Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych? (zapis video)

Szkolenie w postaci zapisu video

Tylko aktualna wiedza, liczne pokazy na żywo, elementy umożliwiające natychmiastowe przekucie wiedzy na praktykę, angażujące prowadzenie szkolenia oraz dodatkowe materiały dla uczestników - staramy się aby te elementy towarzyszyły wszystkim szkoleniom organizowanym przez sekuraka - tak jest i tym razem. :-) Jeśli jesteś administratorem systemów/sieci czy opiekujesz się bezpieczeństwem części lub całości firmy (niezależnie od wielkości) - a nigdy nie chciałeś lub nie miałeś okazji wejść nieco głębiej  w bezpieczeństwo aplikacji webowych lub myślałeś, że jest to zbyt skomplikowane - to szkolenie jest dla Ciebie!

 

Do kogo skierowane jest szkolenie:

    • Dla administratorów systemów/sieci
    • Dla architektów pracujących  z aplikacjami webowymi/sieciowymi
    • Dla managerów technicznych zespołów
    • Dla audytorów oraz pasjonatów bezpieczeństwa IT  

Agenda

0. Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ] 

  • Podstawy protokołu HTTP
  • Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW

1. Podstawy rekonesansu aplikacji webowych [~30 minut]

  • prosty sposób na weryfikację jakie aplikacje webowe udostępniam na zewnątrz organizacji [live demo]
  • przydatne narzędzia do rekonesansu
  • jak się ochronić przed rekonesansem?
  • na koniec modułu: każdy ma możliwość realizacji pasywnego rekonesansu zasobów swojej firmy

2. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]  

  • Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
  • W każdym omawianym przypadku – wskazanie istoty problemu
  • Wskazanie zalecanych metod ochrony paneli webowych urządzeń

3. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz? [~10 minut]

  • Obalenie popularnych mitów
  • Przed czym HTTPS/TLS chroni a przed czym nie?
  • Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
  • Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]

4. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~60 minut ]  

  • Zdalny shell przez aplikację webową – to proste :(
    • Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
    • Wskazanie metod ochrony.
  • W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
  • W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?

5. Wykryłem atak na moją aplikację webową – co robić? [ ~20 minut ]

  • Prezentacja pełnego przykładowego ataku [ live demo ]
  • Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
    • rekonesansu oraz samego ataku
    • aktywności backdoora / webshella
  • Rekomendacje dalszych działań po ataku

6. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]

  • Kilka realnych przykładów złych oraz dobrych praktyk

7. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~15 minut ]

  • Wyjaśnienie metod działania
  • Wskazanie w jaki sposób WAF chroni przed realnym atakiem 
  • Prezentacja kilku standardowych metod obejścia WAF-ów

Kto prowadzi szkolenie?

Michał Sajdak od przeszło 12 lat specjalizuje się w ofensywnym obszarze bezpieczeństwa IT, wykonał setki audytów bezpieczeństwa IT, przeszkolił dziesiątki tysięcy osób. Posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) oraz CTT+ (Certified Technical Trainer). Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW". Założyciel  i redaktor portalu sekurak.pl.

Co zawiera cena szkolenia:

    • udział w szkoleniu na żywo
    • dostęp do nagrania z szkolenia przez 12 miesięcy od zakończenia wydarzenia
    • certyfikat uczestnictwa (w pdf) 

Dostęp do nagrania

499,00 zł netto + 23% VAT
613,77 zł brutto