Bezpieczeństwo frontendu aplikacji WWW

Praktyczny kurs prowadzony przez znanych badaczy bezpieczeństwa Kamila Jarosińskiego lub Marka Rzepeckiego – dwa dni warsztatów nt. praktycznej strony bezpieczeństwa aplikacji webowych w kontekście podatności po stronie frontendu.

Każda podatność zostanie poprzedzona krótkim wstępem teoretycznym – z uwzględnieniem różnic w możliwości wykonywania jej w najpopularniejszych przeglądarkach.

Voucher 2024 

Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).

Czego dowiesz się podczas szkolenia

• Jakie są realne skutki podatności XSS
• Jakie istnieją rodzaje XSS-ów
• O punktach wstrzyknięć i miejscach wykonania kodu
• Jak debugować kod JS w przeglądarce
• Jak chronić się przed podatnością
• tak dla HTML, nie dla XSS - czyli kilka słów o sanityzacji
• Czy silniki szablonów zawsze zapewniają pełne bezpieczeństwo - pomówmy o React
• Jak działa podatność CSRF oraz jak się chronić
• Tylko jedno kliknięcie - jak wykorzystać podatność clickjacking
• Świat bez XSS - czy na pewno jesteś bezpieczny?
• Wstrzyknięcia w style CSS i co mi zrobisz
• Jak działa mechanizm PostMessage - jak nie popełniać błędów
• CORS - czy wiesz, że to nie jest mechanizm bezpieczeństwa?
• WebSocket - kiedy i jak można przejąć sesję innego użytkownika
• Permanentny XSS - o tym jak działa ServerWorker
• Jakie mechanizmy bezpieczeństwa implementują współczesne przeglądarki
• Content-Security-Policy - a komu to potrzebne?

Co powinieneś wiedzieć przed szkoleniem

• Podstawy programowania w języku JavaScript i HTML
• Powinieneś mieć konto na stronie https://portswigger.net/web-security

Do kogo skierowane jest szkolenie

• • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Agenda: 

1. Wprowadzenie do szkolenia i technologii client-side.
2. Cross-Site Scripting – najistotniejsza podatność świata client-side.

• • omówienie Same Origin Policy
  • omówienia i trening praktycznych skutków XSS-ów,
  • typy XSS,
  • omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików)
  • omówienie punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML)
  • omówienie metod ochrony przed XSS
  • techniki omijania filtrów XSS
  • XSS-y a dopuszczanie fragmentów kodu HTML.

3. Inne ataki działające po stronie przeglądarek:

• • Cross-Site Request Forgery
  • Clickjacking,
  • RPO (Relative Path Overwrite)/ataki z użyciem CSS,
  • JSON hijacking,
  • Dangling markup.

4. Problemy bezpieczeństwa elementów API HTML5:

• • postMessage,
  • CORS (Cross-Origin Resource Sharing),
  • Service Workers,
  • Web Sockets.

5. Content-Security-Policy – remedium na problemy bezpieczeństwa czy piekło wdrożenia?

• • wyjaśnienie idei CSP,
  • omówienie dyrektyw CSP,
  • omówienie sposobów obejścia CSP,
  • omówienie problemów przy wdrażaniu CSP.

6. Sposoby zwiększania bezpieczeństwa frontendu

• • nagłówki bezpieczeństwa (X-Frame-Options, Public-Key-Pins, Strict-Transport-Security i inne),
  • flagi ciasteczek,
  • dobre praktyki w pisaniu aplikacji.

7. Biblioteki JS (jQuery, Angular, React, Knockout)

• • problemy bezpieczeństwa bibliotek JS,
  • wstrzyknięcia szablonów,
  • naruszenie dotychczasowych założeń bezpieczeństwa.

8. Bug bounty

• • kwestie organizacyjne programów bug bounty na przykładzie Google
  • techniczne omówienie znalezionych błędów.

9. Ćwiczenie podsumowujące – wykorzystanie podatności client-side do

         wydobywania danych z innych domen.

10. Podsumowanie szkolenia: krótkie podsumowanie wszystkich metod ataku

         i ochrony omawianych na szkoleniu. 

Przydatne informacje

• Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
• Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.
• [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
• Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. . W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt e-mail: szkolenia@securitum.pl, tel.: +48 516 824 029 

Co zawiera cena szkolenia

• • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).
  • Rozwiązania ćwiczeń w formie PDF

Podobne szkolenia

Bezpieczeństwo aplikacji WWW

Bezpieczeństwo API REST

Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)

Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)

Wprowadzenie do bezpieczeństwa aplikacji WWW (zapis video)

O prowadzącym

Kamil Jarosiński jest konsultantem  ds. bezpieczeństwa IT w firmie Securitum. Posiada 7 lat doświadczenia w prowadzenia testów penetracyjnych oraz szkoleń z zakresu bezpieczeństwa aplikacji webowych. Pasjonat bezpieczeństwa systemów IT lubiący dzielić się wiedzą. Prelegent na konferencjach branżowych m.in: Mega Sekurak Hacking Party, uczestnik programów Bug Bounty.

Opinie uczestnikków o szkoleniu

Fajnie, ze były przykłady z realnych sytuacji. Też mi się spodobały zadanka prawie po każdym bloku, które, uważam, bardzo dobrze pomagają zapamiętać materiał.

Wiedza i kompetencje prowadzącego, dobre przekazanie wiedzy, interesujący temat szkolenia i realne korzyści z nabytej wiedzy.

Having a chance to practice and to experiment what was introduced with the right timing, the right resources and the right support in case of doubts. It made the difference between a common course and a real training. Well done!

Dał bym trenerowi najwyższą możliwą ocenę. Tak jak wspomniałem, jest on bardzo kompetentny, odpowiadał na pytanie w jasny sposób, był świetnie przygotowany. Widać, że jego praca jest też jego pasją.

Extremely well presented, explained, clarified, well tracked program/exercises solutions, extremely delicate in receiving questions and support request from the audience, extremely patient to receive some (unneeded imho) critic/corrections from some attendee Really well done, thanks for that!