Praktyczne bezpieczeństwo frontendu aplikacji webowych - część 1: podatności XSS

Szkolenie online – 6 sesji trwających po około 2 godziny. Terminy sesji: 28.11, 5.12, 9.12, 12.12, 16.12, 19.12. Nagrania dostępne przez 12 miesięcy.

Ataki XSS (Cross-Site Scripting) to jedne z najgroźniejszych i najczęściej występujących podatności w aplikacjach webowych, które mogą prowadzić do kradzieży danych czy przejęcia kont użytkowników. Czy wiesz, czym realnie może skutkować XSS poza popularnym „alert(1)”? Czy potrafisz skutecznie znajdować i eliminować te luki bezpieczeństwa?

Szkolenie Praktyczne bezpieczeństwo frontendu aplikacji webowych - część 1: podatności XSS to kompleksowy przewodnik po świecie podatności XSS, stworzony z myślą o testerach bezpieczeństwa, deweloperach, administratorach i wszystkich, którzy chcą pogłębić swoją wiedzę na temat cyberbezpieczeństwa. Od podstawowych definicji i typów XSS-ów, przez zaawansowane techniki wyszukiwania i zabezpieczania, aż po praktyczne przykłady z realnego świata – to szkolenie dostarczy Ci niezbędnych narzędzi i wiedzy, aby stać się prawdziwym bohaterem w walce z XSS-ami. Przygotuj się na dużą liczbę demonstracji na żywo, które pozwolą Ci od razu zastosować zdobytą wiedzę w praktyce.

Wszystko od prawdziwego guru od tematyki bezpieczeństwa aplikacji webowych - Michała Bentkowskiego, który nie jednemu XSSowi ukręcił głowę w testach bezpieczeństwa, dbając by systemy które na co dzień wszyscy używamy były bezpieczne i bez dziur 😉

Bilety

Bilet dla jednej osoby – obejmuje dostęp do wszystkich sześciu sesji szkolenia, dostępu do nagrania przez rok oraz certyfikatów uczestnictwa w językach polskim i angielskim.

Bilet TRIAL – nie jesteś jeszcze przekonany czy to szkolenie dla Ciebie? Wybierz bilet TRIAL i zapisz się bezpłatnie na pierwszą sesję Wprowadzenie do XSS oraz przeglądarek: Same-Origin Policy, czym jest XSS, skutki XSS, typy XSS. Podczas tej sesji zaczniemy od podstaw: zobaczymy, czym realnie może skutkować XSS (poza „alert(1)”!) oraz omówimy typy XSS, jak również Same-Origin Policy jako fundamentalną zasadę działania przeglądarek. Dodatkowo dostaniesz dostęp do nagrania z tej sesji na 365 dni.

Czego dowiesz się podczas szkolenia

  • Dowiesz się, czym jest podatność XSS i dlaczego należy się nią przejmować.

  • Poznasz różne typy XSS-ów.

  • Zaznajomisz się z technikami wyszukiwania XSS-ów w aplikacji.

  • Przekonasz się, że istnieją skuteczne sposoby zabezpieczenia się przed XSS-ami.

  • Poznasz odpowiedzi na palące pytania, takie jak: „Czy dane należy enkodować przed zapisem do bazy?” lub „Czy sanityzacja HTML powinna się odbywać po stronie serwera czy klienta?”.

Co powinieneś wiedzieć przed szkoleniem

  • Szkolenie nie wymaga dużej wiedzy wstępnej – wystarczy ogólna orientacja, jak działają przeglądarki, oraz rozumienie kodu JS.

Do kogo skierowane jest szkolenie

  • Do testerów bezpieczeństwa, którzy chcą lepiej zrozumieć, jak wyszukiwać XSS-y w aplikacjach.

  • Do deweloperów, którzy chcą pisać bezpieczniejsze aplikacje.

  • Do adminów, którzy chcą się dowiedzieć, czy mogą zrobić coś w kontekście XSS-ów na poziomie infrastruktury.

  • Do wszystkich, którzy chcą posłuchać o ciekawych problemach bezpieczeństwa i lubią szkolenia z dużą liczbą demonstracji na żywo.

Agenda

1. Wprowadzenie do XSS oraz przeglądarek: Same-Origin Policy, czym jest XSS, skutki XSS, typy XSS.

Zaczniemy od podstaw: zobaczymy, czym realnie może skutkować XSS (poza „alert(1)”!) oraz omówimy typy XSS, jak również Same-Origin Policy jako fundamentalną zasadę działania przeglądarek.

2. Enkodowanie (escape’owanie), sanityzacja, filtrowanie

W drugim szkoleniu z serii skupimy się na przyczynach występowania XSS-ów w aplikacjach. Omówimy pojęcia enkodowania, sanityzacji i filtrowania oraz odpowiemy na pytanie, kiedy każda z tych metod jest odpowiednia do zabezpieczenia przed XSS-ami, a także dlaczego zastosowanie nieadekwatnej metody może mieć poważne skutki. Zastanowimy się również, co można zrobić, żeby zawsze używać tej właściwej.

3. Frameworki a XSS-y

Duża część dzisiejszych aplikacji webowych pisana jest na podstawie frameworków lub przynajmniej bibliotek, które ułatwiają tworzenie interfejsów użytkownika. W jaki sposób wpływają one na bezpieczeństwo? Czy użycie frameworka poprawia, czy zmniejsza bezpieczeństwo?

