Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • Kraków: 09-10.10.2017
Cena: 1950 PLN netto (2 dni)

O szkoleniu

Dwudniowe szkolenie warsztatowe umożliwiające praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych.

Na szkoleniu prezentujemy kilkanaście podatnych systemów, których bezpieczeństwo analizowane jest przez kursantów. Każda podatność poprzedzona jest wstępem teoretycznym, a dla podatności wskazujemy również metody ochrony przed atakami.

Utrwalanie wiedzy ułatwia: silne podejście warsztatowe, dostęp do podatnych aplikacji również po szkoleniu, czy wskazanie dodatkowych dokumentacji i zasobów umożliwiających realizację samodzielnych testów bezpieczeństwa.

Ramowy program szkolenia

Wprowadzenie do tematyki testowania bezpieczeństwa aplikacji webowych

  • Czym są testy penetracyjne aplikacji www?
  • Prezentacja przykładowego, realnego raportu z testów penetracyjnych.
  • Omówienie dokumentów OWASP Top Ten, OWASP ASVS (Application Security Verification Standard), OWASP Testing Guide.
  • Dalsze źródła wiedzy – serwisy on-line, literatura, narzędzia.

Rekonesans

  • Shodan – mapowanie własnej infrastruktury, wykorzystanie filtrów
  • Google hacking – lokalizowanie ukrytych katalogów / wersji oprogramowania / ścieżek instalacji systemów
  • Lokalizowanie ukrytych domen
  • Techniki brute force

Case Studies

  • Pełne przejęcie profesjonalnej kamery CCTV – root bez uwierzytelnienia – przez atak na konsolę webową
  • Atak na urządzenia TP-Link – root bez uwierzytelnienia przez konsolę webową
  • Nuxeo – wykonanie kodu w OS poprzez manipulację zip-ami / XXE / path traversal bez uwierzytelnienia
  • Dotnetnuke – wykonanie kodu w OS poprzez połączenie kilku podatności

Podatność SQL injection

  • 10 minutowe wprowadzenie do języka SQL
  • Kilka przykładów tej podatności w różnych miejscach aplikacji – nauka wykrywania podatności, przygotowania proof of contept (nieautoryzowane pobranie danych z bazy, wykonanie kodu w systemie operacyjnym)
  • Techniki omijania filtrów

Wykrywanie, wykorzystywanie oraz ochrona przed podatnościami

  • Manipulacje plikami XML w celu nieautoryzowanego dostępu do danych na serwerze (XXE)
  • OS Command injection (kilka wariantów) – w tym błąd w jednej z bibliotek JAVA, problemy z mechanizmami uploadu
  • XSS – przejęcie dostępu administracyjnego w systemie blogowym / omijanie filtrów
  • CSRF

Kilka wybranych ataków typu DoS

  • ReDoS
  • XML Bomb
  • ZIP Bomb

Testowanie bezpieczeństwa API REST / Webservices (SOAP)

  • Wstęp do tematyki API
  • Automatyczne generowanie requestów HTTP do API na podstawie pliku WSDL
  • Automatyczne testy bezpieczeństwa SOAP / REST
  • Ręczne poszukiwanie podatności API: SOAP / REST

Ataki na system uwierzytelnienia i autoryzacji

  • Badanie kilku aspektów bezpieczeństwa ścieżki logowania
  • Badanie wykorzystanych mechanizmów autoryzacji
  • Techniki bruteforce

Całościowy test bezpieczeństwa na aplikację w LAB, podsumowujący wiedzę

  • Wykrycie kilku klas podatności
  • Wskazanie metod ochrony

Pozostałe informacje

Do szkolenia wymagany jest laptop. Szkolenie odbywa się w formule BYOL (bring your own laptop). Możliwy dowolny system operacyjny (Windows, Linux lub Mac) z zainstalowanym Java JRE od Oracle.

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Około dwytygodniową licencję oprogramowania Burp Suite Professional, zawierającą m.in.:
  • Certyfikat ukończenia szkolenia.
  • Przekazanie w formie PDF rozwiązań ćwiczeń.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • 11 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 5 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Uczestnicy o szkoleniu

Zrozumiały i czytelny przekaz wiedzy, świetne przykłady w ćwiczeniach.
2017-08-04T11:41:17+00:00
Zrozumiały i czytelny przekaz wiedzy, świetne przykłady w ćwiczeniach.
Profesjonalne prowadzenie zajęć. Bardzo merytorycznie i ciekawie.
2017-08-04T11:41:35+00:00
Profesjonalne prowadzenie zajęć. Bardzo merytorycznie i ciekawie.
Pełny profesjonalizm i pasja. Było super.
2017-08-04T11:42:36+00:00
Pełny profesjonalizm i pasja. Było super.
Bardzo dobrze przygotowane szkolenie, nigdy nie było czasu na nudzenie się, [trener] stopniował trudność.
2017-08-04T11:43:17+00:00
Bardzo dobrze przygotowane szkolenie, nigdy nie było czasu na nudzenie się, [trener] stopniował trudność.
Dogłębne poruszanie zagadnień, przykłady „zrób to sam” z wyjaśnieniem, otwartość na pytania.
2017-08-04T11:43:58+00:00
Dogłębne poruszanie zagadnień, przykłady „zrób to sam” z wyjaśnieniem, otwartość na pytania.
Dużo przykładów z życia wziętych. Przykłady serwisów i narzędzi używanych na co dzień
2017-08-04T11:44:33+00:00
Dużo przykładów z życia wziętych. Przykłady serwisów i narzędzi używanych na co dzień
Praktyczne przykłady, ćwiczenia, podczas których można było sprawdzić nabyte umiejętności na „żywym” systemie.
2017-08-04T11:45:06+00:00
Praktyczne przykłady, ćwiczenia, podczas których można było sprawdzić nabyte umiejętności na „żywym” systemie.