Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).
Do kogo skierowane jest szkolenie:
-
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych
Czego nauczysz się podczas szkolenia:
-
- Poznasz 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST
Agenda:
- Krótki wstęp do API REST
- Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
- Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
- Omijanie zabezpieczeń dostępu do metod HTTP
- Server-Side Request forgery (SSRF)
- Podatności XML
- XXE
- Remote Code Execution
- XXE vs SSRF
- Podatności JSON vs. XML vs. YAML
- Deserializacja vs. bezpieczeństwo API
- Bezpieczeństwo JWT (JSON Web Tokens).
- Bezpieczeństwo OAuth2
- Wycieki kluczy API
- Bezpieczeństwo Webhooks
- Bezpieczeństwo frameworków
Przydatne informacje:
Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych.
W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:
e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029
Co zawiera cena szkolenia:
-
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
O prowadzącym:
Kamil Jarosiński jest konsultantem ds. bezpieczeństwa IT w firmie Securitum. Posiada 6 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.
Opinie uczestników o szkoleniu:
[trener] Świetny i kompetentny człowiek.
Same konkrety, brak lania wody - duża wiedza.
Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.
Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.
Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.
Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.
Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.
kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.
Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.