Spróbujemy odpowiedzieć na te pytania poprzez przeanalizowanie frameworków i bibliotek do generowania HTML-a – zarówno działających po stronie serwera, jak i po stronie klienta (jak React czy Angular).

Spróbujemy sobie też odpowiedzieć na pytanie, w jaki sposób zweryfikować, czy dany framework (nawet taki nieanalizowany podczas szkolenia) poprawnie i kompleksowo zabezpiecza przed XSS-ami.

4. postMessage, DOM Clobbering, Prototype Pollution

W tej części szkolenia omówimy kilka bardziej zaawansowanych tematów – niepowiązanych bezpośrednio ze sobą, ale każdy z nich może być nową ścieżką do wykonania XSS-a. postMessage to mechanizm komunikacji między ramkami, który może ułatwić wykonanie własnego kodu JS.

DOM Clobbering z kolei to pewna cecha przeglądarek, które tworzą nowe, być może nieoczekiwane właściwości wewnątrz `window`, `document` lub `form`, co przy sprzyjających wiatrach może dać XSS-a.

Ostatecznie Prototype Pollution to podatność związana bezpośrednio z JavaScriptem, gdzie możliwość zatrucia “prototypu” obiektu w JS może pozwolić na zmianę logiki aplikacji skutkując tym samym wykonaniem własnego kodu.

5. Content-Security-Policy oraz inne mechanizmy defensywne przed XSS-ami

O ile podczas każdej części szkolenia będziemy rozmawiać między innymi o zabezpieczeniu przed XSS-ami, o tyle w sesji nr 5 skupimy się wyłącznie na tym. Głównym bohaterem będzie Content Security Policy (CSP) – jako najbardziej kompleksowy mechanizm chroniący przed XSS. Omówimy jego dobre oraz złe strony, a także poznamy możliwe obejścia.

Poza CSP omówimy również Trusted Types oraz kilka innych, pomniejszych mechanizmów przeglądarkowych.

6. Ciekawe przypadki XSS-ów

Jako zwieńczenie szkolenia scharakteryzujemy kilka ciekawych przypadków XSS-ów, które trener albo sam znajdował w ramach programów bug bounty, albo zostały znalezione przez innych oraz publicznie opisane.

Będzie samo mięso i masa ciekawych technik!

PRZYDATNE INFORMACJE

  • Szkolenie składa się z sześciu sesji; każda sesja odbędzie się online:

    • Sesja 1: 28.11.2025 r. o godz. 19:00 (około 2 godzin).

    • Sesja 2: 5.12.2025 r. o godz. 19:00 (około 2 godzin).

    • Sesja 3: 9.12.2025 r. o godz. 19:00 (około 2 godzin).

    • Sesja 4: 12.12.2025 r. o godz. 19:00 (około 2 godzin).

    • Sesja 5: 16.12.2025 r. o godz. 19:00 (około 2 godzin).

    • Sesja 6: 19.12.2025 r. o godz. 19:00 (około 2 godzin).


  • Do szkolenia w wersji zdalnej wymagane są: komputer z dowolnym systemem operacyjnym, z przeglądarką Firefox/Chrome, stabilne łącze internetowe i słuchawki/głośniki.

  • [UWAGA!] Link do szkolenia wysyłamy najpóźniej do dwóch dni przed spotkaniem w osobnej wiadomości, na podany podczas rejestracji e-mail. Jeżeli nie dostałeś linku, to napisz na adres: pomoc@securitum.pl, podając numer zamówienia.

CO ZAWIERA CENA SZKOLENIA

  • Dostęp do nagrania ze szkolenia, aktywny przez rok.

  • Certyfikat uczestnictwa (PDF) w językach polskim i angielskim (nie dotyczy biletu TRIAL) – certyfikat będzie wysłany do siedmiu dni po zakończeniu szkolenia.

TRENER

Michał Bentkowski

Inżynier bezpieczeństwa pracujący w Google. Przez wiele lat był pentesterem i regularnie znajdował błędy bezpieczeństwa w aplikacjach i systemach najbardziej znanych światowych instytucji. Na początku 2023 roku zmienił strony i stara się używać swojej wiedzy, by zabezpieczać świat Internetu przed dalszym występowaniem tychże podatności. 

Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security).

Współautor książki Bezpieczeństwo aplikacji webowych

Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence, SEMAFOR, SECURE, WTH, KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl oraz w magazynie „Programista”.

Najbardziej interesuje się bezpieczeństwem webowym, często skupiając się na XSS-ach, a jego ulubionym tematem jest łamanie bibliotek czyszczących HTML ze złośliwych elementów oraz poznawanie ciekawostek parserów HTML.

 

 

Poziom zaawansowania:grade grade grade

Prowadzący: Michał Bentkowski

Bilet dla jednej osoby (wszystkie sześć sesji)

799,00 zł199,75 zł netto + 23% VAT
982,77 zł245,69 zł brutto

Bilet TRIAL (pierwsza sesja bezpłatnie)

Za darmo lub minimum 20,00 zł brutto
Płać ile chcesz!

Nie znalazłeś terminu dogodnego dla siebie

Powiadom mnie o innym terminie szkolenia