- zdalne: 13-14.05.2025
Uwaga: zapisy w sklepie Securitum
Osoby początkujące zachęcamy do wzięcia udziału w kursie Bezpieczeństwo aplikacji WWW, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.
O szkoleniu:
Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum (tylko w 2022 roku zrealizowaliśmy przeszło 700 projektów z zakresu ofensywnego bezpieczeństwa IT). To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. Na koniec szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania.
Do kogo skierowane jest szkolenie:
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych
Agenda:
1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat
- Wykonanie kodu w OS
- Wykradanie pamięci z serwera
- Nieautoryzowany odczyt plików z serwera
2. Podatność Server-Side Request Forgery
- Omówienie ataku oraz typy SSRF – co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje?
- Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
- SSRF w specyficznych funkcjonalnościach aplikacji webowych – generatory plików PDF, HTML
- Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.
3. Podatność Server-Side Template Injection
- Omówienie i subtypy ataku SSTI .
- Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
- Wyszukiwanie i exploitacja błędu – od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
- Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.
4. Niebezpieczna (de)serializacja danych
- Omówienie tematyki związanej z serializacją i deserializacją danych.
- Błędy związane z niepoprawną deserializacją danych.
- Wyszukiwanie i exploitacja błędu – od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.
5. Proces uwierzytelnienia – krytyczny punkt w aplikacjach webowych
- Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
- Omijanie uwierzytelnienia w aplikacji.
- Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
- Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.
6. Web Application Firewall w zabezpieczaniu aplikacji webowych
- Sposoby działania popularnych systemów WAF.
- Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
- Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
- Wskazówki dotyczące poprawnej konfiguracji systemów WAF.
7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników
- CSP – omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP.
- Access-Control-Allow-Origin / Credentials – Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
- Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy
- Supply chain attack – niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
- Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków.
8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
- Omówienie przykładów w kilku wybranych technologiach
- Pokazy na żywo wykorzystania podatności
9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach
- Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE?
- Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
- Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.
Przydatne informacje:
Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych.
W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl
Co zawiera cena szkolenia:
- Udział w szkoleniu
- Certyfikat ukończenia szkolenia (PDF).
- Dostęp do LAB (ćwiczenia mogą być realizowane do 2 tygodni po szkoleniu)
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Marek Rzepecki
Marek Rzepecki
- Pasjonat tematyki ofensywnego cyberbezpieczeństwa.
- Od blisko pięciu lat, współpracuje z Securitum w roli senior konsultanta ds. bezpieczeństwa IT.
- Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm.
- Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness.
- Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka.
- Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022).