Bezpieczeństwo aplikacji WWW – szkolenie

O szkoleniu

Dwudniowe szkolenie warsztatowe umożliwiające praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych.

Na szkoleniu prezentujemy kilkanaście podatnych systemów, których bezpieczeństwo analizowane jest przez kursantów. Każda podatność poprzedzona jest wstępem teoretycznym, a dla podatności wskazujemy również metody ochrony przed atakami.

Utrwalanie wiedzy ułatwia: silne podejście warsztatowe, dostęp do podatnych aplikacji również po szkoleniu, czy wskazanie dodatkowych dokumentacji i zasobów umożliwiających realizację samodzielnych testów bezpieczeństwa.

Czego dowiesz się podczas szkolenia

• Zapoznasz się z narzędziami wykorzystywanymi do przeprowadzania testów bezpieczeństwa aplikacji webowych oraz standardami przeprowadzania testów penetracyjnych aplikacji.
• Poznasz podstawowe błędy bezpieczeństwa, powszechnie spotykane w aplikacjach webowych, zarówno od strony teoretycznej, jak i praktycznej.
• Samodzielnie przećwiczysz wyszukiwanie i wykorzystywanie błędów w podatnych systemach.

Co powinieneś wiedzieć przed szkoleniem

• Szkolenie jest wprowadzeniem w tematykę bezpieczeństwa aplikacji webowych.
• Konieczna jest podstawowa wiedza związana z budową aplikacji webowych (HTML/ JS) oraz komunikacją HTTP.

Do kogo skierowane jest szkolenie

• Do programistów
• Do devopsów
• Do pentesterów
• Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Agenda

Wprowadzenie do tematyki testowania bezpieczeństwa aplikacji webowych

• Czym są testy penetracyjne aplikacji www?
• Prezentacja przykładowego, realnego raportu z testów penetracyjnych.
• Omówienie dokumentów OWASP Top Ten, OWASP ASVS (Application Security Verification Standard), OWASP Testing Guide.
• Dalsze źródła wiedzy – serwisy on-line, literatura, narzędzia.

Rekonesans

• Shodan – mapowanie własnej infrastruktury, wykorzystanie filtrów
• Google hacking – lokalizowanie ukrytych katalogów / wersji oprogramowania / ścieżek instalacji systemów
• Lokalizowanie ukrytych domen
• Techniki brute force

Case Studies

• Pełne przejęcie profesjonalnej kamery CCTV – root bez uwierzytelnienia – przez atak na konsolę webową
• Atak na urządzenia TP-Link – root bez uwierzytelnienia przez konsolę webową
• Nuxeo – wykonanie kodu w OS poprzez manipulację zip-ami / XXE / path traversal bez uwierzytelnienia
• Dotnetnuke – wykonanie kodu w OS poprzez połączenie kilku podatności

Podatność SQL injection

• 10 minutowe wprowadzenie do języka SQL
• Kilka przykładów tej podatności w różnych miejscach aplikacji – nauka wykrywania podatności, przygotowania proof of contept (nieautoryzowane pobranie danych z bazy         wykonanie kodu w systemie operacyjnym)
• Techniki omijania filtrów

Wykrywanie, wykorzystywanie oraz ochrona przed podatnościami

• Manipulacje plikami XML w celu nieautoryzowanego dostępu do danych na serwerze (XXE)
• OS Command injection (kilka wariantów) – w tym błąd w jednej z bibliotek JAVA, problemy z mechanizmami uploadu
• XSS – przejęcie dostępu administracyjnego w systemie blogowym / omijanie filtrów
• CSRF

Kilka wybranych ataków typu DoS

• ReDoS
• XML Bomb
• ZIP Bomb

Testowanie bezpieczeństwa API REST / Webservices (SOAP)

• Wstęp do tematyki API
• Automatyczne generowanie requestów HTTP do API na podstawie pliku WSDL
• Automatyczne testy bezpieczeństwa SOAP / REST
• Ręczne poszukiwanie podatności API: SOAP / REST
• Ataki na system uwierzytelnienia i autoryzacji
• Badanie kilku aspektów bezpieczeństwa ścieżki logowania
• Badanie wykorzystanych mechanizmów autoryzacji
• Techniki bruteforce

Całościowy test bezpieczeństwa na aplikację w LAB, podsumowujący wiedzę

• Wykrycie kilku klas podatności
• Wskazanie metod ochrony

Przydatne informacje

• Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Szkolenie nie jest nagrywane!
• Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym (z zainstalowanym Java JRE od Oracle), z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
• [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
• Istnieje możliwość organizacji szkolenia w formie zamkniętej (po polsku i po angielsku) – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
• Naukę można kontynuować na szkoleniu Zaawansowane bezpieczeństwo aplikacji webowych
• Wiedzę na temat bezpieczeństwa aplikacji webowych można też zdobyć na szkoleniu Websecurity Master.  Dostępne są dwa moduły – podstawowy i zaawansowany. W sumie to dwanaście praktycznych, 4 godzinnych sesji szkoleniowych, prowadzonych zdalnie na żywo. 

Co zawiera cena szkolenia

• Udział w szkoleniu i dostęp do platformy szkoleniowej.
• Certyfikat ukończenia szkolenia (PDF).
• Przekazanie w formie PDF rozwiązań ćwiczeń.
• Dodatkowe zadanie on-line do ćwiczeń po szkoleniu