Szkolenia na żywo i online

Bezpieczeństwo aplikacji WWW – atak i obrona

Warsaw-center-free-license-CC0-150x150

Warszawa, 28 – 29 listopada 2019

Zgłoszenie

Warsaw-center-free-license-CC0-150x150

Warszawa, 27 – 28 lutego 2020

Zgłoszenie

Czas trwania: 2 dni (14h), Prowadzący: Michał Dardas

Cena: 1900 PLN netto

Szkolenie z bezpieczeństwa aplikacji webowych możemy przeprowadzić także w wersji zamkniętej tylko dla Twojej firmy, także w języku angielskim.

Nasze referencje:

Szkolenie oceniamy jako pożyteczne i cenne pod względem edukacyjnym, jak również przystępne i atrakcyjne pod kątem formy. Polecamy LogicalTrust firmom poszukującym bardzo dobrej jakości szkoleń z zakresu bezpieczeństwa IT.

FINGO

Nasi pracownicy szczególnie docenili dopasowanie programu szkolenia do ich sugestii (co umożliwiło m.in. wspólną analizę firmowej aplikacji). Wysoko ocenili otwartość, wszechstronność i umiejętności dydaktyczne prowadzącego. Spodobało im się również czytelne przekazanie treści, poparte licznymi przykładami i anegdotami. Szkolenie pozwoliło pracownikom eSky.pl S.A. na usystematyzowanie oraz poszerzenie posiadanej wiedz, a także uświadomiło, jak łatwo popełnić błąd i jakie mogą być jego konsekwencje.

eSky.pl

Jakie będą korzyści dla Ciebie:

  • uzyskasz praktyczną wiedzę od pentesterów zajmujących się na co dzień przełamywaniem zabezpieczeń
  • poznasz popularne metody ataków i nauczysz się je samodzielnie przeprowadzać we własnym środowisku
  • zrozumiesz jak działają narzędzia automatyzujące, ułatwiające proces przełamywania zabezpieczeń, pozyskiwania danych, odgadywania/łamania haseł
  • nauczysz się jak wykorzystać narzędzia lub pisać własne skrypty ułatwiające przeprowadzenie działań
  • zrozumiesz stopień krytyczności poszczególnych rodzajów podatności, zlokalizujesz ich źródło oraz podejmiesz odpowiednie środki zaradcze
  • nawiążesz cenne kontakty zawodowe

Jakie będą korzyści dla Twojego pracodawcy:

  • tańszy rozwój bezpieczniejszych aplikacji poprzez możliwość samodzielnego przeprowadzenia podstawowych testów bezpieczeństwa
  • zwiększenie wartości tworzonych produktów dzięki ich większej odporności na błędy i ataki
  • poprawa jakości i bezpieczeństwa realizowanych zadań programistycznych i administracyjnych
  • zwiększenie prestiżu na rynku w związku z podniesieniem kwalifikacji kadry

Program merytoryczny szkolenia:

  • Wstęp do bezpieczeństwa aplikacji webowych
  • Testy bezpieczeństwa
    • dobór narzędzi/technik
    • rejestrowanie informacji (zapis działań, efektów)
    • opis podatności (ryzyko, krytyczność, rekomendacje)
    • pozyskiwanie informacji o celu
    • analiza pasywna
    • analiza aktywna
    • wykorzystanie narzędzi automatyzujących
    • mechanizmy wykrywania ataków
    • projekty OWASP TOP 10, ASVS, Testing Guide
    • (…)
  • Wstrzyknięcia (manualna identyfikacja, atak, neutralizacja podatności)
    • SQL injection
    • command injection
    • code injection
    • XXE
    • mass assignment
    • błędy związane z uploadem
    • (…)
  • Niewłaściwe uwierzytelnianie i zarządzanie sesją
    • analiza identyfikatorów sesji
    • podtrzymywanie sesji
    • proces zmiany, generowania i odzyskiwania hasła
    • przechowywanie danych w sesjach
    • enumeracja użytkowników
    • niewłaściwe dane uwierzytelniające (proste hasła), ataki słownikowe
    • problemy związane z uwierzytelnianiem
    • brak ochrony przed zautomatyzowanymi działaniami (odgadywanie haseł)
    • (…)
  • Cross-Site Scripting
    • rodzaje XSS: Reflected, Stored, DOM based
    • praktyczne wykorzystanie frameworków np. BeEF do przeprowadzania ataków
    • (…)
  • Błędy bezpośredniego odwołania do obiektów
    • działania w imieniu innego użytkownika
    • pozyskiwanie danych w nieuprawniony sposób
    • (…)
  • Błędy ustawień
    • wykorzystywanie zbędnych zasobów
    • błędy konfiguracyjne serwerów HTTP
    • prowokowanie błędów w celu pozyskania informacji
    • błędy związane z konfiguracją protokołów SSL/TLS
    • (…)
  • Wyciek wrażliwych danych
    • odkrywanie zasobów znajdujących się na serwerze
    • przeszukiwanie ogólnodostępnych źródeł informacji
    • Google, Shodan, DNS Hacking
    • (…)
  • Niewłaściwa kontrola na poziomie funkcji
    • interfejs użytkownika, a rzeczywiste uprawnienia
    • weryfikacja separacji ról i użytkowników
    • (…)
  • Ataki Cross Site Request Forgery
  • Komponenty ze znanymi podatnościami
  • Niezweryfikowane przekierowania
  • Inne

(…) – i inne rzeczy, o których nie możemy pisać ;-)

Każda z kategorii błędów zawiera informacje nt. identyfikacji, metod wykorzystania oraz ochrony. Większość podpunktów kończy się praktycznym ćwiczeniem.

