Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Oferta Szkolenia Bezpieczeństwo aplikacji www - szkolenie

Bezpieczeństwo aplikacji www - szkolenie

zebatka
  • Warszawa, 19-21.11.2014 

O szkoleniu

glowaNasze trzydniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych. Na szkoleniu prezentujemy kilkanaście podatnych systemów, których bezpieczeństwo analizowane jest przez kursantów. Każda podatność poprzedzona jest wstępem teoretycznym, a dla podatności wskazujemy również metody ochrony przed atakami. Utrwalanie wiedzy ułatwia: silne podejście warsztatowe, dostęp do podatnych aplikacji również po szkoleniu, czy wskazanie dodatkowych dokumentacji i zasobów umożliwiających realizację samodzielnych testów bezpieczeństwa.

Uczestnicy o szkoleniu

komentarzObecna forma szkolenia to efekt kilkuletnich optymalizacji treści oraz formy prowadzenia tego kursu.  Sami uczestnicy tak piszą o szkoleniu:

 

  • "Tematyka i ćwiczenia zostały jednak tak skonstruowane, że każdy – niezależnie od swojego poziomu – mógł się z satysfakcją wyżyć. Michał bardzo fajnie tłumaczył i podpowiadał, ale nie prowadził za rączkę – dzięki czemu po szkoleniu dużo rzeczy zostało ‘w palcach’.

    Ogółem bardzo polecam. Byłem w zasadzie na dwóch szkoleniach Securitum i każde z nich było równie dobre. Przypadek? Nie sądzę ;-)" - Adrian Vizzdoom Michalczyk - na serwisie sekurak.pl
  • "Jeśli tylko macie możliwość zapisać się na to szkolenie – nie zastanawiajcie się ani chwili :)

    Trzy dni wypełnione od rana do późnego popołudnia ćwiczeniami wraz z przystępnie wytłumaczoną teorią, do tego świetny sposób prowadzenia zajęć i przygotowanie techniczne" - bl4de na w serwisie sekurak.pl
  • "Najlepsze szkolenie na jakim byłem".
  • "Było fajne: zrozumiałe, w odpowiedniej szybkości, by każdy zdążył zrobić ćwiczenie ze wsparciem prowadzącego"
  • "Szkolenie bardzo ciekawe, poszerza horyzonty".
  • "Niecodzienna tematyka, poruszane były rzadko spotykane sprawy. Bardzo przydatne :-)"
  • "Szkolenie bardzo dobre. Zaleta: możliwość praktyki, co ułatwia zrozumienie i zapamiętanie"
  • T-Mobile, październik 2012 - "(...) dynamiczny i ciekawy sposób prowadzenia warsztatów (...). Dziękujemy za profesjonalne przeprowadzenie szkolenia".
  • BRE Bank SA, grudzień 2011  - "(...) bardzo duża liczba elementów praktycznych, nieszablonowe ćwiczenia bazujące na praktyce prowadzącego (...). Szkolenie przeprowadzone było bardzo profesjonalnie i zostało wysoko ocenione przez uczestników"

  • Gemius SA, marzec 2011 -  "(...) Zagadnienia poruszane na szkoleniu pozwoliły całościowo spojrzeć na kwestie bezpieczeństwa w aplikacjach WWW. Optymalnie dobrane materiały oraz profesjonalny sposób prowadzenia szkolenia, w pełni zasługują na uznanie."

Ramowy program szkolenia

machinaWprowadzenie do tematyki testowania bezpieczeństwa aplikacji webowych

  • Czym są testy penetracyjne aplikacji www?
    • Różnice pomiędzy testem penetracyjnym a audytem bezpieczeństwa
  • Prezentacja przykładowego raportu z testów penetracyjnych.
  • Najistotniejsze klasy podatności występujące w aplikacjach webowych
  • Omówienie dokumentów OWASP Top Ten, OWASP ASVS (Application Security Verification Standard), OWASP Testing Guide.
  • Dalsze źródła wiedzy - serwisy on-line, literatura, narzędzia.

