Schlüsselaustausch und Vereinbarung
<ul>
<li>Austausch von Schlüsseln</li><li>Diffie-Hellman-Schlüsselvereinbarungsalgorithmus</li><li>Die wichtigsten Fallstricke beim Austausch und bewährte Verfahren</li></ul></li></ul></li></ul></li></ul></li></ul></li></ul>
<h4>Tag 2</h4><h4>Die OWASP Top Ten aus der Sicht von Copilot</h4><ul>
<li>A03 - Injektion
<ul>
<li>Injektionsprinzipien</li><li>Injektionsangriffe
<ul>
<li>SQL-Einschleusung
<ul>
<li>Grundlagen der SQL-Injektion</li><li>Übung - SQL-Injektion</li><li>Angriffsmethoden
<ul>
<li>Inhaltsbasierte blinde SQL-Injektion</li><li>Zeitbasierte blinde SQL-Injektion</li></ul></li><li>Bewährte Praktiken zur SQL-Einschleusung</li><li>Überprüfung der Eingaben</li><li>Parametrisierte Abfragen</li><li>Übung - Verwendung vorbereiteter Erklärungen</li><li>Übung - Experimentieren mit SQL-Injection in Copilot</li><li>Datenbankverteidigung in der Tiefe</li><li>Fallstudie - SQL-Injektion in Fortra FileCatalyst</li></ul></li><li>Code-Einspritzung
<ul>
<li>OS-Befehlsinjektion</li><li>Bewährte Praktiken der OS-Befehlsinjektion</li><li>Verwendung von Runtime.exec()</li><li>Fallstudie - Shellshock</li><li>Labor - Shellshock</li><li>Fallstudie - Befehlsinjektion in VMware Aria</li></ul></li><li>HTML-Injektion - Cross-Site-Scripting (XSS)
<ul>
<li>Grundlagen des Cross-Site-Scripting</li><li>Cross-Site-Scripting-Typen
<ul>
<li>Anhaltendes Cross-Site-Scripting</li><li>Reflektiertes Cross-Site-Scripting</li><li>Client-seitiges (DOM-basiertes) Cross-Site-Scripting</li></ul></li><li>Übung - Gespeicherte XSS</li><li>Labor - Reflektiertes XSS</li><li>Bewährte Praktiken zum Schutz vor XSS</li><li>Schutzprinzipien - Flucht</li><li>XSS-Schutz-APIs in Java</li><li>Lab - XSS fix / gespeichert (Erkundung mit Copilot)</li><li>Labor - XSS-Behebung / reflektiert (Erkundung mit Copilot)</li><li>Zusätzliche Schutzschichten - Verteidigung in der Tiefe</li><li>Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern</li></ul></li></ul></li><li>A04 - Unsicheres Design
<ul>
<li>Das STRIDE-Modell der Bedrohungen</li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder
<ul>
<li>Wirtschaftlichkeit des Mechanismus</li><li>Ausfallsichere Voreinstellungen</li><li>Vollständige Mediation</li><li>Open design</li><li>Trennung der Privilegien</li><li>Geringstes Privileg</li><li>Am wenigsten verbreiteter Mechanismus</li><li>Psychologische Akzeptanz</li></ul></li><li>Client-seitige Sicherheit</li><li>Rahmen-Sandboxing</li><li>Cross-Frame-Scripting-Angriffe (XFS)</li><li>Labor - Clickjacking</li><li>Clickjacking geht über die Entführung eines Klicks hinaus</li><li>Bewährte Praktiken zum Schutz vor Clickjacking</li><li>Übung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)</li></ul></li><li>A05 - Fehlkonfiguration der Sicherheit
<ul>
<li>Grundsätze der Konfiguration</li><li>XML-Entitäten
<ul>
<li>DTD und die Entitäten</li><li>Erweiterung der Entität</li><li>Angriff auf externe Entitäten (XXE)</li><li>Einbeziehung von Dateien mit externen Stellen</li><li>Server-Side Request Forgery mit externen Entitäten</li><li>Labor - Angriff einer externen Einheit</li><li>Verhinderung von XXE</li><li>Labor - Verbot der DTD</li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten</li><li>Labor - Experimentieren mit XXE in Copilot</li></ul></li></ul>
<h4>Tag 3</h4>
<h4>Die OWASP Top Ten aus der Sicht von Copilot</h4>
<ul>
<li>A06 - Anfällige und veraltete Komponenten
<ul>
