Poziom zaawansowania:
Prowadzący: Michał Sajdak
Miejsce i data:
  • Kraków: 30.03.2018
  • Warszawa: 30.04.2018
Cena: 1150 PLN netto (1 dzień)

O szkoleniu

  • 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat,
  • praktycznie omówiona tematyka bezpieczeństwa API REST,
  • wysyłany przed szkoleniem 15 minutowy screencast z praktycznym ćwiczeniem on-line umożliwiającym opanowanie podstaw narzędzia burp suite,
  • dostępna po szkoleniu dodatkowa teoria oraz 3 ćwiczenia on-line z bezpieczeństwa OAuth2,
  • przeszło 200 interaktywnych slajdów – będącym aktualnym kompendium bezpieczeństwa o API REST (20 case studies, przeszło 100 zewnętrznych linków).

Przy zapisie w 2017 roku obowiązuje promocyjna cena 999 PLN netto

Agenda:

  1. Krótki wstęp do API REST
  2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4. Omijanie zabezpieczeń dostępu do metod HTTP
  5. Cross-Site Request Forgery (CSRF)
  6. Server-Side Request forgery (SSRF)
  7. Podatności XML
    1. XXE
    2. Remote Code Execution
    3. XXE vs SSRF
  8. Podatności JSON vs. XML vs. YAML
  9. Deserializacja vs. bezpieczeństwo API
  10. Bezpieczeństwo JWT (JSON Web Tokens).
  11. Wycieki kluczy API
  12. Bezpieczeństwo Webhooks
  13. Bezpieczeństwo frameworków
  14. Testowanie bezpieczeństwa transportu
  15. Automatyzacja testowania bezpieczeństwa API

Przykładowe slajdy.

Szkolenie prowadzone jest w wersjach językowych:

  • polskiej – szkolenie otwarte/zamknięte lub
  • angielskiej (szkolenia zamknięte).
Problemy z YAML…

Omijanie restrykcji do metod HTTP / podatności XML

Wycieki kluczy

Problemy z deserializacją

Pozostałe informacje

Do szkolenia wymagany jest laptop z przeglądarką Firefox / Chrome.

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Sajdak

  • Michał Sajdak jest konsultantem w firmie Securitum
  • Posiada certyfikaty CEH, CISSP oraz CTT+ (Certified Technical Trainer)
  • Założyciel serwisu sekurak.pl
  • W przeciągu ostatnich kilku lat przeszkolił kilkaset osób (szkolenia otwarte oraz zamknięte) w dziedzinie bezpieczeństwa IT
  • Od kilku lat występuje jako prelegent na konferencjach: Secure, Confidence, SEMAFOR, Securitybsides, SEConference, SecCon, OWASP@Krakow, AIESEC, TestingCup, Security Case Study, KraQA, WrotQA
  • Autor badań bezpieczeństwa opisywanych na polskich oraz zagranicznych serwisach (slashdot, the register, heise online, security.nl, …)
  • Współpracował między innymi z takimi organizacjami jak: BPN Paribas Bank, BRE Bank, Bank BPH, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, Bank Pekao SA, Narodowe Archiwum Cyfrowe, PGNiG, PGF, Unilever, Polkomtel, T-Mobile, Kopalnia Bogdanka, JSW SA.