Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Jesteś w: Start Oferta Szkolenia - bezpieczeństwo IT Bezpieczeństwo aplikacji www - szkolenie - Kraków 22-24.11.2010r.

Bezpieczeństwo aplikacji www - szkolenie - Kraków 22-24.11.2010r.

W trakcie trzydniowego szkolenia warsztatowego...

  • Dowiesz się, jakie są obecnie największe zagrożenia dla rozwiązań opartych na www (portale internetowe, aplikacje, intranety, ekstranety i inne).
  • Zobaczysz jak hackerzy przygotowują pełne ataki na systemy oparte o web (pokaz w pełni działających exploitów przygotowywanych i wyjaśnianych krok po kroku).
  • Poznasz w jaki sposób można zapobiec tego typu atakom na aplikacje www.
  • Wykonasz sam przykładowe ataki (części warsztatowe szkolenia).
  • Skorzystasz z komercyjnych licencji na oprogramowanie ułatwiające lokalizację błędów bezpieczeństwa w aplikacjach webowych.

Grupa docelowa szkolenia

Szkolenie przeznaczone jest dla:

  • Pracowników działów IT - w tym programistów aplikacji webowych.
  • Administratorów systemów.
  • Pracowników działu testowania oprogramowania.
  • Pracowników departamentów bezpieczeństwa firm.
  • Osób odpowiedzialnych za audyt zewnętrzny/wewnętrzny organizacji.
  • Osób związanych z branżą informatyki śledczej (computer forensic).
  • Osób pragnących poznać tematykę bezpieczeństwa aplikacji www.

Od uczestników wymagana jest jedynie wiedza ogólna z zakresu:

  • Podstaw znajomości protokołu HTTP, języka HTML - w tym JavaScript.
  • Podstaw składni języka SQL.

Uwaga: istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

Unikalnymi elementami charakteryzującymi nasze szkolenie są:

  • Przekazanie wiedzy opartej na praktycznych przykładach (praktyka połączona z teorią).
  • Praktyczne przykłady testu penetracyjnego (odbywające się w czasie rzeczywistym realne ataki na każdą z przedstawianych podatności).
  • Mini case studies realnych przypadków audytu (lokalizacja każdej z omawianych podatności) - bez ujawniania informacji o spółkach, w których realizowany był audyt, ani jakichkolwiek informacji, które mogłyby pomóc w lokalizacji tychże firm.
  • Umożliwienie kursantom korzystania w trakcie warsztatów z komercyjnego oprogramowania Burp Suite Professional, również po zakończeniu szkolenia.

Formuła szkolenia

Szkolenie odbywa się w formule BYOL (bring your own laptop). Uczestnicy będą mieli dostęp do większości prezentowanych aplikacji. Dodatkowo każdy z uczestników otrzyma jednomiesięczną licencję oprogramowania Burp Suite Professional.

Liczba uczestników szkolenia jest limitowana do 8 osób.

Ramowy program szkolenia

Dzień 1 (11:00 - 18:00)

10:15-10:45 -- Rejestracja

10:45-11:00 -- Powitanie. Przestawienie prelegenta oraz tematyki szkolenia.

  • Instalacja oprogramowania Burp Suite Professional na komputerach kursantów.

11:00-11:45 --  Audyt aplikacji - wprowadzenie

  • Rodzaje audytów bezpieczeństwa IT.
  • Audyt aplikacji.
  • Testy penetracyjne.
11:45 - 12:00 -- Przerwa

12:00 - 13:00 -- Aplikacje www

  • Architektura aplikacji webowych vs architektura sieciowa systemu.
  • Ciekawe przykłady komunikacji http – śledzenie ruchu z wykorzystaniem http proxy. Warsztaty.
  • Przykłady http serwerów i ich reakcji na niestandardowe requesty http.
  • Funkcjonalności oprogramowania Burp Suite Pro (część 1). Warsztaty.

13:00 - 14:00 -- Obiad

14:15 - 15:45 -- Błąd klasy SQL injection

  • Charakterystyka.
  • Skutki wykorzystania błędu.
  • Metody detekcji. Warsztaty.
  • Praktyczny pokaz ataku na system – wykonywany w czasie rzeczywistym. Zdalne przejęcie uprawnień administracyjnych w portalu. Warsztaty.
  • Metody zapobiegania atakom.

15:45 - 16:00 -- Przerwa

16:00 - 17:15 -- SQL Injection – mini case studies

  • Uzyskanie dostępu do konsoli administracyjnej portalu oraz automatyczne przeniesienie ataku na inne serwisy.
  • Wyciek danych + ominięcie firewalla aplikacyjnego. Pokaz odbywający się w czasie rzeczywistym - atak na system zabezpieczony firewallem aplikacyjnym. Warsztaty.
  • Google hacking + whitebox audit = mass SQL injection. Warsztaty.
  • Metody zapobiegania atakom.
17:15-18:00 -- Konsultacje z prelegentem

Dzień 2 (9:00 - 16:15)

8:45 - 9:00 -- Poranna kawa

9:00 - 10:30 -- Błąd klasy XSS (Cross Site Scripting)

  • Charakterystyka.
  • Skutki wykorzystania błędu.
  • Metody detekcji. Warsztaty.
  • Funkcjonalności oprogramowania Burp Suite Pro (część 2). Warsztaty.
10:30 - 10:45 -- Przerwa

10:45 - 11:45 -- XSS –  zaawansowane ataki oraz mini case studies

  • Praktyczny pokaz przygotowania exploitu oraz ataku na system - w czasie rzeczywistym. Zdalne przejęcie uprawnień administracyjnych w portalu. 
  • Serwis społecznościowy - czy przeglądanie profilu innych użytkowników jest bezpieczne?
  • Persistent XSS - czyli jak zostać administratorem bloga. Warsztaty.
  • Metody zapobiegania atakom.

