Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • zdalny: 15.10.2020
  • zdalny: 26.11.2020
Cena: 99 PLN netto (4 godziny)

Uwaga: szkolenie prowadzone w wersji zdalnej.

O szkoleniu

Szkolenie kierowane jest do programistów, devopsów i architektów aplikacji webowych – będzie skupiać się na tym, by pomóc odpowiedzieć na kilka trapiących pytań związanych z rozwijaniem aplikacji webowych:

  • Jak zmniejszyć prawdopodobieństwo, że programista napisze niebezpieczny kod i wrzuci go do repozytorium?
  • Jak zminimalizować skutki wykorzystania podatności, jeśli już ktoś taką znajdzie w naszej aplikacji?
  • Jeśli ktoś dokona włamania przez aplikację, co zrobić, żeby je jak najprędzej wykryć i odtworzyć sposób działania napastnika?

W szkoleniu mogą uczestniczyć programiści wszystkich języków programowania; omawiane praktyki nie są zależne od używanego języka.

Ramowy program szkolenia

1. Wymagania bezpieczeństwa

  • Kilka słów o bazach podatności,
  • Skąd czerpać wiedzę,
  • Jak zdefiniować wymagania bezpieczeństwa

2. Przetwarzanie danych

  • Jak walidować dane na wejściu,
  • Enkodowanie/sanityzacja daych na wyjściu,

3. Zarządzanie wersjami zależności

  • Jak sprawdzać, czy używane zależności mają znane podatności bezpieczeństwa,

4. Zasada najmniejszych uprawnień

  • Na czym polega zasada najmniejszych uprawnień,
  • Przykład 1: minimalizacja skutków ataku SQL Injection przez odpowiednio dobrane uprawnienia,
  • Przykład 2: minimalizacja skutków podatności typu Remote Code Execution przez odpowiednio dobrane uprawnienia,

5. Statyczna analiza kodu

  • Czym jest statyczna analiza kodu,
  • Integracja ze środowiskami programistyczymi,
  • Integracja z systemem kontroli wersji,

6. Testy regresji do błędów bezpieczeństwa

7. Podstawowe zasady kryptografii

  • Zasady dot. generatorów liczb pseudolosowych,
  • Zasady dot. algorytmów haszujących,
  • Zasady dot. algorytmów szyfrujących,

8. Logowanie i monitorowanie zdarzeń

  • Jakie dane należy, a jakich nie należy logować,
  • Systemy zbierające logi,
  • Bieżące monitorowanie logów i wykrywanie anomalii/incydentów

Dodatkowo, po szkoleniu zostanie dostarczony dokument PDF zawierający podsumowanie najważniejszych koncepcji omawianych na szkoleniu

Pozostałe informacje

Szkolenie prowadzone w wersji zdalnej.

Kurs trwa cztery godziny (z włączeniem dwóch 10-minutowych przerw). Będzie możliwość również oglądnięcia zapisu video kursu do 72 h po szkoleniu.

Szkolenie będzie miało charakter praktycznej prezentacji – wszystkie omawiane dobre praktyki i zalecenia będą prezentowane na żywych przykładach.

Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym i przeglądarką, stabilny internet i słuchawki.

Po szkoleniu zostanie dostarczony dokument PDF zawierający podsumowanie najważniejszych koncepcji omawianych na szkoleniu.

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Podstawowa cena szkolenia wynosi 99 PLN netto / osobę.

Zapisy wraz ze wszystkimi opcjami cenowymi dostępne są w naszym sklepie

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • Wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Współautor książki „Bezpieczeństwo aplikacji webowych”
  • Prelegent na konferencjach: MEGA SHP (2019), Confidence (2019, 2018), SEMAFOR (2019), SECURE (2019, 2018), WTH (2019), KrakYourNet (2016), 4Developers (2016), OWASP@Kraków (2015)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.