OWASP

Actual Training

Training Secure Coding in ASP.NET Core

Pada tanggal 23-26 July 2024 telah dilangsungkan inhouse training dengan judul Secure Coding in ASP.NET Core. Pelatihan ini diikuti oleh developer dari ISD Department Epson Batam.

Pelatihan ini membahas penerapan security best practices yang perlu dilakukan oleh developer untuk mengamankan aplikasi web dan backend services. Guideline yang digunakan diambil dari OWASP Application Security Verification Standard (ASVS). ASVS menyediakan guideline berupa checklist yang dapat diikuti untuk memastikan aplikasi yang dibuat sudah memenuhi standar level security yang disarankan oleh OWASP. Penerapan ASVS guideline akan disesuaikan dengan framework ASP.NET Core. Topik yang dibahas pada pelatihan ini meliputi:

  • Secure Coding with OWASP
  • OWASP ASVS Architecture
  • Authentication in ASP.NET Core (Identity, Multi Factor Authentication, Rate Limiting Login, etc)
  • Session Management (ASP.NET Core Sessions, Cookies Management)
  • Access Control (Role Based & Claim Based Authorization, Anti-CSRF)
  • Secure Handling Input and Output Data (Validation, Encoding, Prevent Injection, etc)
  • Protecting Sensitive Data (ASP.NET Core Data Protection, Data Privacy, Secret Management, etc)
  • Secure Error Handling and Logging
  • Vulnerable Dependencies
  • Protecting the Business Logic
  • Handling Untrusted Files
  • Hardening Configuration
  • API Security
Actual Training

Pelatihan ASP.NET Core Security (PT Pertamina Pesero)

Pada tanggal 13 – 15 November 2019 telah dilaksanakan pelatihan inhouse dengan Judul ASP.NET Core Security. Peserta dari pelatihan ini adalah tim pengembang aplikasi backend dari PT Pertamina Persero. Pelatihan ini dilaksanakan di Pertamina Simprug Residence, Jakarta Selatan.

Keamanan perangkat lunak merupakan pertimbangan penting ketika merancang dan mengembangkan aplikasi web. Meskipun pelanggaran keamanan dan ancaman dapat memiliki konsekuensi serius, ada beberapa langkah yang dapat dilakukan developer untuk menjaga keamanan aplikasi mereka.

Dalam pelatihan ini kita akan mempelajari teknik untuk mengamankan dan mengendalikan akses ke aplikasi ASP.NET Core. Juga akan dibahas cara menerapkan otentikasi dan otorisasi menggunakan kerangka kerja ASP.NET Core Identity dan otentikasi token dengan IdentityServer, dilanjutkan tentang pembahasan serangan yang paling umum, dan bagaimana melindungi sistem dari serangan tersebut (strategi untuk melindungi data sensitif dalam aplikasi termasuk enkripsi, perlindungan API, dan SSL).

Pengajar pada pelatihan ini adalah Bapak Erick Kurniawan yang merupakan salah satu Microsoft MVP (Most Valuable Professional) di bidang Development Technology (ASP.NET Core, Xamarin Cross Platform, & Blazor).

Daftar Materi

  • Introduction to Web Security
  • Injection
  • Broken Authentication and Session Management
  • Cross Site Scripting (XSS)
  • Insecure Direct Object Reference
  • Security Misconfiguration
  • Sensitive Data Exposure
  • Missing Function Level Access Control
  • Cross Site Request Forgery (CSRF)
  • Using Components with Known Vulnerabilities
  • Unvalidated Redirects and Forwards
  • ASP.NET Identity
  • Security Best Practice (ASP.NET Core)
  • Discovering Device Communication With APIs
  • Leaky APIs and Hidden APIs
  • API Manipulation and Parameter Tampering
  • API Authentication and Authorization Vulnerabilities
  • Protect Against cross-site scripting (XSS) attacks
  • Protect Againts cross-site request forgery (XSRF) attacks
  • Protect againts SQL Injection Attacks
  • Define cross-origin resource sharing (CORS) policies
  • Open redirect attacks and URL manipulation
  • Encyrption basics
  • Data protection API Orverview
  • Use configuration builder and environment
  • Safe storage of application secrets during development
  • Protect client and server communication using SSL

gambr1pertamina