Bezpieczeństwo aplikacji www - szkolenie - Kraków 16-17.01.2012r.

Zapraszamy również na szkolenie: zaawansowane bezpieczeństwo aplikacji www

W trakcie dwudniowego szkolenia warsztatowego...

• Dowiesz się, jakie są obecnie największe zagrożenia dla rozwiązań opartych na www (portale internetowe, aplikacje, intranety, ekstranety i inne).
• Zrealizujesz około 30 ćwiczeń (to 80% szkolenia).
  
• Nauczysz się metod wykrywania podatności.
• Poznasz narzędzia ułatwiające testowanie aplikacji pod względem bezpieczeństwa
  
• Poznasz w jaki sposób można zapobiec tego typu atakom na aplikacje www.
• Zobaczysz jak hackerzy przygotowują pełne ataki na systemy oparte o web (pokaz w pełni działających exploitów przygotowywanych i wyjaśnianych krok po kroku).
  
• Wykonasz sam przykładowe ataki (części warsztatowe szkolenia).
  

Grupa docelowa szkolenia

Szkolenie przeznaczone jest dla osób rozpoczynających swoją przygodę z bezpieczeństwem aplikacji webowych (osoby doświadczone zapraszamy na szkolenie: zaawansowane bezpieczeństwo aplikacji www).

Na szkoleniu wymagana jest jedynie ogólna wiedza dotycząca aplikacji www - reszta informacji prezentowana jest bezpośrednio na warsztatach.

Szkolenie szczególnie polecamy dla:

• Pracowników działów IT - w tym programistów aplikacji webowych.
• Pracowników działu testowania oprogramowania.
  
• Pracowników departamentów bezpieczeństwa firm.
• Administratorów systemów.
• Osób odpowiedzialnych za audyt zewnętrzny/wewnętrzny organizacji.
• Osób związanych z branżą informatyki śledczej (computer forensic).
• Osób pragnących poznać tematykę bezpieczeństwa aplikacji www.
  

Formuła szkolenia

Szkolenie odbywa się w formule BYOL (bring your own laptop).

Liczba uczestników szkolenia jest limitowana do 10 osób.

Ramowy program szkolenia

• Zagrożenia charakterystyczne dla aplikacji
• Metodologie / dokumentacje pomagające przy testowaniu aplikacji
  
• Przydatne narzędzia
  

Wstęp do protokołu HTTP - warsztaty

• Komunikaty HTTP request oraz response
  

• Metody przechwytywania komunikacji z przeglądarki internetowej.
  

• Modyfikacja requestów HTTP.
• Czym jest fuzzing protokołu HTTP i jak pomaga w testowaniu bezpieczeństwa aplikacji?
  

Błąd klasy SQL injection - warsztaty

• Charakterystyka / metody testowania aplikacji
  
• Praktyczny pokaz ataku na system – wykonywany w czasie rzeczywistym. Zdalne przejęcie uprawnień administracyjnych w portalu. Warsztaty.
• W jaki sposób SQL injection może prowadzić do przejęcia kontroli nad siecią opartą o domenę Windows?
  

• Charakterystyka / metody testowania aplikacji.
• Kilka praktycznych sposobów wykonania kodu w systemie operacyjnym poprzez aplikację webową.
• 3 sposoby na OS shell w 15 minut
  

• Charakterystyka / Metody detekcji
  

• Praktyczne ćwiczenia na  oprogramowaniu Wordpress. Atak przygotowywany przez uczestników w czasie rzeczywistym. Zdalne przejęcie uprawnień administracyjnych w portalu.
  
• Serwis społecznościowy - czy przeglądanie profilu innych użytkowników jest bezpieczne?

Błąd klasy XSRF (Cross Site Request Forgery)

• Charakterystyka / Metody detekcji.
• Praktyczne ćwiczenie na realnym systemie. Zdalne przejęcie kontroli nad urządzeniem sieciowym.
  

• Charakterystyka / Metody detekcji.
• Czy błąd path traversal to tylko możliwość odczytania pliku z systemu operacyjnego?
• Złożone scenariusze wykorzystania podatności.
  

• Charakterystyka / Metody detekcji.
• Poszukiwania wycieku informacji w różnych warstwach komunikacji sieciowej.
• Google hacking.

Błąd klasy Authentication / Authorization Bypass

• Pojęcie sesji HTTP, ścieżka logowania.
  
• Badanie losowości identyfikatorów sesji.
• Detekcja błędów klasy Authorization Bypass / Authentication Bypass - dostęp do poufnych informacji.

• Elementy oparte o praktyczną wiedzę prowadzącego szkolenie, z zakresu testów penetracyjnych aplikacji.
  
• W jaki sposób podejść metodycznie do testowania aplikacji webowej?
  
• Przykładowe metody omijania standardowych filtrów.
• Prezentacja przykładowego raportu z testów penetracyjnych
  

• Walidacja wejścia
• Hardening środowiska
• Systemy klasy IDS/Application Firewall
  

Narzędzia wspomagające testy penetracyjne - przegląd

• Narzędzia komercyjne.
• Narzędzia darmowe.
  
• Porównanie: testy manualne vs testy zautomatyzowane.
  

Co dalej? Czyli jak rozwijać swoją wiedzę

• Bezpłatne serwisy umożliwiające realizację ćwiczeń z zakresu bezpieczeństwa aplikacji
  
• Ogólna charakterystyka drugiej części szkolenia: zaawansowane bezpieczeństwo aplikacji www
  

Miejsce: Kraków, hotel trzygwiazdkowy. Nazwa oraz adres hotelu zostanie podana uczestnikom szkolenia maksymalnie 14 dni przed rozpoczęciem szkolenia.

O prowadzącym szkolenie

• Michał Sajdak realizuje testy penetracyjne aplikacji oraz sieci dla Klientów firmy Securitum
  

• Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, PGNiG, PGF, Unilever, Polkomtel.
• Posiada ponad 10 letnie doświadczenie w programowaniu oraz testowaniu bezpieczeństwa aplikacji webowych
• Prowadzi autorskie badania dotyczące ataków na urządzenia sieciowe przez aplikacje www
  

• Posiadacz certyfikatu CISSP (#338973), absolwent Uniwersytetu Jagiellońskiego (informatyka).

Cena szkolenia

Cena szkolenia wynosi 1 499  PLN netto / osobę i zawiera:

• Udział w szkoleniu.
• Obiad w trakcie szkolenia (każdego dnia).
• Udostępnienie w formie papierowej pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  
• Dostępne w trakcie szkolenia: kawa, herbata, woda, soki, ciasteczka.
• Certyfikat ukończenia szkolenia.

Zgłoszenie uczestnictwa

Zgłoszenie uczestnictwa można wykonać on-line, korzystając z formularza zgłoszeniowego.

Patronat medialny

Partner handlowy

Więcej informacji

• Regulamin szkolenia można pobrać pod następującym adresem: regulamin_szkolenie_bezpieczenstwo_aplikacji.pdf
  

• Więcej informacji można uzyskać kontaktując się z nami za pośrednictwem e-mail: szkolenia@securitum.pl bądź telefonicznie.