<li>Verwendung anfälliger Komponenten</li><li>Import von nicht vertrauenswürdigen Funktionen</li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io</li><li>Management von Schwachstellen</li><li>Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern</li><li>Sicherheit von KI-generiertem Code</li><li>Praktische Angriffe auf Tools zur Codegenerierung</li><li>Abhängigkeits-Halluzination durch generative KI</li><li>Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)</li></ul></li><li>A07 - Fehler bei der Identifizierung und Authentifizierung
<ul>
<li>Authentifizierung
<ul>
<li>Grundlagen der Authentifizierung</li><li>Multi-Faktor-Authentifizierung (MFA)</li><li>Fallstudie - Der InfinityGauntlet-Angriff</li></ul></li><li>Passwortverwaltung
<ul>
<li>Verwaltung eingehender Passwörter</li><li>Speichern von Kontopasswörtern</li><li>Labor - Reicht das Hashing von Passwörtern aus?</li><li>Wörterbuchangriffe und Brute-Forcing</li><li>Salzen</li><li>Adaptive Hash-Funktionen für die Passwortspeicherung</li><li>Übung - Verwendung adaptiver Hash-Funktionen in JCA</li><li>Übung - Verwendung adaptiver Hash-Funktionen in Copilot</li><li>Passwort-Politik</li><li>NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse</li></ul></li></ul></li><li>A08 - Fehler in der Software und Datenintegrität
<ul>
<li>Schutz der Integrität
<ul>
<li>Nachrichten-Authentifizierungs-Code (MAC)</li><li>MAC-Berechnung in Java</li><li>Übung - MAC-Berechnung in JCA</li></ul></li><li>Digitale Unterschrift
<ul>
<li>Elliptische Kurven Kryptographie</li><li>ECC-Grundlagen</li><li>Digitale Unterschrift mit ECC</li><li>Digitale Unterschrift in Java</li><li>Übung - Digitale Signatur mit ECDSA in JCA</li></ul></li><li>Integrität der Subressource
<ul>
<li>JavaScript importieren</li><li>Übung - JavaScript importieren (mit Copilot erkunden)</li><li>Fallstudie - Die Datenschutzverletzung bei British Airways</li></ul></li><li>Unsichere Deserialisierung
<ul>
<li>Herausforderungen bei Serialisierung und Deserialisierung</li><li>Integrität - Deserialisierung nicht vertrauenswürdiger Datenströme</li><li>Integrität - bewährte Verfahren zur Deserialisierung</li><li>Vorausschauende Deserialisierung</li><li>Eigenschaftsorientiertes Programmieren (POP)</li><li>Erstellen einer POP-Nutzlast</li><li>Übung - Erstellen einer POP-Nutzlast</li><li>Übung - Verwendung der POP-Nutzlast</li><li>Fallstudie - Deserialisierungs-RCEs in NextGen Mirth Connect</li></ul></li></ul></li><li>A09 - Fehler bei der Sicherheitsprotokollierung und -überwachung
<ul>
<li>Grundsätze der Protokollierung und Überwachung</li><li>Rundholz fälschen</li><li>Protokollfälschung - bewährte Verfahren</li><li>Fallstudie - Log-Interpolation in log4j</li><li>Fallstudie - Die Log4Shell-Schwachstelle (CVE-2021-44228)</li><li>Fallstudie - Log4Shell-Folgemassnahmen (CVE-2021-45046, CVE-2021-45105)</li><li>Übung - Log4Shell</li></ul></li><li>A10 - Server-seitige Anforderungsfälschung (SSRF)
<ul>
<li>Server-seitige Anforderungsfälschung (SSRF)</li><li>Fallbeispiel - SSRF in Ivanti Connect Secure</li></ul></li><li>Einpacken
<ul>
<li>Grundsätze der sicheren Kodierung</li><li>Grundsätze der robusten Programmierung von Matt Bishop</li><li>Und was nun?</li><li>Quellen zur Softwaresicherheit und weiterführende Literatur</li><li>Java-Ressourcen</li><li>Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung</li><li>Generative AI - Ressourcen und zusätzliche Anleitungen</li></ul></li></ul></li></ul></li></ul><p>Verantwortungsbewusst kodieren mit GenAI
