Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).
Czego dowiesz się podczas szkolenia
- Case study kilkunastu przypadków błędów w API rest na przestrzeni lat
- Rekonesans - czyli jak znaleźć API
- Jakie metody HTTP należy testować w przypadku API
- Czym jest nadpisywanie metod HTTP
- JSON vs YAML vs XML jako format danych przetwarzany przez API
- Wycieki kluczy - jak może się to stać i co należy zrobić
- Czym jest oAuth2
- Jak hakować JWT
Co powinieneś wiedzieć przed szkoleniem
- Znać podstawy związane z API rest - wspierane metody HTTP
- Znać format JSON
- Podstawy protokołu HTTP
- Zapoznać się z podatnością XXE
Do kogo skierowane jest szkolenie
-
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych
Agenda
- Krótki wstęp do API REST
- Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
- Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
- Omijanie zabezpieczeń dostępu do metod HTTP
- Server-Side Request forgery (SSRF)
- Podatności XML
- XXE
- Remote Code Execution
- XXE vs SSRF
- Podatności JSON vs. XML vs. YAML
- Deserializacja vs. bezpieczeństwo API
- Bezpieczeństwo JWT (JSON Web Tokens).
- Bezpieczeństwo OAuth2
- Wycieki kluczy API
- Bezpieczeństwo Webhooks
- Bezpieczeństwo frameworków
Przydatne informacje
- Szkolenie prowadzone jest w wersji zdalnej, instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Szkolenie nie jest nagrywane!
- Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
- Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia
-
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Podobne szkolenia
Bezpieczeństwo frontendu aplikacji WWW
Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)
Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)
https://sklep.securitum.pl/wprowadzenie-do-bezpieczenstwa-aplikacji-www
O prowadzącym
Kamil Jarosiński jest konsultantem ds. bezpieczeństwa IT w firmie Securitum. Posiada ponad 7 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.
Opinie uczestników o szkoleniu
[trener] Świetny i kompetentny człowiek.
Same konkrety, brak lania wody - duża wiedza.
Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.
Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.
Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.
Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.
Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.
kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.
Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.