Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Oferta Szkolenia Zaawansowane bezpieczeństwo aplikacji www - szkolenie

Zaawansowane bezpieczeństwo aplikacji www - szkolenie

zebatka

 


O szkoleniu

glowa

Praktyczny kurs (80% szkolenia stanowią ćwiczenia) prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego (11 miejsce w globalnym rankingu Hall of Fame Google - Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs - zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych - w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. 

Kurs umożliwi Ci bycie o krok przed atakującymi (i przed całą resztą ;-)

Ramowy program szkolenia

machinaKażde zagadnienie poniżej realizowane jest w formie warsztatowej.

1. Server-Side Template Injection (wstrzyknięcia szablonów).
 - Silniki FreeMarker, Velocity, Twig,
 - Wykorzystanie podatności do wycieku danych,
 - Wykorzystanie podatności do wykonywania dowolnego kodu.

2. Błędy deserializacji danych
 - Przykłady w językach programowania: Python, Java, PHP,
 - Wykorzystanie deserializacji do zmiany przepływu działania programu
lub wycieku danych,
 - Wykorzystanie deserializacji do wykonania dowolnego kodu.

3. Świat XML i błędy bezpieczeństwa oraz Server-Side Request Forgery,
 - XML eXternal Entity (XXE) - wariant klasyczny
 - Blind XXE,
 - Atak billion laughs, quadratic blowup,
 - XSLT - wykonywanie dowolnego kodu,
 - SSRF - skanowanie sieci lokalnej i wydobywanie poufnych danych,

4. Filtry w aplikacjach i Web Application Firewall (WAF)
 - Sposoby działania systemów WAF i typowych filtrów chroniących przed
atakami,
 - Sposoby tworzenia reguł,
 - Sposoby obchodzenia filtrów i systemów WAF
 - Case: omijanie WAFa - urządzenie F5

 

5. Kryptografia
 - Przykłady błędnie zaimplementowanych algorytmów kryptograficznych,
 - Atak padding oracle/bit flipping
 - Atak hash length extension

6. Mechanizmy obronne w aplikacjach webowych:
 - Content Security Policy,
 - Inne nagłówki bezpieczeństwa (HPKP, HSTS),
 - Analiza logów serwera z wykorzystaniem OSSEC.

7. Inne ataki na aplikacje webowe:
 - Problemy z interpretacją plików ZIP (dowiązania symboliczne i
odwołania do dowolnych ścieżek)
 - Regular Expression Denial of Service (ReDoS),
 - NoSQL Injection

8. Ćwiczenie podsumowujące szkolenie.

10. Podsumowanie szkolenia - krótkie podsumowanie wszystkich omówionych
metod ataku i obrony.

O prowadzącym szkolenie

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum.
  • Uczestnik programów bug bounty.
  • 11. miejsce na globalnej liście najlepszych bughunterów wg. Google (Application Security)
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer
  • Ponad 5 lat doświadczenia w testów aplikacji mobilnych i webowych,
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016).
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Pozostałe informacje

Toshiba - Z930

Laptop szkoleniowy

Szkolenie odbywa się w formule BYOL (bring your own laptop). 

Możliwy dowolny system operacyjny (Windows, Linux lub Mac) z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM.

Godziny trwania szkolenia

10:30 - 18:00 - pierwszy dzień

9:00 - 15:30 - drugi dzień

Kontakt

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Forma papierowa pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  • Certyfikat ukończenia szkolenia.

Patronat medialny

Linux.pl          
 
 hcsl logo           logo ubunet          
4plogo           Logo - Virtual IT           dotnetmaniak logo          

Organizacja szkolenia w wersji zamkniętej 

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

Regulamin 

Regulamin szkolenia można pobrać pod następującym adresem:
regulamin_szkolenie_zaawansowane_bezpieczenstwo_aplikacji_www.pdf

 

Przydatne informacje? Polub nas na facebooku.