Poziom zaawansowania:
Prowadzący: Michał Sajdak
Miejsce i data:
  • zdalne : 15.12.2020
Cena: 499 PLN netto (5 godzin)

Uwaga: szkolenie prowadzone w wersji zdalnej.

O szkoleniu

Jeśli jesteś administratorem systemów/sieci czy opiekujesz się bezpieczeństwiem części lub całości firmy (niezależnie od wielkości) – a nigdy nie chciałeś lub nie miałeś okazji wejść nieco głębiej  w bezpieczeństwo aplikacji webowych lub myślałeś, że jest to zbyt skomplikowane – to szkolenie jest dla Ciebie!

Architekci pracujący z aplikacjami webowymi czy sieciami, managerowie technicznych zespołów, audytorzy, pasjonaci bezpieczeństwa czy osoby ciekawe aktualnych trendów w bezpieczeństwie aplikacji webowych  – jeśli jesteś w jednej z tych grup, szkolenie powinno Ci się spodobać.

Po kursie będziesz wiedział:

  • Na jakie zagrożenia dotyczące bezpieczeństwa zwracać przede wszystkim uwagę w aplikacjach webowych.
  • Jak najczęściej dochodzi do wycieków danych przez aplikacje webowe oraz jak temu zapobiec.
  • Jak postępować z dowolnymi urządzeniami sieciowymi (w kontekście bezpieczeństwa ich paneli webowych).
  • Co robić jeśli wykryjesz włamanie przez aplikację webową na Twój serwer.
  • Gdzie szukać dalszej wiedzy.
  • Jak „zagiąć” niejednego programistę czy architekta – w kontekście bezpieczeństwa aplikacji webowych.

Ramowy program szkolenia

Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ] 

  • Podstawy protokołu HTTP
  • Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW

1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut]  

  • Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
  • W każdym omawianym przypadku – wskazanie istoty problemu
  • Wskazanie zalecanych metod ochrony paneli webowych urządzeń

2. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz?

  • Obalenie popularnych mitów
  • Przed czym HTTPS/TLS chroni a przed czym nie?
  • Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
  • Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]

3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]  

  • Zdalny shell przez aplikację webową – to proste 🙁
    • Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
    • Wskazanie metod ochrony.
  • W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
  • W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?

4. Wykryłem atak na moją aplikację webową – co robić? [ ~40 minut ]

  • Prezentacja pełnego przykładowego ataku [ live demo ]
  • Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
    • rekonesansu oraz samego ataku
    • aktywności backdoora / webshella
  • Rekomendacje dalszych działań po ataku

5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]

  • Kilka realnych przykładów złych oraz dobrych praktyk

6. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~20 minut ]

Więcej informacji

Szkolenie prowadzone w wersji zdalnej i ma charakter prezentacji.

Kurs trwa pięć godzin (z włączeniem dwóch 10-minutowych przerw).

Film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia.

Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym i przeglądarką, stabilny internet i słuchawki.

Cena szkolenia

Podstawowa cena szkolenia wynosi 499 PLN netto / osobę.

Zapisy wraz ze wszystkimi opcjami cenowymi dostępne są w naszym sklepie.

Więcej informacji można uzyskać kontaktując się z nami za pośrednictwem e-mail: szkolenia@securitum.pl bądź telefonicznie.

Prowadzący: Michał Sajdak

  • Michał Sajdak jest konsultantem w firmie Securitum
  • Posiada certyfikaty CEHCISSP oraz CTT+ (Certified Technical Trainer)
  • Założyciel serwisu sekurak.pl
  • W przeciągu ostatnich kilku lat przeszkolił kilkaset osób (szkolenia otwarte oraz zamknięte) w dziedzinie bezpieczeństwa IT
  • Współautor książki „Bezpieczeństwo aplikacji webowych”
  • Prelegent na konferencjach: Mega SHP (2019), Secure, Confidence, SEMAFOR, Securitybsides, SEConference, SecCon, OWASP@Krakow, AIESEC, TestingCup, Security Case Study, KraQA, WrotQA
  • Autor badań bezpieczeństwa opisywanych na polskich oraz zagranicznych serwisach (slashdotthe registerheise online,  security.nl, …)
  • Współpracował między innymi z takimi organizacjami jak: BPN Paribas Bank, BRE Bank, Bank BPH, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, Bank Pekao SA, Narodowe Archiwum Cyfrowe, PGNiG, PGF, Unilever, Polkomtel, T-Mobile, Kopalnia Bogdanka, JSW SA.