Die OWASP Top Ten aus der Sicht von Copilot
Einpacken</p><p><em>Dieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class="cms-link-marked"><a class="fl-href-prod" href="/swisscom/en/course/cydrill-crwgaij"><svg role="img" aria-hidden="true" focusable="false" data-nosnippet class="cms-linkmark"><use xlink:href="/css/img/icnset-linkmarks.svg#linkmark"></use></svg>hier</a></span>.</em></p>- Die Grundlagen der verantwortungsvollen KI verstehen
- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit
- Verstehen, wie Kryptographie die Sicherheit unterstützt
- Lernen, wie man kryptografische APIs in Java richtig verwendet
- Verständnis von Sicherheitsfragen bei Webanwendungen
- Detaillierte Analyse der OWASP Top Ten Elemente
- Die Sicherheit von Webanwendungen im Kontext von Java
- Über die niedrig hängenden Früchte hinausgehen
- Verwaltung von Schwachstellen in Komponenten von Drittanbietern
- All dies im Kontext von GitHub CopilotOWASP, SEI CERT, CWE und Fortify TaxonomienJava-Entwickler, die Copilot oder andere GenAI-Tools verwendenTag 1
Verantwortungsbewusst kodieren mit GenAI
- Was ist verantwortungsvolle KI?
- Was ist Sicherheit?
- Bedrohung und Risiko
- Arten von Cybersicherheitsbedrohungen - die CIA-Triade
- Folgen von unsicherer Software
- Sicherheit und verantwortungsvolle KI in der Softwareentwicklung
- GenAI-Werkzeuge für die Kodierung: Copilot, Codeium und andere
- Die OWASP Top Ten aus der Sicht von Copilot
- Die OWASP Top Ten 2021
- A01 - Defekte Zugangskontrolle
- Grundlagen der Zugangskontrolle
- Fallstudie - Fehlerhaftes authn/authz in Apache OFBiz
- Verwirrter Abgeordneter
- Unsichere direkte Objektreferenz (IDOR)
- Pfadüberquerung
- Übung - Unsichere direkte Objektreferenz
- Bewährte Verfahren zur Pfadüberquerung
- Übung - Experimentieren mit der Pfadverfolgung in Copilot
- Berechtigungsumgehung durch benutzergesteuerte Schlüssel
- Fallbeispiel - Fernübernahme von Nexx Garagentoren und Alarmanlagen
- Labor - Horizontale Genehmigung (Erkundung mit Copilot)
- Hochladen von Dateien
- Uneingeschränkter Datei-Upload
- Bewährte Praktiken
- Übung - Uneingeschränkter Datei-Upload (Erkundung mit Copilot)
- Fallstudie - Sicherheitslücke beim Hochladen von Dateien in Netflix Genie
- A02 - Kryptographische Ausfälle
- Kryptographie für Entwickler
- Grundlagen der Kryptographie
- Die kryptografische Java-Architektur (JCA) in Kürze
- Elementare Algorithmen
- Hashing
- Grundlagen des Hashings
- Hashing in Java
- Übung - Hashing in JCA (Erkundung mit Copilot)
- Erzeugung von Zufallszahlen
- Pseudo-Zufallszahlengeneratoren (PRNGs)
- Kryptografisch sichere PRNGs
- Schwache und starke PRNGs in Java
- Übung - Verwendung von Zufallszahlen in Java (Erkundung mit Copilot)
- Fallstudie - Equifax-Kontosperrung
- Schutz der Vertraulichkeit
- Symmetrische Verschlüsselung
- Blockchiffren
- Betriebsarten
- Betriebsarten und IV - bewährte Verfahren
- Symmetrische Verschlüsselung in Java
- Symmetrische Verschlüsselung in Java mit Streams
- Übung - Symmetrische Verschlüsselung in JCA (Erkundung mit Copilot)
- Asymmetrische Verschlüsselung
- Kombination von symmetrischen und asymmetrischen Algorithmen
- Schlüsselaustausch und Vereinbarung
- Austausch von Schlüsseln
- Diffie-Hellman-Schlüsselvereinbarungsalgorithmus
- Die wichtigsten Fallstricke beim Austausch und bewährte Verfahren
Tag 2
