- zdalne: 01-02.04.2021

Osoby początkujące zachęcamy do wzięcia udziału w kursie Bezpieczeństwo aplikacji WWW, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.
O szkoleniu
Praktyczny kurs (80% szkolenia stanowią ćwiczenia) prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego (5 miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe.
Kurs umożliwi Ci bycie o krok przed atakującymi (i przed całą resztą 😉
Ramowy program szkolenia
Każde zagadnienie poniżej realizowane jest w formie warsztatowej.
1. Server-Side Template Injection (wstrzyknięcia szablonów).
- Silniki FreeMarker, Velocity, Twig,
- Wykorzystanie podatności do wycieku danych,
- Wykorzystanie podatności do wykonywania dowolnego kodu.
2. Błędy deserializacji danych
- Przykłady w językach programowania: Python, Java, PHP,
- Wykorzystanie deserializacji do zmiany przepływu działania programu
lub wycieku danych, - Wykorzystanie deserializacji do wykonania dowolnego kodu.
3. Świat XML i błędy bezpieczeństwa oraz Server-Side Request Forgery,
- XML eXternal Entity (XXE) – wariant klasyczny
- Blind XXE,
- Atak billion laughs, quadratic blowup,
- XSLT – wykonywanie dowolnego kodu,
- SSRF – skanowanie sieci lokalnej i wydobywanie poufnych danych,
4. Filtry w aplikacjach i Web Application Firewall (WAF)
- Sposoby działania systemów WAF i typowych filtrów chroniących przed
atakami, - Sposoby tworzenia reguł,
- Sposoby obchodzenia filtrów i systemów WAF
- Case: omijanie WAFa – urządzenie F5
5. Kryptografia
- Przykłady błędnie zaimplementowanych algorytmów kryptograficznych,
- Atak padding oracle/bit flipping
- Atak hash length extension
6. Mechanizmy obronne w aplikacjach webowych:
- Content Security Policy,
- Inne nagłówki bezpieczeństwa (HPKP, HSTS),
- Analiza logów serwera z wykorzystaniem OSSEC.
7. Inne ataki na aplikacje webowe:
- Problemy z interpretacją plików ZIP (dowiązania symboliczne i
odwołania do dowolnych ścieżek) - Regular Expression Denial of Service (ReDoS),
- NoSQL Injection
8. Ćwiczenie podsumowujące szkolenie.
9. Podsumowanie szkolenia – krótkie podsumowanie wszystkich omówionych metod ataku i obrony.
Pozostałe informacje
Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym (z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM), z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
Cena szkolenia
Cena dwudniowego szkolenia wynosi 1950 PLN netto / osobę i zawiera:
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Organizacja szkolenia w wersji zamkniętej
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt.
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Michał Bentkowski
- Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
- Uczestnik programów bug bounty
- Wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
- Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
- Ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
- Współautor książki „Bezpieczeństwo aplikacji webowych”
- Prelegent na konferencjach: MEGA SHP (2019), Confidence (2019, 2018), SEMAFOR (2019), SECURE (2019, 2018), WTH (2019), KrakYourNet (2016), 4Developers (2016), OWASP@Kraków (2015)
- Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.