Poziom zaawansowania:
Prowadzący:
Kamil Jarosiński
Miejsce i data:
- zdalne: 06.06.2024
Cena:
1299 PLN netto
(1 dzień)
O szkoleniu
Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).
Do kogo skierowane jest szkolenie:
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych
Czego dowiesz się podczas szkolenia:
- Case study kilkunastu przypadków błędów w API rest na przestrzeni lat
- Rekonesans – czyli jak znaleźć API
- Jakie metody HTTP należy testować w przypadku API
- Czym jest nadpisywanie metod HTTP
- JSON vs YAML vs XML jako format danych przetwarzany przez API
- Wycieki kluczy – jak może się to stać i co należy zrobić
- Czym jest oAuth2
- Jak hakować JWT
Co powinieneś wiedzieć przed szkoleniem:
- Znać podstawy związane z API rest – wspierane metody HTTP
- Znać format JSON i podstawy protokołu HTTP
- Zapoznać się z podatnością XXE
Agenda:
-
- Krótki wstęp do API REST
- Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
- Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
- Omijanie zabezpieczeń dostępu do metod HTTP
- Server-Side Request forgery (SSRF)
- Podatności XML
- XXE
- Remote Code Execution
- XXE vs SSRF
- Podatności JSON vs. XML vs. YAML
- Deserializacja vs. bezpieczeństwo API
- Bezpieczeństwo JWT (JSON Web Tokens).
- Bezpieczeństwo OAuth2
- Wycieki kluczy API
- Bezpieczeństwo Webhooks
- Bezpieczeństwo frameworków
Przydatne informacje
- Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
- Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
- Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Cena szkolenia
Cena katalogowa jednodniowego szkolenia wynosi 1299 PLN netto / osobę i zawiera:
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Kamil Jarosiński
- Kamil Jarosiński jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
- Posiada 7 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych.
- Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą.
- Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party.
- Uczestnik programów Bug Bounty.
