Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Oferta Szkolenia Zaawansowane bezpieczeństwo aplikacji www - szkolenie

Zaawansowane bezpieczeństwo aplikacji www - szkolenie

zebatka

 


O szkoleniu

glowaDwudniowe szkolenie warsztatowe (85% to praktyka) z zaawansowanego bezpieczeństwa aplikacji webowych. Szkolenie prowadzone - Michała Sajdaka - założyciela serwisu sekurak.pl i redaktora głównego magazynu Sekurak/Offline.

Szkolenie zawiera sumarycznie przeszło 20 ćwiczeń - pracujemy na realnych aplikacjach - w tym aplikacjach, które dopiero zostały niedawno załatane.

W formie praktycznej wskazanych jest również wiele uniwersalnych metod ochrony aplikacji przed podatnościami  (Content Security Policy, HSTS, WAF, czy scenariusz ochrony przed DoS z wykorzystaniem narzędzia klasy host IDS).

Ramowy program szkolenia

machinaKażde zagadnienie poniżej realizowane jest w formie warsztatowej.

Bezpieczeństwo webservices / API REST - warsztaty

  • Lokalizowanie WebServices
  • Generacja komunikatów SOAP na bazie WSDL
  • XXE (XML eXternal Entities) a webservices
  • XML bomb a webservices
  • Praktyczne przykłady API REST oraz podatności

Błędy związane z obsługą XML - warsztaty

  • XXE - wariant klasyczny
  • XXE - wersja blind
  • XML Bomb
  • XML injection
  • XSLT - OS Command Execution
  • XSLT - odczyt plików z FS

Podatności klasy Object Injection - warsztaty

  • Wykonanie kodu w OS przy deserializacji w Python
  • PHP Object Injection
  • Deserializacja w Java

    Formaty kompresji a bezpieczeństwo aplikacji

    • Shell z wykorzystaniem zip
    • Linki symboliczne w zip

    Uniwersalne mechanizmy ochronne aplikacji webowych - warsztaty

    • Content Security Policy
    • HTTP Strict Transport Security
    • HTTP Public Key Pinning
    • Web Application Firewall
    • Monitoring logów serwera www z wykorzystaniem OSSEC
    • Case study: ochrona przed DoS na aplikację webową
    NoSQL injection - warsztaty
    • Przegląd baz noSQL
    • Przykłady wstrzyknięć do MongoDB
    • MongoDB: omijanie uwierzytelnienia
    • MongoDB: server-side JavaScript Injection
    Case study na żywo: podatności w aplikacji Java (aplikacja z 2015 roku) - warsztaty
    • Path traversal / omijanie filtrów
    • XXE
    • Zdalne wykonanie kodu w OS
    • Shell w JSP

    Case study na żywo: podatności w konsoli zarządczej routerów TP-link (podatności z 2016 roku)

    • Wykonanie kodu w OS bez uwierzytelnienia jako root

    Ćwiczenie podsumowujące

    Flaga


    Podczas wieloetapowego ćwiczenia utrwalimy pozyskaną wiedzę, a także w formie praktycznej poznamy pewne nowe podatności takie jak: Shellshock czy Heartbleed.

    O prowadzącym szkolenie

    • Michał Sajdak jest konsultantem w firmie Securitum.
    • Rocznie realizuje kilkadziesiąt testów penetracyjnych aplikacji webowych
    • W przeciągu ostatnich 5 lat w dziedzinie bezpieczeństwa IT przeszkolił kilkaset osób (autorskie szkolenia otwarte oraz zamknięte).
    • Prelegent na konferencjach: SEMAFOR (2010, 2012, 2015), Securitybsides (2012), SEConference (2009), SecCon (2011), OWASP@Krakow (2011), AIESEC (2012), Confidence (2009, 2011, 2015)
    • Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, Bank BPH, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, Narodowe Archiwum Cyfrowe, Adamed, PGNiG, PGF, Unilever, Polkomtel, T-Mobile.
    • Posiadacz certyfikatu CISSP (#338973).
    • Posiadacz certyfikatu CEH
    • Posiada certyfikatu CTT+
    • Absolwent Uniwersytetu Jagiellońskiego (informatyka).

    Pozostałe informacje

    Toshiba - Z930

    Laptop szkoleniowy

    Szkolenie odbywa się w formule BYOL (bring your own laptop), ale bez dodatkowych kosztów istnieje również możliwość dostarczenia naszego laptopa (wydajny ultrabook Toshiba Z930) - prosimy o wcześniejszy kontakt. 

    Możliwy dowolny system operacyjny (Windows, Linux lub Mac) z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM.

    Godziny trwania szkolenia

    10:45 - 17:30 - pierwszy dzień

    9:00 - 15:30 - drugi dzień

    Kontakt

    e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

    Cena szkolenia

    Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

    • Udział w szkoleniu.
    • Obiad w trakcie każdego dnia trwania szkolenia.
    • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
    • Forma papierowa pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
    • Certyfikat ukończenia szkolenia.

    Patronat medialny

    Linux.pl          
     
     hcsl logo           logo ubunet          
    4plogo           Logo - Virtual IT           dotnetmaniak logo          

    Organizacja szkolenia w wersji zamkniętej 

    Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta - dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

    Regulamin 

    Regulamin szkolenia można pobrać pod następującym adresem:
    regulamin_szkolenie_zaawansowane_bezpieczenstwo_aplikacji_www.pdf

     

    Przydatne informacje? Polub nas na facebooku.