Cel szkolenia:
Celem szkolenia jest podniesienie umiejętności uczestników w kontekście testowania aplikacji internetowych. Uczestnicy szkolenia nabędą praktyczne umiejętności (oraz znajomość odpowiednich narzędzi) pozwalające im na identyfikację podatności w aplikacji oraz na ich naprawę w sposób zgodny z obecnie obowiązującymi standardami.
O szkoleniu:
Wymagania stawiane obecnie przed aplikacjami internetowymi w kontekście bezpieczeństwa sprawiają, że chcąc, aby nasze rozwiązania odpowiednio chroniły zarówno nas, jak i naszych użytkowników, musimy podejść do tego tematu bardziej kompleksowo. Kluczowy w takim wypadku jest systematyczny monitoring i eliminacja problemów u źródła, poprzez uświadomienie i podniesienie umiejętności osób wytwarzających oprogramowanie. Celem szkolenia jest podniesienie umiejętności uczestników w kontekście testowania aplikacji internetowych. Uczestnicy szkolenia nabędą praktyczne umiejętności (oraz znajomość odpowiednich narzędzi) pozwalające im na identyfikację podatności w aplikacji oraz na ich naprawę w sposób zgodny z obecnie obowiązującymi standardami. Podatności prezentowane podczas szkolenia są w większości uniwersalne i występują niezależnie od języka/technologii używanej podczas wytwarzania danego produktu.
Wymagania:
Wymagania dotyczące sprzętu uczestników:
– Szkolenie w formie online – potrzebujesz swojego laptopa
– Minimum 4GB RAM (zalecane 8+ GB RAM)
– Zainstalowana aplikacja Virtualbox (włączona wirtualizacja)
– Zainstalowany obraz maszyny wirtualnej (dostarczony przez nas po rejestracji na szkolenie)
– Zainstalowana przeglądarka Firefox
– Zainstalowana darmowa wersja programu Burp Suite
Dla kogo przeznaczone jest to szkolenie?
Szkolenie jest kierowane przede wszystkim dla:
– Osób zajmujących się bezpieczeństwem aplikacji internetowych
– Programistów
– Administratorów
Ale każda osoba, która interesuje się bezpieczeństwem IT pozyska dzięki temu szkoleniu cenną wiedzę i przede wszystkim – praktyczne umiejętności w zakresie testowania bezpieczeństwa aplikacji internetowych.
W trakcie 16 godzin szkolenia zapewniamy:
- certyfikat potwierdzający uczestnictwo,
- materiały programowe
Cena:
1499 zł + VAT – rejestracja przed 15.07.2020
1899 + VAT – rejestracja po 15.07.2020
Agenda
AGENDA
- Wstęp do testów bezpieczeństwa
– Statystyki dotyczące ataków
– Budowanie profilu atakującego
– Motywacja atakującego
– Najpopularniejsze techniki ataków
- Cross Site Scripting (XSS)
– Reflected XSS
– Stored XSS
– DOM-Based XSS
– Techniki omijania filtrów
– Ćwiczenia praktyczne
- Cross Site Request Forgery (CSRF)
– Czym jest CSRF
– Jak wyszukiwać podatności tego typu
– Narzędzia automatyczne wspierające wyszukiwanie CSRF
– Stworzenie formularza wykorzystującego podatność
– Ćwiczenia praktyczne
- Rekonesans
– Skąd atakujący biorą informacje o swoim celu
– Korzystanie z Shodan.io
– Google hacking
– Metadane
– Fingerprinting serwera
– Fingerprinting aplikacji
– Enumeracja aplikacji na serwerze internetowym
– Identyfikacja punktów wejścia do aplikacji
– Ćwiczenia praktyczne
- Directory Traversal / File Inclusion
– Omówienie podatnosci
– Omijanie filtrowania
– Wykorzystywanie narzędzi automatycznych
– Ćwiczenia praktyczne
- SQL Injection
– Czym jest SQL Injection
– Techniki wykrywania
– Fingerprinting bazy danych
– Możliwości wykorzystania
– Omijanie filtrowania
– Blind SQL Injection
– Narzędzia automatyczne
– Ćwiczenia praktyczne
- Testowanie logiki biznesowej
– Omówienie przykładów błędów logiki biznesowej mających wpływ na bezpieczeństwo
– Wrzucanie złośliwych plików na serwer
– Case studies
- Używanie lokalnego proxy (Burp Suite)
– Korzystanie ze skanera automatycznego
– Używanie crawlera
– Badanie losowości
– Manipulacja parametrami
– Wykorzystywanie lokalnego proxy do Fuzz Testingu
– Burp / OWASP ZAP w Continuous Integration
– Ćwiczenia praktyczne
- Wykorzystanie komercyjnych skanerów automatycznych
– Konfiguracja narzędzia
– Wykorzystanie w Continous Integration
– Generowanie raportów i metryk
– Zarządzanie narzędziem w projekcie – Case Study
- HTML Injection
– Techniki wyszukiwania HTML Injection
– Omijanie filtrowania
– Metody wykorzystania podatności
– Ćwiczenia praktyczne
- Testowanie WebService’ów i API
– Crawlowanie API
– Testowanie REST API
– Omówienie typowych problemów z konfiguracją i bezpieczeństwem API
- Web Application Firewall
– Czym są WAF-y?
– W jaki sposób działają?
– Jak je prawidłowo skonfigurować?
– Sposoby omijania filtrów zaimplementowanych przez WAF
– Ćwiczenia praktyczne
- Projektowanie i tworzenie bezpiecznego oprogramowania
– Analiza ryzyka (DREAD)
– Modelowanie zagrożeń (STRIDE)
– Wycena zasobów
– OWASP ASVS
– Microsoft SDLC
– Ćwiczenia praktyczne
- GDPR w kontekście aplikacji internetowych
– Wyzwania dla projektów informatycznych związane z wdrożeniem GDPR
– Przygotowanie odpowiednich zgód
– Anonimizacja danych
– Przygotowanie aplikacji pod nowe prawa użytkowników
- Denial of Service
– Techniki wyszukiwania podatności DoS
– Rodzaje i możliwości wykorzystania poszczególnych typów ataków DoS
– Wyszukiwanie podatności przy użyciu Burp Suite
– Ćwiczenia praktyczne
- Analiza statyczna
– Dlaczego warto inwestować w analizę statyczną kodu
– Narzędzia do przeprowadzania analizy statycznej
- Elementy socjotechniki w kontekście aplikacji internetowych
– Popularne przykłady ataków
– Jak zabezpieczyć użytkowników przed atakami socjotechnicznymi z poziomu kodu
Prelegenci
TRENER
Name
Dział Szkoleń
e-mail: konferencje@gigacon.org
tel. 602 398 959
Patroni Medialni
-
- http://www.dlp-expert.pl/
