Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Oferta Szkolenia Bezpieczeństwo frontendu aplikacji www - szkolenie

Bezpieczeństwo frontendu aplikacji www - szkolenie

zebatka

O szkoleniu

glowaPraktyczny kurs prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego (11 miejsce w globalnym rankingu Hall of Fame Google - Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs - zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych w kontekście podatności po stronie frontendu. 

Na kursie:

  • Dowiesz się o najczęściej występujących podatnościach we frontendzie aplikacji webowych, takich jak: Cross-Site Scripting czy CSS Injection. 
  • Zobaczysz jakie zagrożenia stwarzają popularne frameworki JavaScript - jQuery / AngularJS / React / itp
  • Poznasz mniej typowe podatności
  • Poznasz warsztat bugbountera
  • Nauczysz się sprytnych metod omijania filtrów 
  • Poznasz metody ochrony

Każda podatność zostanie poprzedzona krótkim wstępem teoretycznym - z uwzględnieniem różnic w możliwości wykonywania jej w najpopularniejszych przeglądarkach. 

Ramowy program szkolenia 

1. Wprowadzenie
  • Krótkie wprowadzenie do technologii klienckich (HTML, JS, CSS),
  • Najistotniejsze klasy podatności aplikacji webowych od strony klienta,
  • Omówienie źródeł zdobywania wiedzy.
2. Fundamenty działania przeglądarek internetowych
  • Same-Origin Policy,
  • Mechanizmy przechowywania danych po stronie przeglądarki/serwera (cookies, localStorage, sessionStorage, …),
  • Mechanizmy bezpieczeństwa technologii pochodnych (Flash).
3. Cross-Site Scripting (XSS) – król podatności client-side
  • Rodzaje XSS-ów (ze szczególnym uwzględnieniem DOM-based),
  • Zaprezentowanie najistotniejszych różnic między popularnymi przeglądarkami w interpretacji JavaScript,
  • Zaprezentowanie kilku przykładów podatności XSS w różnych kontekstach,
  • Techniki omijania filtrów,
  • XSS przez pliki XML, SVG oraz Flash,
  • Omówienie Same Origin Method Execution (SOME),
  • DOM Clobbering,
  • XSS pomiędzy domenami.
4. Przeprowadzanie ataków bez XSS-a
  • Wycieki danych przez „dangling markup"
  • Wycieki danych przez CSS-y (atak Relative Path Overwrite),
  • Inne sposoby wyprowadzania danych (podmiana adresu bazowego, wpływ na logikę aplikacji),
  • Współdzielenie danych pomiędzy domenami (CORS, JSONP).
5. Elementy API HTML5:
  •  Web Workers,
  •  Service Workers.
6. Zwiększanie bezpieczeństwa frontendu:
  • Nagłówki bezpieczeństwa (Public-Key-Pins, X-Frame-Options , Strict-Transport-Security i inne),
  • Content-Security-Policy (CSP) – remedium na problemy bezpieczeństwa czy piekło wdrożenia?
  • i. Omówienie podstaw CSP,
  • ii. Omówienie różnic pomiędzy poszczególnymi wersjami CSP,
  • iii. Omówienie typowych problemów przy wdrażaniu CSP,
  • iv. Sposoby obejścia CSP,
  • Flagi ciasteczek (HttpOnly, Secure, SameSite)
7. Problemy bezpieczeństwa popularnych frameworków JS (jQuery, Angular, React, Knockout i inne):
  • Błędy bezpieczeństwa samych frameworków,
  • Wstrzyknięcia szablonów,
  • Problemy izolacji kontekstu JS.
8. Z życia bugbountera
  • Jak i gdzie szukać błędów na przykładzie Google.
  • Jak maksymalizować szansę znalezienia błędów ?
  • Przykładowe znalezione błędy
9. Podsumowanie:
  • LAB podsumowujący szkolenie, zawierający kilka podatności do samodzielnego wykorzystania,
  • Podsumowanie wszystkich podatności i metod ochrony,
  • Wskazanie ogólnych najlepszych praktyk w zabezpieczaniu front-endu.
 
 

machina

O prowadzącym szkolenie

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum.
  • Uczestnik programów bug bounty.
  • 11. miejsce na globalnej liście najlepszych bughunterów wg. Google (Application Security)
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer
  • Ponad 5 lat doświadczenia w testów aplikacji mobilnych i webowych,
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016).
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Pozostałe informacje

Do szkolenia wymagany jest laptop z przeglądarką Firefox / Chrome.

Kontakt

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.
  • Przekazanie w formie PDF rozwiązań ćwiczeń.
 

Organizacja szkolenia w wersji zamkniętej 

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

 

 

Przydatne informacje? Polub nas na facebooku.