Bezpieczeństwo aplikacji WWW – atak i obrona

Szkolenie oceniamy jako pożyteczne i cenne pod względem edukacyjnym, jak również przystępne i atrakcyjne pod kątem formy. Polecamy LogicalTrust firmom poszukującym bardzo dobrej jakości szkoleń z zakresu bezpieczeństwa IT.

Nasi pracownicy szczególnie docenili dopasowanie programu szkolenia do ich sugestii (co umożliwiło m.in. wspólną analizę firmowej aplikacji). Wysoko ocenili otwartość, wszechstronność i umiejętności dydaktyczne prowadzącego. Spodobało im się również czytelne przekazanie treści, poparte licznymi przykładami i anegdotami. Szkolenie pozwoliło pracownikom eSky.pl S.A. na usystematyzowanie oraz poszerzenie posiadanej wiedz, a także uświadomiło, jak łatwo popełnić błąd i jakie mogą być jego konsekwencje.

• uzyskasz praktyczną wiedzę od pentesterów zajmujących się na co dzień przełamywaniem zabezpieczeń
• poznasz popularne metody ataków i nauczysz się je samodzielnie przeprowadzać we własnym środowisku
• zrozumiesz jak działają narzędzia automatyzujące, ułatwiające proces przełamywania zabezpieczeń, pozyskiwania danych, odgadywania/łamania haseł
• nauczysz się jak wykorzystać narzędzia lub pisać własne skrypty ułatwiające przeprowadzenie działań
• zrozumiesz stopień krytyczności poszczególnych rodzajów podatności, zlokalizujesz ich źródło oraz podejmiesz odpowiednie środki zaradcze
• nawiążesz cenne kontakty zawodowe

• tańszy rozwój bezpieczniejszych aplikacji poprzez możliwość samodzielnego przeprowadzenia podstawowych testów bezpieczeństwa
• zwiększenie wartości tworzonych produktów dzięki ich większej odporności na błędy i ataki
• poprawa jakości i bezpieczeństwa realizowanych zadań programistycznych i administracyjnych
• zwiększenie prestiżu na rynku w związku z podniesieniem kwalifikacji kadry

• Wstęp do bezpieczeństwa aplikacji webowych
• Testy bezpieczeństwa
  • dobór narzędzi/technik
  • rejestrowanie informacji (zapis działań, efektów)
  • opis podatności (ryzyko, krytyczność, rekomendacje)
  • pozyskiwanie informacji o celu
  • analiza pasywna
  • analiza aktywna
  • wykorzystanie narzędzi automatyzujących
  • mechanizmy wykrywania ataków
  • projekty OWASP TOP 10, ASVS, Testing Guide
  • (…)
• Wstrzyknięcia (manualna identyfikacja, atak, neutralizacja podatności)
  • SQL injection
  • command injection
  • code injection
  • XXE
  • mass assignment
  • błędy związane z uploadem
  • (…)
• Niewłaściwe uwierzytelnianie i zarządzanie sesją
  • analiza identyfikatorów sesji
  • podtrzymywanie sesji
  • proces zmiany, generowania i odzyskiwania hasła
  • przechowywanie danych w sesjach
  • enumeracja użytkowników
  • niewłaściwe dane uwierzytelniające (proste hasła), ataki słownikowe
  • problemy związane z uwierzytelnianiem
  • brak ochrony przed zautomatyzowanymi działaniami (odgadywanie haseł)
  • (…)
• Cross-Site Scripting
  • rodzaje XSS: Reflected, Stored, DOM based
  • praktyczne wykorzystanie frameworków np. BeEF do przeprowadzania ataków
  • (…)
• Błędy bezpośredniego odwołania do obiektów
  • działania w imieniu innego użytkownika
  • pozyskiwanie danych w nieuprawniony sposób
  • (…)
• Błędy ustawień
  • wykorzystywanie zbędnych zasobów
  • błędy konfiguracyjne serwerów HTTP
  • prowokowanie błędów w celu pozyskania informacji
  • błędy związane z konfiguracją protokołów SSL/TLS
  • (…)
• Wyciek wrażliwych danych
  • odkrywanie zasobów znajdujących się na serwerze
  • przeszukiwanie ogólnodostępnych źródeł informacji
  • Google, Shodan, DNS Hacking
  • (…)
• Niewłaściwa kontrola na poziomie funkcji
  • interfejs użytkownika, a rzeczywiste uprawnienia
  • weryfikacja separacji ról i użytkowników
  • (…)
• Ataki Cross Site Request Forgery
• Komponenty ze znanymi podatnościami
• Niezweryfikowane przekierowania
• Inne

(…) – i inne rzeczy, o których nie możemy pisać ;-)

Każda z kategorii błędów zawiera informacje nt. identyfikacji, metod wykorzystania oraz ochrony. Większość podpunktów kończy się praktycznym ćwiczeniem.