Die OWASP Top Ten aus der Sicht von Copilot
- A03 - Injektion
- Injektionsprinzipien
- Injektionsangriffe
- SQL-Einschleusung
- Grundlagen der SQL-Injektion
- Übung - SQL-Injektion
- Angriffsmethoden
- Inhaltsbasierte blinde SQL-Injektion
- Zeitbasierte blinde SQL-Injektion
- Bewährte Praktiken zur SQL-Einschleusung
- Überprüfung der Eingaben
- Parametrisierte Abfragen
- Übung - Verwendung vorbereiteter Erklärungen
- Übung - Experimentieren mit SQL-Injection in Copilot
- Datenbankverteidigung in der Tiefe
- Fallstudie - SQL-Injektion in Fortra FileCatalyst
- Code-Einspritzung
- OS-Befehlsinjektion
- Bewährte Praktiken der OS-Befehlsinjektion
- Verwendung von Runtime.exec()
- Fallstudie - Shellshock
- Labor - Shellshock
- Fallstudie - Befehlsinjektion in VMware Aria
- HTML-Injektion - Cross-Site-Scripting (XSS)
- Grundlagen des Cross-Site-Scripting
- Cross-Site-Scripting-Typen
- Anhaltendes Cross-Site-Scripting
- Reflektiertes Cross-Site-Scripting
- Client-seitiges (DOM-basiertes) Cross-Site-Scripting
- Übung - Gespeicherte XSS
- Labor - Reflektiertes XSS
- Bewährte Praktiken zum Schutz vor XSS
- Schutzprinzipien - Flucht
- XSS-Schutz-APIs in Java
- Lab - XSS fix / gespeichert (Erkundung mit Copilot)
- Labor - XSS-Behebung / reflektiert (Erkundung mit Copilot)
- Zusätzliche Schutzschichten - Verteidigung in der Tiefe
- Fallstudie - XSS-Schwachstellen in DrayTek Vigor-Routern
- A04 - Unsicheres Design
- Das STRIDE-Modell der Bedrohungen
- Sichere Gestaltungsprinzipien von Saltzer und Schroeder
- Wirtschaftlichkeit des Mechanismus
- Ausfallsichere Voreinstellungen
- Vollständige Mediation
- Open design
- Trennung der Privilegien
- Geringstes Privileg
- Am wenigsten verbreiteter Mechanismus
- Psychologische Akzeptanz
- Client-seitige Sicherheit
- Rahmen-Sandboxing
- Cross-Frame-Scripting-Angriffe (XFS)
- Labor - Clickjacking
- Clickjacking geht über die Entführung eines Klicks hinaus
- Bewährte Praktiken zum Schutz vor Clickjacking
- Übung - Verwendung von CSP zur Verhinderung von Clickjacking (Erkundung mit Copilot)
- A05 - Fehlkonfiguration der Sicherheit
- Grundsätze der Konfiguration
- XML-Entitäten
- DTD und die Entitäten
- Erweiterung der Entität
- Angriff auf externe Entitäten (XXE)
- Einbeziehung von Dateien mit externen Stellen
- Server-Side Request Forgery mit externen Entitäten
- Labor - Angriff einer externen Einheit
- Verhinderung von XXE
- Labor - Verbot der DTD
- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten
- Labor - Experimentieren mit XXE in Copilot
Tag 3
Die OWASP Top Ten aus der Sicht von Copilot
- A06 - Anfällige und veraltete Komponenten
- Verwendung anfälliger Komponenten
- Import von nicht vertrauenswürdigen Funktionen
- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io
- Management von Schwachstellen
- Übung - Auffinden von Schwachstellen in Komponenten von Drittanbietern
- Sicherheit von KI-generiertem Code
- Praktische Angriffe auf Tools zur Codegenerierung
- Abhängigkeits-Halluzination durch generative KI
- Fallstudie - Eine Geschichte der Schwächen von GitHub Copilot (bis Mitte 2024)
- A07 - Fehler bei der Identifizierung und Authentifizierung
- Authentifizierung
- Grundlagen der Authentifizierung
- Multi-Faktor-Authentifizierung (MFA)
- Fallstudie - Der InfinityGauntlet-Angriff
- Passwortverwaltung
- Verwaltung eingehender Passwörter
- Speichern von Kontopasswörtern
- Labor - Reicht das Hashing von Passwörtern aus?
