Tylko aktualna wiedza, liczne pokazy na żywo, elementy umożliwiające natychmiastowe przekucie wiedzy na praktykę, angażujące prowadzenie szkolenia oraz dodatkowe materiały dla uczestników - staramy się aby te elementy towarzyszyły wszystkim szkoleniom organizowanym przez sekuraka - tak jest i tym razem. :-) Jeśli jesteś administratorem systemów/sieci czy opiekujesz się bezpieczeństwem części lub całości firmy (niezależnie od wielkości) - a nigdy nie chciałeś lub nie miałeś okazji wejść nieco głębiej w bezpieczeństwo aplikacji webowych lub myślałeś, że jest to zbyt skomplikowane - to szkolenie jest dla Ciebie!
Przez 12 miesięcy po zakończeniu szkolenia dostępny będzie również zapis filmowy z kursu. Szkolenie ma postać pokazów praktycznych.
[VOUCHER!]
Zakup vouchera gwarantuje cenę szkolenia z 2022 roku. Dodatkowo voucher ważny jest przez cały 2023 rok i może go wykorzystać zarówno osoba kupująca, jak również dowolna osoba przez nią wskazana. Jeżeli nie odpowiada Ci pierwotny termin to można go wykorzystać na póżniejsze wydarzenie.
Do kogo skierowane jest szkolenie:
-
- Dla administratorów systemów/sieci
- Dla architektów pracujących z aplikacjami webowymi/sieciowymi
- Dla managerów technicznych zespołów
- Dla audytorów oraz pasjonatów bezpieczeństwa IT
Agenda
0. Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ]
- Podstawy protokołu HTTP
- Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW
1. Podstawy rekonesansu aplikacji webowych [~30 minut]
- prosty sposób na weryfikację jakie aplikacje webowe udostępniam na zewnątrz organizacji [live demo]
- przydatne narzędzia do rekonesansu
- jak się ochronić przed rekonesansem?
- na koniec modułu: każdy ma możliwość realizacji pasywnego rekonesansu zasobów swojej firmy
2. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]
- Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
- W każdym omawianym przypadku – wskazanie istoty problemu
- Wskazanie zalecanych metod ochrony paneli webowych urządzeń
3. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz? [~10 minut]
- Obalenie popularnych mitów
- Przed czym HTTPS/TLS chroni a przed czym nie?
- Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
- Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]
4. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~60 minut ]
- Zdalny shell przez aplikację webową – to proste :(
- Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
- Wskazanie metod ochrony.
- W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
- W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?
5. Wykryłem atak na moją aplikację webową – co robić? [ ~20 minut ]
- Prezentacja pełnego przykładowego ataku [ live demo ]
- Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
- rekonesansu oraz samego ataku
- aktywności backdoora / webshella
- Rekomendacje dalszych działań po ataku
6. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]
- Kilka realnych przykładów złych oraz dobrych praktyk
7. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~15 minut ]
- Wyjaśnienie metod działania
- Wskazanie w jaki sposób WAF chroni przed realnym atakiem
- Prezentacja kilku standardowych metod obejścia WAF-ów
Kto prowadzi szkolenie?
Michał Sajdak od przeszło 12 lat specjalizuje się w ofensywnym obszarze bezpieczeństwa IT, wykonał setki audytów bezpieczeństwa IT, przeszkolił dziesiątki tysięcy osób. Posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) oraz CTT+ (Certified Technical Trainer). Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW". Założyciel i redaktor portalu sekurak.pl.
Co zawiera cena szkolenia:
-
- udział w szkoleniu na żywo
- dostęp do nagrania z szkolenia przez 12 miesięcy od zakończenia wydarzenia
- certyfikat uczestnictwa (w pdf)