JavaScript, BUD1903

Budapest, 1903 [past]

Done

Nyilasy Péter kurzusa

Biztonságos fejlesztés JavaScriptben

Budapest (HU), one-day intensive training

timing: March 21 (Thu), 9:30-18:30
venue: One Identity Balabit HUB, Budapest
seats: 15+
trainer: Péter Nyilasy
agenda: course agenda
days: 1 XL day (7hrs education time)
language: Hungarian

The ticket flow: ⓵ Alice orders tickets for Bob and Eve or herself -> Alice gets a VAT invoice in email from defdev to pay and pays via wiretransfer or Paypal -> Alice gets voucher(s) in an email -> ⓶ Bob and Eve (or Alice) use their personal vouchers to register -> done.

Biztonságos fejlesztés JavaScriptben [HU]

Az egy napos kurzuson a fejlesztő nézőpontját alapul véve vesszük számba a legfontosabb javascripthez kapcsolódó sérülékenységeket. Megtanuljuk hogy hogyan lehet az egyes sérülékenységeket tesztelni, felismerni a forráskód olvasása vagy írása közben, hogy hogyan lehet őket kijavítani és elkerülni.

Beszélünk a javascript nyelv biztonsági vonatkozásairól, górcső alá vesszük a leggyakoribb antipatterneket. Részletesen elemezzük az XSS összes fajtáját és megjelenési formáját, nem pusztán elméleti úton, hanem szándékosan sérülékeny alkalmazások funkcionális és forráskód elemzésével. Tanulunk számos egyéb js sérülékenységről, úgy mint CSRF, OSRF, clickjacking, tabnabbing. Tudatosítjuk a HTML5 biztonsági hozadékait, csakúgy mint a veszélyeit. Rávilágítunk a CSP és egyéb biztonsággal kapcsolatos Http headerek jelentőségére. A hallgatóság igényeitől függően röviden specifikus js technológiák biztonsági funkcióinak ismertetésére, értékelésére is sort kerítünk (Angular, React).

JavaScript security

The one-day javascript security training will cover the fundamentals of secure coding in javascript. We will teach the most important web vulnerabilities related to javascript from the perspective of the developer. They will learn how to find vulnerabilities during testing, how to recognise them within the source-code, how to avoid, and how to mitigate them.

We will cover the security-related specialities of javascript, emphasising some common pitfalls. We will reach an in-depth understanding of XSS, covering all types and flavors, focusing not only on the theory, but practising on intentionally vulnerable applications and analysing their source-code. We will raise awareness of several other js vulnerabilities, CSRF, OSRF, clickjacking, tabnabbing as well as some HTML5 related security problems. We will enlighten the significance of CSP and other security-related Http headers. Depending on the needs of the audience we can also present a brief security-evaluation of some popular js technologies (Angular, React).

: JavaScript security

course level: popular
audience: junior to senior developers, testers and security champions
duration: 1 XL day, 7 hrs education time
equipment: laptop with a dev/ide environment
prerequisite: familiarity with with the JS language, understanding of the HTTP protocol and HTML, familiarity with basic security features of an enterprise application (authentication, authorization, the concept of a session)
references: Logmein, GetGo

Is JS a secure language?: Automatic conversions; Type safety; Variable scopes; Eval, setTimeout, etc,,,
XSS: Types (reflective, stored, dom-based, non dom-based); Dangerous js functions (Vanilla and jQuery); How to defend; BeEF demo [*]
More injections related: Other html injections; Open redirection; Client side sqli [*]; Cookie injection
Other JS (or JS related) vulnerabilities: The same origin policy, CSRF, CORS; OSRF; Clickjacking; Tabnabbing

HTML5 security: Web storage [*]; WebSockets [*]; Web Messaging [*]; Webworkers [*]; Iframe sandboxing; CSP and other security headers
Technology specific security: ReactJS security [*]; Angular security [*]
Other topics: JS obfuscation [*]; Cryptography in JS [*]

[*] optional, delivered on demand. The audience can vote for some of these non-essential topics.
All classes are tuned for advanced audience, though are comprehensible for any person interested in the development process.

