Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).
Voucher 2025
Zachęcamy do zakupu Vouchera 2025 na to szkolenie. Voucher daje gwarancję ceny z roku 2024 i można wykorzystać do końca 2025 roku (terminy szkoleń na 2025 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Czego dowiesz się podczas szkolenia
- Case study kilkunastu przypadków błędów w API rest na przestrzeni lat
- Rekonesans - czyli jak znaleźć API
- Jakie metody HTTP należy testować w przypadku API
- Czym jest nadpisywanie metod HTTP
- JSON vs YAML vs XML jako format danych przetwarzany przez API
- Wycieki kluczy - jak może się to stać i co należy zrobić
- Czym jest oAuth2
- Jak hakować JWT
Co powinieneś wiedzieć przed szkoleniem
- Znać podstawy związane z API rest - wspierane metody HTTP
- Znać format JSON
- Podstawy protokołu HTTP
- Zapoznać się z podatnością XXE
Do kogo skierowane jest szkolenie
-
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych
Agenda
- Krótki wstęp do API REST
- Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
- Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
- Omijanie zabezpieczeń dostępu do metod HTTP
- Server-Side Request forgery (SSRF)
- Podatności XML
- XXE
- Remote Code Execution
- XXE vs SSRF
- Podatności JSON vs. XML vs. YAML
- Deserializacja vs. bezpieczeństwo API
- Bezpieczeństwo JWT (JSON Web Tokens).
- Bezpieczeństwo OAuth2
- Wycieki kluczy API
- Bezpieczeństwo Webhooks
- Bezpieczeństwo frameworków
Przydatne informacje
- Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
- Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
- Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia
-
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Podobne szkolenia
Bezpieczeństwo frontendu aplikacji WWW
Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)
Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)
https://sklep.securitum.pl/wprowadzenie-do-bezpieczenstwa-aplikacji-www
O prowadzącym
Kamil Jarosiński jest konsultantem ds. bezpieczeństwa IT w firmie Securitum. Posiada ponad 7 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.
Opinie uczestników o szkoleniu
[trener] Świetny i kompetentny człowiek.
Same konkrety, brak lania wody - duża wiedza.
Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.
Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.
Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.
Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.
Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.
kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.
Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.