12:00 - 13:00 -- Obiad

13:15 - 14:15-- XSRF (Cross Site Request Forgery)

  • Charakterystyka.
  • Skutki wykorzystania błędu.
  • Metody detekcji.
  • Praktyczny pokaz exploitu oraz ataku na system - wykonywany w czasie rzeczywistym. Zdalne przejęcie kontroli nad urządzeniem sieciowym. Warsztaty.
  • Często powtarzane mity dotyczące błędów SQL injection, XSS, XSRF.
  • Metody zapobiegania atakom.
14:15- 14:30-- Przerwa

14:30- 15:15 -- Błędy klasy Information Leakage

  • Poszukiwania wycieku informacji w różnych warstwach komunikacji sieciowej. Warsztaty.
  • Typowe błędy w obsłudze błędów w technologiach PHP/JAVA/ASP.NET. Warsztaty.
  • Google hacking. Warsztaty.
  • Metody zapobiegania atakom.

15:15 - 15:30 -- Przerwa.

15:30 - 16:15 -- Konsultacje z prelegentem

Dzień 3 (9:00 - 15:15)

8:45 - 9:00 -- Poranna kawa

9:00 - 10:30 -- Błędy klasy Authentication / Authorization Bypass

  • Pojęcie sesji HTTP, ścieżka logowania
  • Badanie losowości identyfikatorów sesji. Warsztaty.
  • Detekcja błędów klasy Authorization Bypass / Authentication Bypass - dostęp do poufnych informacji. Warsztaty.
  • Metody zapobiegania atakom.
10:30 - 10:45 -- Przerwa

10:45 - 11:45 -- Najistotniejsze elementy  bezpieczeństwa środowiska aplikacji webowej

  • Bezpieczeństwo serwera www. Warsztaty
  • Bezpieczeństwo komunikacji HTTPS. Omówienie wybranych opcji oprogramowania openssl - warsztaty.
  • Bezpieczeństwo systemów operacyjnych - wybrane zagadnienia.
  • Bezpieczeństwo sieciowe - wybrane zagadnienia.

12:00 - 13:00 -- Obiad

13:15 - 14:15-- Zajęcia warsztatowe podsumowujące dotychczas zdobytą wiedzę

  • Zakres dostosowany do grupy kursantów, wykorzystanie komercyjnego narzędzia Burp Suite Professional.
14:15- 14:30-- Przerwa

14:30- 15:15 -- Narzędzia wspomagające testy penetracyjne - przegląd

  • Narzędzia komercyjne.
  • Narzędzia darmowe.
  • Porównanie: testy manualne vs testy zautomatyzowane.

15:15 - 15:30 -- Zakończenie szkolenia

Miejsce oraz ramy czasowe szkolenia

Miejsce: Kraków, hotel trzygwiazdkowy. Nazwa oraz adres hotelu zostanie podana uczestnikom szkolenia maksymalnie 14 dni przed rozpoczęciem szkolenia.

O prowadzącym szkolenie

  • Michał Sajdak jest konsultantem w firmie Securitum.
  • Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, PGNiG, PGF, Unilever, Polkomtel.
  • Posiada ponad 10 letnie doświadczenie w dziedzinach: zarządzania bezpieczeństwem IT, tworzenia oprogramowania webowego (głównie aplikacje dla instytucji finansowych) oraz administracji systemami.
  • Posiadacz certyfikatu CISSP (#338973).
  • Absolwent Uniwersytetu Jagiellońskiego (informatyka).
  • Wykonywał audyty bezpieczeństwa – w tym testy penetracyjne – dla największych organizacji w Polsce.

Cena szkolenia

Cena szkolenia wynosi 2 700 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.burp suite pro
  • Obiad w trakcie szkolenia (każdego dnia).
  • Jednomiesięczną licencję oprogramowania Burp Suite Professional, zawierającą m.in.:
  • Udostępnienie w formie papierowej pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, soki, ciasteczka.
  • Certyfikat ukończenia szkolenia.

 W przypadku uczestnictwa w szkoleniu dwóch lub większej ilości osób z jednej firmy - dla każdego kolejnego uczestnika udzielamy rabatu w wysokości 20%.

Zastrzeżenia

Uwaga, podczas szkolenia prezentowane będą praktyczne, całościowe ataki na system – od momentu planowania ataku aż do przejęcia pełnej kontroli nad systemem. Uczestnicy będą więc zobowiązani do podpisania oświadczenia o etycznym i zgodnym z prawem wykorzystaniu zdobytej podczas szkolenia wiedzy.

Zgłoszenie uczestnictwa

Zgłoszenie uczestnictwa można wykonać on-line, korzystając z formularza zgłoszeniowego.

Patronat medialny

Linux.pl

Partner handlowy

Ikaria.pl

Więcej informacji

Platinium Partner
Ikaria - logo

 

Szkolenia
Najbardziej interesowałoby mnie szkolenie z zakresu:




Głosów : 210