The trainer

This training is delivered by Péter Nyilasy with the material created by Péter himself and Glenn ten Cate.

Péter Nyilasy

Péter has been doing enterprise web application development for more than a decade now mainly for financial institutions. He has exceptional knowledge of and strong experiences with Java and JEE, and also with several Javascript frameworks. In the recent years Péter turned to software security and does secure development consulting, ASVS-based application audits with secdev.eu and is a resident trainer with defdev.eu.

Meanwhile he stays current with the software production internals working also as a freelance software engineer. Péter also teaches Java for developers.

The training is hosted by

Jegyrendelési útmutató,
feedback, kérdések

Kérdés vagy támogatási igény esetén bátran írj/hívj minket!

[email protected] select/copy assistance form google form
@defdeveu direct message us +32476222722 dél és este 9 között

Bátran kérdezz, ha valami nem világos! Kérj támogatást a jegyrendeléssel, számlázással, fizetéssel kapcsolatban!

Tisztában vagyunk azzal, hogy egy drágább oktatásra befizetni körültekintő döntést igényel ... még akkor is, ha mi vagyunk a témában a lejobbak ,)

Amit érdemes végigolvasni:

A kurzus ismertetése fent
A jegyrendelési útmutató lent

Jegyrendelési útmutató

A jegyrendelés menete

A jegyrendelési googleformmal jelzed nekünk az igényedet (akár magadnak rendelsz egy jegyet, akár többet a kollégáidnak);
Bármilyen kérdésünk merülne fel a rendeléssel kapcsolatban, visszaírunk vagy visszahívunk;
Küldünk áfás számlát emailben;
Átutalással vagy Paypal-lel te vagy a céged fizet;
A rendelt jegyek számának megfelelő számú vouchert (hat karakter hosszú kódokat) kapsz tőlünk;
A személyes voucherekkel a hallgató maga regisztrál egy másik googleformmal (egy jó email címmel));
Regisztrációról a hallgató emailben kap visszaigazolást, és később további tájékoztatást a teendőkről.

Hogyan lehet fizetni?

Banki átutalással vagy bankkártyával Paypal-on keresztül.

Miért nincs a jegyárban ebéd?

Mert harapós helyszínbérletet sem kell megfizetned a jegy árával (hála a Balabitnak). A kávészünetekkel elégedett leszel. És lesz idő normálisan ebédelni.

Meggondolhatom magam a fizetés után?

A rendezvény előtt 32 napnál korábban lemondott jegyeket jegyenként bruttó 20EFt levonásával visszafizetjük.

Mi ez a fura kitétel, hogy "nem megfelelő érdeklődés esetén az oktatást 30 nappal az esemény előtt defdev lemondhatja"?

A baráti árú trainingnek ez a játékszabálya, hogy időben biztosak kell legyünk abban, hogy ki tudjuk fizetni a trénert. A legrosszabb esetben egy hónappal az esemény tervezett időpontja előtt megtudod, hogy mégsem lesz, és visszakapod a pénzt hiánytalanul. * UPD: Mivel a jelentkezés már megfelelő, ezért részünkről a lemondás csak váratlan tömeges lemondás esetén képzelhető el.

Ki állítja ki a számlát és kinek fogunk utalni?

azd.security Kft., Budapest
adószám: HU13804079, alapítva: 2006, cégjegyzék: HUOCCSZ.01-09-874089

The full catalog of our courses is available at c.defdev.eu.

For sponsors

def[dev]eu events provide a unique opportunity for the secure development tooling and services providers to get in touch with developers and team leaders from cool European development teams and IT departments

Contact us at [email protected], direct message us on twitter @defdeveu or call +32476222722 [Timur].