Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • Warszawa: 06-07.11.2017
Cena: 1950 PLN netto (2 dni)


Osoby początkujące zachęcamy do wzięcia udziału w kursie Bezpieczeństwo aplikacji WWW, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.

O szkoleniu

Praktyczny kurs (80% szkolenia stanowią ćwiczenia) prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego (11 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe.

Kurs umożliwi Ci bycie o krok przed atakującymi (i przed całą resztą 😉

Ramowy program szkolenia

Każde zagadnienie poniżej realizowane jest w formie warsztatowej.

1. Server-Side Template Injection (wstrzyknięcia szablonów).

  • Silniki FreeMarker, Velocity, Twig,
  • Wykorzystanie podatności do wycieku danych,
  • Wykorzystanie podatności do wykonywania dowolnego kodu.

2. Błędy deserializacji danych

  • Przykłady w językach programowania: Python, Java, PHP,
  • Wykorzystanie deserializacji do zmiany przepływu działania programu
    lub wycieku danych,
  • Wykorzystanie deserializacji do wykonania dowolnego kodu.

3. Świat XML i błędy bezpieczeństwa oraz Server-Side Request Forgery,

  • XML eXternal Entity (XXE) – wariant klasyczny
  • Blind XXE,
  • Atak billion laughs, quadratic blowup,
  • XSLT – wykonywanie dowolnego kodu,
  • SSRF – skanowanie sieci lokalnej i wydobywanie poufnych danych,

4. Filtry w aplikacjach i Web Application Firewall (WAF)

  • Sposoby działania systemów WAF i typowych filtrów chroniących przed
    atakami,
  • Sposoby tworzenia reguł,
  • Sposoby obchodzenia filtrów i systemów WAF
  • Case: omijanie WAFa – urządzenie F5

5. Kryptografia

  • Przykłady błędnie zaimplementowanych algorytmów kryptograficznych,
  • Atak padding oracle/bit flipping
  • Atak hash length extension

6. Mechanizmy obronne w aplikacjach webowych:

  • Content Security Policy,
  • Inne nagłówki bezpieczeństwa (HPKP, HSTS),
  • Analiza logów serwera z wykorzystaniem OSSEC.

7. Inne ataki na aplikacje webowe:

  • Problemy z interpretacją plików ZIP (dowiązania symboliczne i
    odwołania do dowolnych ścieżek)
  • Regular Expression Denial of Service (ReDoS),
  • NoSQL Injection

8. Ćwiczenie podsumowujące szkolenie.

10. Podsumowanie szkolenia – krótkie podsumowanie wszystkich omówionych metod ataku i obrony.

Pozostałe informacje

Laptop szkoleniowy

Szkolenie odbywa się w formule BYOL (bring your own laptop).

Możliwy dowolny system operacyjny (Windows, Linux lub Mac) z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM.

Godziny trwania szkolenia

10:30 – 18:00 – pierwszy dzień
9:00 – 15:30 – drugi dzień

Kontakt

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Forma papierowa pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  • Certyfikat ukończenia szkolenia.

Organizacja szkolenia w wersji zamkniętej

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • 11 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 5 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Prelegent na konferencjach: KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Uczestnicy o szkoleniu

Dobra znajomość tematów przez trenera
2017-08-04T11:46:09+00:00
Dobra znajomość tematów przez trenera
Wysoki poziom merytoryczny
2017-08-04T11:46:39+00:00
Wysoki poziom merytoryczny
Doświadczenie prowadzącego
2017-08-04T11:47:08+00:00
Doświadczenie prowadzącego