Bezpieczeństwo API REST

Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).

Do kogo skierowane jest szkolenie:

    • Do programistów
    • Do devopsów
    • Do pentesterów
    • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Czego nauczysz się podczas szkolenia:

    • Poznasz 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST

Agenda:

  1.   Krótki wstęp do API REST
  2.   Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3.   Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4.   Omijanie zabezpieczeń dostępu do metod HTTP
  5.   Server-Side Request forgery (SSRF)
  6.   Podatności XML
  7.   XXE
    • Remote Code Execution
    • XXE vs SSRF
    • Podatności JSON vs. XML vs. YAML
  1.  Deserializacja vs. bezpieczeństwo API
  2.  Bezpieczeństwo JWT (JSON Web Tokens).
  3.  Bezpieczeństwo OAuth2
  4.  Wycieki kluczy API
  5.  Bezpieczeństwo Webhooks
  6.  Bezpieczeństwo frameworków

Przydatne informacje:

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. 

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Co zawiera cena szkolenia:

    • Udział w szkoleniu i dostęp do platformy szkoleniowej.
    • Certyfikat ukończenia szkolenia (PDF).

O prowadzącym:

Kamil Jarosiński jest konsultantem  ds. bezpieczeństwa IT w firmie Securitum. Posiada 6 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.

Opinie uczestników o szkoleniu:

[trener] Świetny i kompetentny człowiek.

Same konkrety, brak lania wody - duża wiedza.

Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.

Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.

Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.

Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.

Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.

kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.

Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.

 

Poziom zaawansowania:grade grade grade

Prowadzący: Kamil Jarosiński

9.06.2022 (zdalnie)

1 150,00 zł netto + 23% VAT
1 414,50 zł brutto