Poziom zaawansowania:
Prowadzący: Marek Rzepecki
Miejsce i data:
Cena: 2099 PLN netto (2 dni)

Uwaga: szkolenie prowadzone w wersji zdalnej, nie jest nagrywane.



Osoby początkujące zachęcamy do wzięcia udziału w kursie Bezpieczeństwo aplikacji WWW, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.

O szkoleniu:

Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum (tylko w 2022 roku zrealizowaliśmy przeszło 700 projektów z zakresu ofensywnego bezpieczeństwa IT). To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. Na koniec szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania.

Do kogo skierowane jest szkolenie:

  • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych

Agenda:

1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat

  • Wykonanie kodu w OS
  • Wykradanie pamięci z serwera
  • Nieautoryzowany odczyt plików z serwera

2. Podatność Server-Side Request Forgery

  • Omówienie ataku oraz typy SSRF – co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje? 
  • Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
  • SSRF w specyficznych funkcjonalnościach aplikacji webowych – generatory plików PDF, HTML 
  • Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

3. Podatność Server-Side Template Injection

  • Omówienie i subtypy ataku SSTI .
  • Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
  • Wyszukiwanie i exploitacja błędu – od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
  • Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

4. Niebezpieczna (de)serializacja danych

  • Omówienie tematyki związanej z serializacją i deserializacją danych.
  • Błędy związane z niepoprawną deserializacją danych.
  • Wyszukiwanie i exploitacja błędu – od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.

5. Proces uwierzytelnienia – krytyczny punkt w aplikacjach webowych

  • Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
  • Omijanie uwierzytelnienia w aplikacji.
  • Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
  • Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.

6. Web Application Firewall w zabezpieczaniu aplikacji webowych

  • Sposoby działania popularnych systemów WAF.
  • Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
  • Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
  • Wskazówki dotyczące poprawnej konfiguracji systemów WAF.

7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników

  • CSP – omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP. 
  • Access-Control-Allow-Origin / Credentials – Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
  • Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy 
  • Supply chain attack – niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
  • Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków. 

8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?

  • Omówienie przykładów w kilku wybranych technologiach
  • Pokazy na żywo wykorzystania podatności

9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach 

  • Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE? 
  • Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
  • Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.

Przydatne informacje:

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. 

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl

Co zawiera cena szkolenia:

  • Udział w szkoleniu
  • Certyfikat ukończenia szkolenia (PDF).
  • Nagranie dostępne przez 30 dni.
  • Dostęp do LAB (ćwiczenia mogą być realizowane do miesiąca po szkoleniu)

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Marek Rzepecki

Marek Rzepecki

  • Pasjonat tematyki ofensywnego cyberbezpieczeństwa.
  • Od blisko pięciu lat, współpracuje z Securitum w roli senior konsultanta ds. bezpieczeństwa IT.
  • Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm.
  • Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness.
  • Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka.
  • Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022).

 

Uczestnicy o szkoleniu

Dobra znajomość tematów przez trenera
Securitum
2017-08-04T11:46:09+02:00
Dobra znajomość tematów przez trenera
Wysoki poziom merytoryczny
Securitum
2017-08-04T11:46:39+02:00
Wysoki poziom merytoryczny
Doświadczenie prowadzącego
Securitum
2017-08-04T11:47:08+02:00
Doświadczenie prowadzącego
0
0
Securitum