• minimum 14 godzin hardcorowego szkolenia
• materiały szkoleniowe (slajdy)
• certyfikat uczestnictwa w szkoleniu
• sporo dobrej zabawy

• szkolenie ma rozkład godzin: 10-18 i 8-16 dzięki któremu wszyscy uczestnicy którzy muszą do nas dojechać i wrócić mogą zrobić to w cywilizowany sposób bez tracenia dodatkowego dnia na podróż
• szkolenie odbywa się w wygodnej sali niedaleko dworca Warszawa Centralna

• komputer z możliwością podłączenia do sieci oraz uruchomienia VirtualBoksa i komfortowej pracy z uruchomioną maszyną wirtualną (zalecane min. 8 GB RAM oraz solidny procesor)
• znajomość podstaw budowy aplikacji webowych oraz koncepcji bezpieczeństwa
• osobom nieposiadającym odpowiedniego doświadczenia technicznego oraz znajomości wymaganych zagadnień dostarczymy wcześniej odpowiednie materiały uzupełniające pomagające w przygotowaniu się do warsztatów

Łukasz Juszczyk – Z bezpieczeństwem IT zawodowo związany od ponad 10 lat. Pracował zarówno po stronie defensywnej jak i ofensywnej, m.in. w zespole projektów bezpieczeństwa, jako pentester, administrator systemów bezpieczeństwa oraz CSIRT. W ostatnich latach skupia się na testach penetracyjnych oraz Red Team. Posiada certyfikaty: (OSCP) Offensive Security Certified Professional, (OSCE) Offensive Security Certified Expert, eLearnSecurity Mobile Application Penetration Tester (eMAPT).

Jaką mam gwarancję jakości szkolenia?

Trener musi znać swoją dziedzinę na wylot – ale także umieć przyznać się do własnej niewiedzy i wskazać, gdzie znaleźć można odpowiedź na trudne pytanie. Sama wiedza nie wystarcza, dlatego też muszi mieć talent do omawiania trudnych tematów w prosty sposób oraz dobry kontakt ze słuchaczami. Nie obędzie się też bez poczucia humoru i energii do utrzymania Was w dobrym nastroju przez kilka dni ciężkiej pracy.

A co jeśli po szkoleniu nie będę zadowolony / zadowolona?

Jeśli w trakcie szkolenia lub po jego zakończeniu uznacie, że którykolwiek z elementów szwankował, nie wahajcie się tego nam zgłosić. Każdy problem postaramy się rozwiązać tak, by Wasze zadowolenie ze szkolenia osiągnęło maksymalny dopuszczalny poziom nie zagrażający zdrowiu Waszemu i pozostałych uczestników.

Czy dowiem się wszystkiego?

Nie. Uczestnicy otrzymają zasób wiedzy wystarczający by mieć dobre pojęcie o najważniejszych elementach bezpieczeństwa aplikacji. Na pewno nie jest to wszystko, lecz dopiero duży pierwszy krok do dalszych badań i poszukiwania wiedzy. Uczestnicy szkolenia otrzymają pakiet umożliwiający samodzielny rozwój, czyli ćwiczenia oraz informacje dodatkowe.

Czym szkolenie różni się od podobnych szkoleń konkurencji?

Są firmy, na których szkoleniach jest bardzo fajnie. Są firmy, na których szkoleniach jest bardzo merytorycznie. My łączymy te dwa elementy w jednej sali.

O której zaczyna się szkolenie?

Szkolenie rozpoczyna się o godzinie 10:00.

Co można przekazać w dwa dni?

Wybraliśmy to, co w oparciu o nasze doświadczenie uważamy za najważniejsze. Szczegóły znajdziecie w programie szkolenia.