Poziom zaawansowania:
Prowadzący: Kamil Jarosiński
Miejsce i data:
  • zdalne: 02.12.2020
  • zdalne: 12.01.2021
Cena: 1150 PLN netto (1 dzień)

Uwaga: szkolenie prowadzone w wersji zdalnej.

O szkoleniu

  • 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat,
  • praktycznie omówiona tematyka bezpieczeństwa API REST,
  • wysyłany przed szkoleniem 15 minutowy screencast z praktycznym ćwiczeniem on-line umożliwiającym opanowanie podstaw narzędzia burp suite,
  • dostępna po szkoleniu dodatkowa teoria oraz 3 ćwiczenia on-line z bezpieczeństwa OAuth2,
  • przeszło 200 interaktywnych slajdów – będącym aktualnym kompendium bezpieczeństwa o API REST (20 case studies, przeszło 100 zewnętrznych linków).

Agenda:

  1. Krótki wstęp do API REST
  2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4. Omijanie zabezpieczeń dostępu do metod HTTP
  5. Server-Side Request forgery (SSRF)
  6. Podatności XML
    1. XXE
    2. Remote Code Execution
    3. XXE vs SSRF
  7. Podatności JSON vs. XML vs. YAML
  8. Deserializacja vs. bezpieczeństwo API
  9. Bezpieczeństwo JWT (JSON Web Tokens).
  10. Bezpieczeństwo OAuth2
  11. Wycieki kluczy API
  12. Bezpieczeństwo Webhooks
  13. Bezpieczeństwo frameworków

Przykładowe slajdy.

Szkolenie prowadzone jest w wersjach językowych:

  • polskiej – szkolenie otwarte/zamknięte lub
  • angielskiej (szkolenia zamknięte).
OAuth2
Problemy z YAML…

 

Omijanie restrykcji do metod HTTP / podatności XML

Wycieki kluczy

Problemy z deserializacją

Pozostałe informacje

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena katalogowa jednodniowego szkolenia wynosi 1150 PLN netto / osobę i zawiera:

  • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Kamil Jarosiński

  • Kamil Jarosiński jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Pięć lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń
  • Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą
  • Prelegent na konferencji: Mega SHP (2019)
  • Uczestnik programów Bug Bounty

Uczestnicy o szkoleniu

bardzo szczegółowy opis ale w przystępnej formie
Securitum
2018-03-20T17:14:15+01:00
bardzo szczegółowy opis ale w przystępnej formie
B. duża wiedza trenera, materiał świetnie trafiony dla programistów
Securitum
2018-03-20T17:14:48+01:00
B. duża wiedza trenera, materiał świetnie trafiony dla programistów
wysoki poziom, "życiowe" przykłady, ciekawe ćwiczenia
Securitum
2018-03-20T17:16:23+01:00
wysoki poziom, "życiowe" przykłady, ciekawe ćwiczenia
Dobre tempo, dbałość o to żeby nikt z uczestników nie został w tyle, praktyczne ćwiczenia, dobre przygotowanie materiałów, aktualne przykłady
Securitum
2018-03-20T17:16:57+01:00
Dobre tempo, dbałość o to żeby nikt z uczestników nie został w tyle, praktyczne ćwiczenia, dobre przygotowanie materiałów, aktualne przykłady
Trener bardzo dobrze przygotowany do tematu, o którym mówił. Potrafił odpowiedzieć na wszystkie pytania bardzo rzeczowo i kompleksowo.
Securitum
2018-03-20T17:25:47+01:00
Trener bardzo dobrze przygotowany do tematu, o którym mówił. Potrafił odpowiedzieć na wszystkie pytania bardzo rzeczowo i kompleksowo.
0
0
Securitum