Narzędzia wspierające testowanie bezpieczeństwa aplikacji

  • Realizacja w pełni automatycznych testów aplikacji webowych - w tym generacja automatycznego raportu
  • Automatyzacja testów (sprawne przygotowanie proof of concept ataku)
  • Wykrywanie contentu na serwerze (metody bruteforce oraz zoptymalizowane bruteforce)
  • Zastosowanie narzędzi do realizacji ataków typu brute-force na uwierzytelnienie

Podatność SQL injection

  • 10 minutowe wprowadzenie do języka SQL
  • 6-7 przykładów tej podatności w różnych miejscach aplikacji - nauka wykrywania podatności, przygotowania proof of contept (nieautoryzowane pobranie danych z bazy, wykonanie kodu w systemie operacyjnym), nauka łatania podatności
  • Techniki omijania filtrów
  • Blind SQL injection - poznanie sposobów wykrywania oraz narzędzi umożliwiających atak
  • Przykłady na kilku różnych bazach danych (wskazanie elementów charakterystycznych dla SQL Server, Oracle, MySQL, PostgreSQL, DB2, SQLite)

Wykrywanie, wykorzystywanie oraz ochrona przed podatnościami

  • Path traversal - wykonanie kodu w systemie operacyjnym - korzystając ze zmiennych środowiskowych CGI
  • Problemy z XXE (XML External Entity)
  • LDAP injection (wariant w systemach Linux oraz Windows)
  • XPATH injection
  • OS Command injection (4 warianty) - w tym błąd w jednej z bibliotek JAVA
  • XSS - przejęcie dostępu administracyjnego w systemie blogowym / omijanie filtrów
  • CSRF
Ataki na system uwierzytelnienia i autoryzacji
  • Badanie kilku aspektów bezpieczeństwa ścieżki logowania
  • Badanie wykorzystanych mechanizmów autoryzacji 
  • Badanie statystyczne losowości identyfikatorów sesji
  • Techniki bruteforce
Całościowy test bezpieczeństwa na aplikację w LAB, podsumowujący wiedzę
  • Wykrycie 6-7 klas podatności
  • Przełamanie zabezpieczeń aplikacji
  • Wskazanie metod ochrony

O prowadzącym szkolenie

  • msMichał Sajdak jest konsultantem w firmie Securitum.
  • Posiada certyfikaty CEH, CISSP oraz CTT+ (Certified Technical Trainer)
  • Rocznie realizuje kilkadziesiąt testów penetracyjnych aplikacji webowych
  • W przeciągu ostatnich 5 lat zrealizował przeszło 1000 godzin szkoleniowych
  • Założyciel serwisu sekurak.pl
  • Prelegent na konferencjach: SEMAFOR (2010, 2012), Securitybsides (2012), SEConference (2009), SecCon (2011), OWASP@Krakow (2011), AIESEC (2012), Confidence (2009, 2011, 2013), Secure (2013)
  • Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, Bank BPH, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, Narodowe Archiwum Cyfrowe, Adamed, PGNiG, PGF, Unilever, Polkomtel, T-Mobile.
  • Absolwent Uniwersytetu Jagiellońskiego (informatyka).

Pozostałe informacje

Toshiba - Z930Laptop szkoleniowy

Szkolenie odbywa się w formule BYOL (bring your own laptop), ale bez dodatkowych kosztów istnieje również możliwość dostarczenia naszego laptopa (wydajny ultrabook Toshiba Z930) - prosimy o wcześniejszy kontakt. 

Możliwy dowolny system operacyjny (Windows, Linux lub Mac) z zainstalowanym Java JRE od SUN.

Godziny trwania szkolenia

10:45 - 17:30 - pierwszy dzień

9:00 - 16:00 - drugi dzień

9:00 - 15:00 - trzeci dzień

Kontakt

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena trzydniowego szkolenia wynosi 2950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Jednomiesięczną licencję oprogramowania Burp Suite Professional, zawierającą m.in.:
  • Forma papierowa pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  • Certyfikat ukończenia szkolenia.
  • Przekazanie w formie PDF rozwiązań ćwiczeń.
  • Przez dwa miesiące dostęp on-line do większości aplikacji prezentowanych na szkoleniu.

Patronat medialny

Linux.pl          
 
 hcsl logo           logo ubunet          
4plogo           Logo - Virtual IT           dotnetmaniak logo          

Organizacja szkolenia w wersji zamkniętej 

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

Regulamin 

Regulamin szkolenia można pobrać pod następującym adresem:
regulamin_szkolenie_zaawansowane_bezpieczenstwo_aplikacji_www.pdf

 

Przydatne informacje? Polub nas na facebooku.