Poziom zaawansowania:
Prowadzący: Michał Bentkowski
Miejsce i data:
  • Warszawa: 21.10.2019
  • Warszawa: 05.12.2019
Cena: 1150 PLN netto (1 dzień)

O szkoleniu

Szkolenie jest naturalną kontynuacją i rozwinięciem kursu „Bezpieczeństwo frontendu aplikacji webowych”.

W trakcie jednego dnia omówione są bardziej zaawansowane techniki atakowania frontendu aplikacji webowych, pozwalające doprowadzić m.in. kradzieży tokenów uwierzytelniających czy wykradania treści wewnętrznych bug-trackerów. Wszystkie tematy zostaną omówione zarówno pod kątem ataków, jak i obrony.

Uwaga: Osoby początkujące (np. bez wcześniejszej styczności z praktycznym wykorzystaniem ataków XSS) zachęcamy do wzięcia udziału w kursie „Bezpieczeństwo frontendu aplikacji WWW”, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.

Szkolenie może wymagać dobrej znajomości JS. Przed szkoleniem zostaną wysłane materiały wprowadzające, przydatne do wykonania ćwiczeń.

Ramowy program szkolenia

1. Podatność prototype pollution

Podatność prototype pollution była ostatnio znajdowana w wielu popularnych bibliotekach JS, np. jQuery, lodash czy mixin-deep. Na szkoleniu omówione zostaną przyczyny oraz skutki wykorzystania tej podatności, począwszy od zmiany logiki aplikacji aż po możliwość wykonania dowolnego kodu po stronie serwera.

2. Problemy związane z obsługą ciasteczek

Ciasteczka HTTP są popularnym mechanizmem przechowywania stanu w aplikacjach webowych. W rzeczywistości jednak zachowanie przeglądarek związane z ich obsługą może być zaskakujące, co z kolei może prowadzić m.in. do możliwości przejęcia kontroli nad kontem użytkownika przez przechwycenie tokenów OAuth. Na szkoleniu zostaną przedstawione te ataki wraz ze sposobem minimalizacji ryzyka.

3. Podatność XS-Search / XS-Leaks

Podatności typu XS-Search / XS-Leaks są nowym, głośnym tematem w świecie frontendu. Pozwalają one na wykradanie danych z innych domen stosując tzw. ataki bocznokanałowe (np. czas odpowiedzi HTTP, jej wielkość czy zawartość pewnych specjalnych zmiennych w JS). W praktyce podatnosć została wykorzystana m.in. do odczytu danych z prywatnych błędów w Issue Trackerze Google.

4. Podatność DOM Clobbering

DOM Clobbering to problem bezpieczeństwa znany w przeglądarkach od ponad 10 lat, ale wciąż istnieje jej stosunkowo mała świadomość. Występuje w sytuacjach, gdy złośliwy użytkownik aplikacji ma możliwość umieszczania w aplikacji własnego kodu HTML (np. w tzw. rich-editorach). Na szkoleniu pokazane zostanie w jaki sposób możliwość ustawienia własnego atrybutu id czy name dla tych elementów może skutkować zmianą logiki aplikacji, a nawet wykorzystaniem XSS-a!

5. Problemy bezpieczeństwa aplikacji opierających się o WebView (np. Electron, Cordova)

Używanie JavaScriptu wyszło w dzisiejszych czasach już poza świat przeglądarek. Popularne są frameworki, takie jak Electron czy Cordova, które pozwalają pisać aplikacje webowe czy mobilne z użyciem technologii webowych. Zwiększają one ryzyko związane z podatnościami takimi jak XSS, bowiem okazuje się, że często mogą zostać wykorzystane do wykonywania dowolnego kodu na komputerze użytkownika. Na szkoleniu omówione zostaną słabości tych rozwiązań oraz w jaki sposób można niwelować ryzyko.

6. Bezpieczeństwo NPM

NPM to system pakietów używany powszechnie w świecie JS. W praktyce jego użycie wiąże się z ryzykiem zarażenia aplikacji złośliwym kodem przez jedną z zależności. Na szkoleniu zostaną omówione sposoby minimalizacji ryzyka związanego z umieszczaniem w aplikacji cudzego kodu.

Pozostałe informacje

Uwaga: Osoby początkujące (np. bez wcześniejszej styczności z praktycznym wykorzystaniem ataków XSS) zachęcamy do wzięcia udziału w kursie „Bezpieczeństwo frontendu aplikacji WWW”, jednak nie jest to formalnie koniecznie do zapisania się na to szkolenie.

Do szkolenia wymagany jest laptop z przeglądarką Firefox / Chrome.

Szkolenie może wymagać dobrej znajomości JS. Przed szkoleniem zostaną wysłane materiały wprowadzające, przydatne do wykonania ćwiczeń.

Istnieje możliwość organizacji szkolenia w formie zamkniętej, w siedzibie Klienta – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Cena szkolenia

Cena jednodniowego szkolenia wynosi 1150 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Michał Bentkowski

  • Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum
  • Uczestnik programów bug bounty
  • Wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
  • Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
  • Ponad 6 lat doświadczenia w testowaniu aplikacji mobilnych i webowych
  • Prelegent na konferencjach: Mega SHP (2019), KrakYourNet (2016), OWASP@Kraków (2015), 4Developers (2016), Confidence (2018)
  • Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Uczestnicy o szkoleniu

Dużo konkretnych technikaliów popartych przykładami. Sporo treści merytorycznej.Wykorzystanie popularnych frameworków: angular, iguax, react.
2017-08-04T11:48:17+00:00
Dużo konkretnych technikaliów popartych przykładami. Sporo treści merytorycznej.Wykorzystanie popularnych frameworków: angular, iguax, react.
Świetne, nieoczywiste przykłady, dużo ciekawostek i opisów faktycznych luk na popularnych serwisach.
2017-08-04T11:49:12+00:00
Świetne, nieoczywiste przykłady, dużo ciekawostek i opisów faktycznych luk na popularnych serwisach.
Przykłady, filmiki z opisem/ krokami szukania błędów.
2017-08-04T11:49:38+00:00
Przykłady, filmiki z opisem/ krokami szukania błędów.
Unikalne przykłady, dużo info jak na 2 dni szkolenia, przystępne tłumaczenie.
2017-08-04T11:50:15+00:00
Unikalne przykłady, dużo info jak na 2 dni szkolenia, przystępne tłumaczenie.
5+, trener potrafi dobrze przekazać wiedzę, a ma jej bardzo dużo do przekazania.
2017-08-04T11:50:49+00:00
5+, trener potrafi dobrze przekazać wiedzę, a ma jej bardzo dużo do przekazania.
Bez zarzutu. Odpowiednie tempo, zrozumiałe objaśnienia, masa przykładów
2017-08-04T11:51:32+00:00
Bez zarzutu. Odpowiednie tempo, zrozumiałe objaśnienia, masa przykładów
Super, [trener] umiał przykuć uwagę, był otwarty na pytania
2017-08-04T11:51:59+00:00
Super, [trener] umiał przykuć uwagę, był otwarty na pytania