Bezpieczeństwo frontendu aplikacji WWW

Praktyczny kurs prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego – dwa dni warsztatów nt. praktycznej strony bezpieczeństwa aplikacji webowych w kontekście podatności po stronie frontendu.

Każda podatność zostanie poprzedzona krótkim wstępem teoretycznym – z uwzględnieniem różnic w możliwości wykonywania jej w najpopularniejszych przeglądarkach.

Do kogo skierowane jest szkolenie:

    • Do programistów
    • Do devopsów
    • Do pentesterów
    • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Czego nauczysz się podczas szkolenia:

    • Dowiesz się o najczęściej występujących podatnościach we frontendzie aplikacji webowych, takich jak: Cross-Site Scripting czy CSS Injection.
    • Zobaczysz jakie zagrożenia stwarzają popularne frameworki JavaScript – jQuery AngularJS / React / itp
    • Poznasz mniej typowe podatności
    • Poznasz warsztat bugbountera
    • Nauczysz się sprytnych metod omijania filtrów
    • Poznasz metody ochrony

Agenda: 

  1. Wprowadzenie do szkolenia i technologii client-side.
  2. Cross-Site Scripting – najistotniejsza podatność świata client-side.
    • omówienie Same Origin Policy
    • omówienia i trening praktycznych skutków XSS-ów,
    • typy XSS,
    • omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików)
    • omówienie punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML)
    • omówienie metod ochrony przed XSS
    • techniki omijania filtrów XSS
    • XSS-y a dopuszczanie fragmentów kodu HTML.
  1. Inne ataki działające po stronie przeglądarek:
    • Cross-Site Request Forgery
    • Clickjacking,
    • RPO (Relative Path Overwrite)/ataki z użyciem CSS,
    • JSON hijacking,
    • Dangling markup.
  1. Problemy bezpieczeństwa elementów API HTML5:
    • postMessage,
    • CORS (Cross-Origin Resource Sharing),
    • Service Workers,
    • Web Sockets.
  1. Content-Security-Policy – remedium na problemy bezpieczeństwa czy piekło wdrożenia?
    • wyjaśnienie idei CSP,
    • omówienie dyrektyw CSP,
    • omówienie sposobów obejścia CSP,
    • omówienie problemów przy wdrażaniu CSP.
  1. Sposoby zwiększania bezpieczeństwa frontendu
    • nagłówki bezpieczeństwa (X-Frame-Options, Public-Key-Pins, Strict-Transport-Security i inne),
    • flagi ciasteczek,
    • dobre praktyki w pisaniu aplikacji.
  1. Biblioteki JS (jQuery, Angular, React, Knockout)
    • problemy bezpieczeństwa bibliotek JS,
    • wstrzyknięcia szablonów,
    • naruszenie dotychczasowych założeń bezpieczeństwa.
  1. Bug bounty
    • kwestie organizacyjne programów bug bounty na przykładzie Google
    • techniczne omówienie znalezionych błędów.
  1. Ćwiczenie podsumowujące – wykorzystanie podatności client-side do

         wydobywania danych z innych domen.

  1. Podsumowanie szkolenia: krótkie podsumowanie wszystkich metod ataku

         i ochrony omawianych na szkoleniu. 

Przydatne informacje: 

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym, z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem.

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób. Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. 

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Co zawiera cena szkolenia:

    • Udział w szkoleniu i dostęp do platformy szkoleniowej.
    • Certyfikat ukończenia szkolenia (PDF).
    • Rozwiązania ćwiczeń w formie PDF

O prowadzącym: 

Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum. Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.

Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Posiada ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych.

Współautor książki „Bezpieczeństwo aplikacji webowych”

Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence , SEMAFOR, SECURE, WTH , KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Opinie uczestnikków o szkoleniu:

 

Fajnie, ze były przykłady z realnych sytuacji. Też mi się spodobały zadanka prawie po każdym bloku, które, uważam, bardzo dobrze pomagają zapamiętać materiał.

Wiedza i kompetencje prowadzącego, dobre przekazanie wiedzy, interesujący temat szkolenia i realne korzyści z nabytej wiedzy.

Having a chance to practice and to experiment what was introduced with the right timing, the right resources and the right support in case of doubts. It made the difference between a common course and a real training. Well done!

Dał bym trenerowi najwyższą możliwą ocenę. Tak jak wspomniałem, jest on bardzo kompetentny, odpowiadał na pytanie w jasny sposób, był świetnie przygotowany. Widać, że jego praca jest też jego pasją.

Extremely well presented, explained, clarified, well tracked program/exercises solutions, extremely delicate in receiving questions and support request from the audience, extremely patient to receive some (unneeded imho) critic/corrections from some attendee Really well done, thanks for that!

 

Poziom zaawansowania:grade grade grade

Prowadzący: Michał Bentkowski

1-2.12.2022 (zdalnie)

1 950,00 zł netto + 23% VAT
2 398,50 zł brutto