Co od nas dostaniesz:

  • minimum 14 godzin hardcorowego szkolenia
  • materiały szkoleniowe (slajdy)
  • 2 obiady + przerwy kawowe
  • imprezę wieczorną
  • certyfikat uczestnictwa w szkoleniu
  • sporo dobrej zabawy

Kwestie organizacyjne:

  • szkolenie ma rozkład godzin: 10-18 i 8-16 dzięki któremu wszyscy uczestnicy którzy muszą do nas dojechać i wrócić mogą zrobić to w cywilizowany sposób bez tracenia dodatkowego dnia na podróż
  • szkolenie odbywa się w wygodnej sali niedaleko dworca Warszawa Centralna
  • zadbamy o to by uczestnicy byli jednocześnie najedzeni i przytomni (obiady, kawa, napoje energetyzujące i przekąski)

Wymagania wobec sprzętu i ludzi:

  • komputer z możliwością podłączenia do sieci oraz uruchomienia VirtualBoksa i komfortowej pracy z uruchomioną maszyną wirtualną (zalecane min. 8 GB RAM oraz solidny procesor)
  • znajomość podstaw budowy aplikacji webowych oraz koncepcji bezpieczeństwa
  • osobom nieposiadającym odpowiedniego doświadczenia technicznego oraz znajomości wymaganych zagadnień dostarczymy wcześniej odpowiednie materiały uzupełniające pomagające w przygotowaniu się do warsztatów

Nasz trener:

Michał Dardas – Ex-programista, rozwijający się jako tester bezpieczeństwa aplikacji mobilnych oraz webowych. Doświadczenie nabyte podczas rozwijania projektów związanych z branżą bankową i tłumaczeniową daje mu lepszy wgląd w testowane aplikacje oraz wiedzę, jak chronić je z punktu widzenia programisty. Dodatkowo, tworzy rozszerzenia do przydatnych w pracy pentestera narzędzi, którymi dzieli się ze społecznością testerską oraz pomaga w rozwoju projektów open-source.

Najczęściej zadawane pytania – część ogólna:

Jaką mam gwarancję jakości szkolenia?
Trener musi znać swoją dziedzinę na wylot – ale także umieć przyznać się do własnej niewiedzy i wskazać, gdzie znaleźć można odpowiedź na trudne pytanie. Sama wiedza nie wystarcza, dlatego też muszi mieć talent do omawiania trudnych tematów w prosty sposób oraz dobry kontakt ze słuchaczami. Nie obędzie się też bez poczucia humoru i energii do utrzymania Was w dobrym nastroju przez kilka dni ciężkiej pracy.

A co jeśli po szkoleniu nie będę zadowolony / zadowolona?
Jeśli w trakcie szkolenia lub po jego zakończeniu uznacie, że którykolwiek z elementów szwankował, nie wahajcie się tego nam zgłosić. Każdy problem postaramy się rozwiązać tak, by Wasze zadowolenie ze szkolenia osiągnęło maksymalny dopuszczalny poziom nie zagrażający zdrowiu Waszemu i pozostałych uczestników.

Czy dowiem się wszystkiego?
Nie. Uczestnicy otrzymają zasób wiedzy wystarczający by mieć dobre pojęcie o najważniejszych elementach bezpieczeństwa aplikacji. Na pewno nie jest to wszystko, lecz dopiero duży pierwszy krok do dalszych badań i poszukiwania wiedzy. Uczestnicy szkolenia otrzymają pakiet umożliwiający samodzielny rozwój, czyli ćwiczenia oraz informacje dodatkowe.

Czym szkolenie różni się od podobnych szkoleń konkurencji?
Są firmy, na których szkoleniach jest bardzo fajnie. Są firmy, na których szkoleniach jest bardzo merytorycznie. My łączymy te dwa elementy w jednej sali.

Najczęściej zadawane pytania – część dotycząca tylko tego szkolenia:

O której zaczyna się szkolenie?
Szkolenie rozpoczyna się o godzinie 10:00.

Co można przekazać w dwa dni?
Wybraliśmy to, co w oparciu o nasze doświadczenie uważamy za najważniejsze. Szczegóły znajdziecie w programie szkolenia.

Z godzin szkolenia wynika 16h, a piszecie, że trwa 14h?
Uczciwie odliczamy przerwę obiadową.

Zapraszamy do kontaktu

poprzez formularz:

LogicalTrust sp. z o.o.
sp. komandytowa

al. Aleksandra Brücknera 25-43
51-411 Wrocław

NIP: 8952177980
KRS: 0000713515