Bezpieczeństwo API REST

Szkolenie zawiera 20 sprawnie omówionych realnych case studies (podatności z REST API) z ostatnich 3 lat oraz praktyczne omówienie tematyki bezpieczeństwa API REST stanowiące aktualne kompendium tego tematu (przeszło 200 interaktywnych slajdów, przeszło 100 zewnętrznych linków).

Czego dowiesz się podczas szkolenia

• Case study kilkunastu przypadków błędów w API rest na przestrzeni lat
• Rekonesans - czyli jak znaleźć API
• Jakie metody HTTP należy testować w przypadku API
• Czym jest nadpisywanie metod HTTP
• JSON vs YAML vs XML jako format danych przetwarzany przez API
• Wycieki kluczy - jak może się to stać i co należy zrobić
• Czym jest oAuth2
• Jak hakować JWT

Co powinieneś wiedzieć przed szkoleniem

• Znać podstawy związane z API rest - wspierane metody HTTP
• Znać format JSON
• Podstawy protokołu HTTP
• Zapoznać się z podatnością XXE

Do kogo skierowane jest szkolenie

• • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Agenda

1.   Krótki wstęp do API REST
2.   Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
3.   Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
4.   Omijanie zabezpieczeń dostępu do metod HTTP
5.   Server-Side Request forgery (SSRF)
6.   Podatności XML
7.   XXE
   • Remote Code Execution
   • XXE vs SSRF
   • Podatności JSON vs. XML vs. YAML

8.  Deserializacja vs. bezpieczeństwo API
9.  Bezpieczeństwo JWT (JSON Web Tokens).
10.  Bezpieczeństwo OAuth2
11.  Wycieki kluczy API
12.  Bezpieczeństwo Webhooks
13.  Bezpieczeństwo frameworków

Przydatne informacje

• Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 
• Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
• [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
• Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029 

Co zawiera cena szkolenia

• • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).

Podobne szkolenia

Bezpieczeństwo frontendu aplikacji WWW

Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)

Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)

https://sklep.securitum.pl/wprowadzenie-do-bezpieczenstwa-aplikacji-www

O prowadzącym

Kamil Jarosiński jest konsultantem  ds. bezpieczeństwa IT w firmie Securitum. Posiada ponad 7 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.

Opinie uczestników o szkoleniu

[trener] Świetny i kompetentny człowiek.

Same konkrety, brak lania wody - duża wiedza.

Część praktyczna - zadania do samodzielnego wykonania, a nie tylko sucha wiedza.

Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.

Fajne przykłady nie za trudne ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej... ale musiałby być dodatkowy dzien.

Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.

Bardzo fajnie że trener pasjonuje się tematem. Dobrze tłumaczy.

kompetencja, obszerność materiału, ilość narzędzi i przykładów, balans teoria-praktyka.

Uświadomienie jak atakujący mogą "łączyć kropki", nawet nieistniejące, by przeprowadzić atak. tematów nieciekawych nie było.