- zdalne : 15.12.2020
O szkoleniu
Jeśli jesteś administratorem systemów/sieci czy opiekujesz się bezpieczeństwiem części lub całości firmy (niezależnie od wielkości) – a nigdy nie chciałeś lub nie miałeś okazji wejść nieco głębiej w bezpieczeństwo aplikacji webowych lub myślałeś, że jest to zbyt skomplikowane – to szkolenie jest dla Ciebie!
Architekci pracujący z aplikacjami webowymi czy sieciami, managerowie technicznych zespołów, audytorzy, pasjonaci bezpieczeństwa czy osoby ciekawe aktualnych trendów w bezpieczeństwie aplikacji webowych – jeśli jesteś w jednej z tych grup, szkolenie powinno Ci się spodobać.
Po kursie będziesz wiedział:
- Na jakie zagrożenia dotyczące bezpieczeństwa zwracać przede wszystkim uwagę w aplikacjach webowych.
- Jak najczęściej dochodzi do wycieków danych przez aplikacje webowe oraz jak temu zapobiec.
- Jak postępować z dowolnymi urządzeniami sieciowymi (w kontekście bezpieczeństwa ich paneli webowych).
- Co robić jeśli wykryjesz włamanie przez aplikację webową na Twój serwer.
- Gdzie szukać dalszej wiedzy.
- Jak „zagiąć” niejednego programistę czy architekta – w kontekście bezpieczeństwa aplikacji webowych.
Ramowy program szkolenia
Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ]
- Podstawy protokołu HTTP
- Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW
1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut]
- Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
- W każdym omawianym przypadku – wskazanie istoty problemu
- Wskazanie zalecanych metod ochrony paneli webowych urządzeń
2. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz?
- Obalenie popularnych mitów
- Przed czym HTTPS/TLS chroni a przed czym nie?
- Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
- Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]
3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]
- Zdalny shell przez aplikację webową – to proste 🙁
- Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
- Wskazanie metod ochrony.
- W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
- W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?
4. Wykryłem atak na moją aplikację webową – co robić? [ ~40 minut ]
- Prezentacja pełnego przykładowego ataku [ live demo ]
- Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
- rekonesansu oraz samego ataku
- aktywności backdoora / webshella
- Rekomendacje dalszych działań po ataku
5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]
- Kilka realnych przykładów złych oraz dobrych praktyk
6. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~20 minut ]
Więcej informacji
Szkolenie prowadzone w wersji zdalnej i ma charakter prezentacji.
Kurs trwa pięć godzin (z włączeniem dwóch 10-minutowych przerw).
Film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia.
Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym i przeglądarką, stabilny internet i słuchawki.
Cena szkolenia
Podstawowa cena szkolenia wynosi 499 PLN netto / osobę.
Zapisy wraz ze wszystkimi opcjami cenowymi dostępne są w naszym sklepie.
Więcej informacji można uzyskać kontaktując się z nami za pośrednictwem e-mail: szkolenia@securitum.pl bądź telefonicznie.
Prowadzący: Michał Sajdak
- Michał Sajdak jest konsultantem w firmie Securitum
- Posiada certyfikaty CEH, CISSP oraz CTT+ (Certified Technical Trainer)
- Założyciel serwisu sekurak.pl
- W przeciągu ostatnich kilku lat przeszkolił kilkaset osób (szkolenia otwarte oraz zamknięte) w dziedzinie bezpieczeństwa IT
- Współautor książki „Bezpieczeństwo aplikacji webowych”
- Prelegent na konferencjach: Mega SHP (2019), Secure, Confidence, SEMAFOR, Securitybsides, SEConference, SecCon, OWASP@Krakow, AIESEC, TestingCup, Security Case Study, KraQA, WrotQA
- Autor badań bezpieczeństwa opisywanych na polskich oraz zagranicznych serwisach (slashdot, the register, heise online, security.nl, …)
- Współpracował między innymi z takimi organizacjami jak: BPN Paribas Bank, BRE Bank, Bank BPH, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, Bank Pekao SA, Narodowe Archiwum Cyfrowe, PGNiG, PGF, Unilever, Polkomtel, T-Mobile, Kopalnia Bogdanka, JSW SA.