- Wörterbuchangriffe und Brute-Forcing
- Salzen
- Adaptive Hash-Funktionen für die Passwortspeicherung
- Übung - Verwendung adaptiver Hash-Funktionen in JCA
- Übung - Verwendung adaptiver Hash-Funktionen in Copilot
- Passwort-Politik
- NIST-Authentifikator-Anforderungen für gespeicherte Geheimnisse
- A08 - Fehler in der Software und Datenintegrität
- Schutz der Integrität
- Nachrichten-Authentifizierungs-Code (MAC)
- MAC-Berechnung in Java
- Übung - MAC-Berechnung in JCA
- Digitale Unterschrift
- Elliptische Kurven Kryptographie
- ECC-Grundlagen
- Digitale Unterschrift mit ECC
- Digitale Unterschrift in Java
- Übung - Digitale Signatur mit ECDSA in JCA
- Integrität der Subressource
- JavaScript importieren
- Übung - JavaScript importieren (mit Copilot erkunden)
- Fallstudie - Die Datenschutzverletzung bei British Airways
- Unsichere Deserialisierung
- Herausforderungen bei Serialisierung und Deserialisierung
- Integrität - Deserialisierung nicht vertrauenswürdiger Datenströme
- Integrität - bewährte Verfahren zur Deserialisierung
- Vorausschauende Deserialisierung
- Eigenschaftsorientiertes Programmieren (POP)
- Erstellen einer POP-Nutzlast
- Übung - Erstellen einer POP-Nutzlast
- Übung - Verwendung der POP-Nutzlast
- Fallstudie - Deserialisierungs-RCEs in NextGen Mirth Connect
- A09 - Fehler bei der Sicherheitsprotokollierung und -überwachung
- Grundsätze der Protokollierung und Überwachung
- Rundholz fälschen
- Protokollfälschung - bewährte Verfahren
- Fallstudie - Log-Interpolation in log4j
- Fallstudie - Die Log4Shell-Schwachstelle (CVE-2021-44228)
- Fallstudie - Log4Shell-Folgemassnahmen (CVE-2021-45046, CVE-2021-45105)
- Übung - Log4Shell
- A10 - Server-seitige Anforderungsfälschung (SSRF)
- Server-seitige Anforderungsfälschung (SSRF)
- Fallbeispiel - SSRF in Ivanti Connect Secure
- Einpacken
- Grundsätze der sicheren Kodierung
- Grundsätze der robusten Programmierung von Matt Bishop
- Und was nun?
- Quellen zur Softwaresicherheit und weiterführende Literatur
- Java-Ressourcen
- Verantwortungsvolle KI-Prinzipien in der Softwareentwicklung
- Generative AI - Ressourcen und zusätzliche AnleitungenVerantwortungsbewusst kodieren mit GenAI
Die OWASP Top Ten aus der Sicht von Copilot
EinpackenDieser Text wurde automatisiert übersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.3 Tage2250.002250.002250.002250.002250.00