Zaawansowane bezpieczeństwo aplikacji WWW

Osoby początkujące zachęcamy do wzięcia udziału w kursie Bezpieczeństwo aplikacji WWW, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.

O szkoleniu

Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum (tylko w 2022 roku zrealizowaliśmy przeszło 700 projektów z zakresu ofensywnego bezpieczeństwa IT). To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. Na koniec szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania.

Czego dowiesz się podczas szkolenia

• Poznasz zaawansowane błędy kryjące się w aplikacjach webowych, zarówno od strony teoretycznej, jak i praktycznej.
• Dowiesz się, jak wykorzystać mechanizmy przeglądarek do zwiększenia bezpieczeństwa użytkowników aplikacji webowych.
• Zapoznasz się ze sposobami łączenia ataków w celu osiągnięcia jak największych konsekwencji dla bezpieczeństwa.
• Poznasz typowe słabości, często spotykane w mechanizmach uwierzytelnienia i resetu hasła w aplikacjach webowych.

Co powinieneś wiedzieć przed szkoleniem

W czasie szkolenia przedstawiane są zaawansowane zagrożenia spotykane w świecie aplikacji webowych.
Aby skorzystać z przekazywanych treści, sugerowane jest aby uczestnik posiadał podstawową wiedzę związaną z:

• budową protokołu HTTP
• technologiami wykorzystywanymi w tworzeniu aplikacji webowych
• obsługę Burp Suite w stopniu przynajmniej podstawowym (proxy, repeater, intruder, collaborator)
• znajomością typowych podatności w aplikacjach webowych (XSS, CSRF, XXE, SQLi)

Do kogo skierowane jest szkolenie

• Do programistów
• Do devopsów
• Do pentesterów
• Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych

Agenda

1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat

• Wykonanie kodu w OS
• Wykradanie pamięci z serwera
• Nieautoryzowany odczyt plików z serwera

2. Podatność Server-Side Request Forgery

• Omówienie ataku oraz typy SSRF – co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje?
• Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
• SSRF w specyficznych funkcjonalnościach aplikacji webowych – generatory plików PDF, HTML
• Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
• Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

3. Podatność Server-Side Template Injection

• Omówienie i subtypy ataku SSTI .
• Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
• Wyszukiwanie i exploitacja błędu – od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
• Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
• Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

4. Niebezpieczna (de)serializacja danych

• Omówienie tematyki związanej z serializacją i deserializacją danych.
• Błędy związane z niepoprawną deserializacją danych.
• Wyszukiwanie i exploitacja błędu – od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
• Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.

5. Proces uwierzytelnienia – krytyczny punkt w aplikacjach webowych

• Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
• Omijanie uwierzytelnienia w aplikacji.
• Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
• Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.

6. Web Application Firewall w zabezpieczaniu aplikacji webowych

• Sposoby działania popularnych systemów WAF.
• Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
• Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
• Wskazówki dotyczące poprawnej konfiguracji systemów WAF.

7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników

• CSP – omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP. 
• Access-Control-Allow-Origin / Credentials – Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
• Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy 
• Supply chain attack – niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
  
• Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków. 

8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?

• Omówienie przykładów w kilku wybranych technologiach
• Pokazy na żywo wykorzystania podatności

9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach 

• Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE? 
• Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
• Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.

Przydatne informacje

• Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
• [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
• Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych.  W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl
• Wiedzę na temat bezpieczeństwa aplikacji webowych można też zdobyć na szkoleniu Websecurity Master.  Dostępne są dwa moduły – podstawowy i zaawansowany. W sumie to dwanaście praktycznych, 4 godzinnych sesji szkoleniowych, prowadzonych zdalnie na żywo. 

 

Co zawiera cena szkolenia

• Udział w szkoleniu
• Certyfikat ukończenia szkolenia (PDF).
• Dostęp do LAB (ćwiczenia mogą być realizowane do 2 tygodni po szkoleniu)