Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Oferta Szkolenia Bezpieczeństwo frontendu aplikacji www - szkolenie

Bezpieczeństwo frontendu aplikacji www - szkolenie

zebatka

O szkoleniu

glowaPraktyczny kurs prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego (11 miejsce w globalnym rankingu Hall of Fame Google - Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs - zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych w kontekście podatności po stronie frontendu. 

Na kursie:

  • Dowiesz się o najczęściej występujących podatnościach we frontendzie aplikacji webowych, takich jak: Cross-Site Scripting czy CSS Injection. 
  • Zobaczysz jakie zagrożenia stwarzają popularne frameworki JavaScript - jQuery / AngularJS / React / itp
  • Poznasz mniej typowe podatności
  • Poznasz warsztat bugbountera
  • Nauczysz się sprytnych metod omijania filtrów 
  • Poznasz metody ochrony

Każda podatność zostanie poprzedzona krótkim wstępem teoretycznym - z uwzględnieniem różnic w możliwości wykonywania jej w najpopularniejszych przeglądarkach. 

Ramowy program szkolenia 


1. Wprowadzenie do szkolenia i technologii client-side.
2. Cross-Site Scripting - najistotniejsza podatność świata client-side.
  • omówienie Same Origin Policy
  • omówienia i trening praktycznych skutków XSS-ów,
  • typy XSS,
  • omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików)
  • omówienie punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML)
  • omówienie metod ochrony przed XSS
  • techniki omijania filtrów XSS
  • XSS-y a dopuszczanie fragmentów kodu HTML.
3. Inne ataki działające po stronie przeglądarek:
  •  Cross-Site Request Forgery
  •  Clickjacking,
  •  RPO (Relative Path Overwrite)/ataki z użyciem CSS,
  •  JSON hijacking,
  •  Dangling markup.
4. Problemy bezpieczeństwa elementów API HTML5:
  •  postMessage,
  •  CORS (Cross-Origin Resource Sharing),
  •  Service Workers,
  •  Web Sockets.
5. Content-Security-Policy - remedium na problemy bezpieczeństwa czy piekło wdrożenia?
  •  wyjaśnienie idei CSP,
  •  omówienie dyrektyw CSP,
  •  omówienie sposobów obejścia CSP,
  •  omówienie problemów przy wdrażaniu CSP.
6. Sposoby zwiększania bezpieczeństwa frontendu
  •  nagłówki bezpieczeństwa (X-Frame-Options, Public-Key-Pins, Strict-Transport-Security i inne),
  • flagi ciasteczek,
  • dobre praktyki w pisaniu aplikacji.
7. Biblioteki JS (jQuery, Angular, React, Knockout)
  •  problemy bezpieczeństwa bibliotek JS,
  •  wstrzyknięcia szablonów,
  •  naruszenie dotychczasowych założeń bezpieczeństwa.
8. Bug bounty
  •  kwestie organizacyjne programów bug bounty na przykładzie Google
  •  techniczne omówienie znalezionych błędów.
9. Ćwiczenie podsumowujące - wykorzystanie podatności client-side do
wydobywania danych z innych domen.

10. Podsumowanie szkolenia: krótkie podsumowanie wszystkich metod ataku
i ochrony omówionych na szkoleniu.

 

machina

O prowadzącym szkolenie

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum.
  • Uczestnik programów bug bounty.
  • 11. miejsce na globalnej liście najlepszych bughunterów wg. Google (Application Security)
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer
  • Ponad 5 lat doświadczenia w testów aplikacji mobilnych i webowych,
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016).
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Pozostałe informacje

Do szkolenia wymagany jest laptop z przeglądarką Firefox / Chrome.

Kontakt

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.
  • Przekazanie w formie PDF rozwiązań ćwiczeń.
 

Organizacja szkolenia w wersji zamkniętej 

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

 

 

Przydatne informacje? Polub nas na facebooku.