Poziom zaawansowania:
Prowadzący: Michał Sajdak
Miejsce i data:
  • Kraków: 17.03.2020
  • Warszawa: 23.04.2020
Cena: 1150 PLN netto (1 dzień)

O szkoleniu

  • 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat,
  • praktycznie omówiona tematyka bezpieczeństwa API REST,
  • wysyłany przed szkoleniem 15 minutowy screencast z praktycznym ćwiczeniem on-line umożliwiającym opanowanie podstaw narzędzia burp suite,
  • dostępna po szkoleniu dodatkowa teoria oraz 3 ćwiczenia on-line z bezpieczeństwa OAuth2,
  • przeszło 200 interaktywnych slajdów – będącym aktualnym kompendium bezpieczeństwa o API REST (20 case studies, przeszło 100 zewnętrznych linków).

Agenda:

  1. Krótki wstęp do API REST
  2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4. Omijanie zabezpieczeń dostępu do metod HTTP
  5. Server-Side Request forgery (SSRF)
  6. Podatności XML
    1. XXE
    2. Remote Code Execution
    3. XXE vs SSRF
  7. Podatności JSON vs. XML vs. YAML
  8. Deserializacja vs. bezpieczeństwo API
  9. Bezpieczeństwo JWT (JSON Web Tokens).
  10. Bezpieczeństwo OAuth2
  11. Wycieki kluczy API
  12. Bezpieczeństwo Webhooks
  13. Bezpieczeństwo frameworków

Przykładowe slajdy.

Szkolenie prowadzone jest w wersjach językowych:

  • polskiej – szkolenie otwarte/zamknięte lub
  • angielskiej (szkolenia zamknięte).
OAuth2
Problemy z YAML…

 

Omijanie restrykcji do metod HTTP / podatności XML

Wycieki kluczy

Problemy z deserializacją

Pozostałe informacje

Do szkolenia wymagany jest laptop z przeglądarką Firefox / Chrome.

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Sajdak

  • Kamil Jarosiński jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Pięć lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń
  • Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą
  • Prelegent na konferencji: Mega SHP (2019)

Uczestnicy o szkoleniu

bardzo szczegółowy opis ale w przystępnej formie
2018-03-20T17:14:15+00:00
bardzo szczegółowy opis ale w przystępnej formie
B. duża wiedza trenera, materiał świetnie trafiony dla programistów
2018-03-20T17:14:48+00:00
B. duża wiedza trenera, materiał świetnie trafiony dla programistów
wysoki poziom, "życiowe" przykłady, ciekawe ćwiczenia
2018-03-20T17:16:23+00:00
wysoki poziom, "życiowe" przykłady, ciekawe ćwiczenia
Dobre tempo, dbałość o to żeby nikt z uczestników nie został w tyle, praktyczne ćwiczenia, dobre przygotowanie materiałów, aktualne przykłady
2018-03-20T17:16:57+00:00
Dobre tempo, dbałość o to żeby nikt z uczestników nie został w tyle, praktyczne ćwiczenia, dobre przygotowanie materiałów, aktualne przykłady
Trener bardzo dobrze przygotowany do tematu, o którym mówił. Potrafił odpowiedzieć na wszystkie pytania bardzo rzeczowo i kompleksowo.
2018-03-20T17:25:47+00:00
Trener bardzo dobrze przygotowany do tematu, o którym mówił. Potrafił odpowiedzieć na wszystkie pytania bardzo rzeczowo i kompleksowo.