Websecurity Master od sekuraka

Nie musisz nam wierzyć na słowo. Sprawdź nas i dołącz do darmowej sesji!

Zapraszamy na darmową sesję – pierwszą z modułu Podstawy bezpieczeństwa aplikacji webowych (Sesja 1. Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych).

Jak dołączyć? Jeżeli pracujesz w firmie zatrudniającej minimum 50 pracowników – zgłoś się przez formularz poniżej. Odezwiemy się do Ciebie  po weryfikacji (obsługujemy zgłoszenia wysłane TYLKO z e-maila służbowego). 

UWAGA! Jedna firma może zgłosić jednego uczestnika. 

Zapisz się za pomocą formularza tutaj: https://sekurak.pl/zapraszamy-na-szkolenie-websecurity-master/

Startujemy 8.04.2025 r.

Websecurity Master od sekuraka to najbardziej kompleksowy w Polsce kurs poświęcony bezpieczeństwu aplikacji webowych. Dzięki niemu poznasz najczęstsze, najbardziej istotne ataki na aplikacje webowe, nauczysz się również chronić przed zagrożeniami. Całą wiedzę otrzymasz bezpośrednio od praktyków – na co dzień zajmujących się tym zagadnieniem w największej firmie pentesterskiej w Polsce. Dowiesz się również, jakie kierunki rozwoju obrać w dziedzinie bezpieczeństwa aplikacji webowych oraz gdzie szukać pomocy w razie wykrycia prób ataku na Twoje aplikacje.

Kurs został przygotowany na podstawie naszego 15-letniego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa (analizy kodu źródłowego oraz testy black box), a także wniosków z realizacji kilkuset edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych – dla największych organizacji w Polsce oraz za granicą. Jesteśmy również wydawcą bestsellerowej książki: Bezpieczeństwo aplikacji webowych (ponad 15 000 sprzedanych egzemplarzy).

Kurs Websecurity Master od sekuraka to dwanaście praktycznych sesji szkoleniowych, prowadzonych zdalnie na żywo i podzielonych na dwa moduły (możesz zdecydować się na jeden moduł lub dwa moduły). 

•  MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo,

• MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo.

Kurs jest podzielony na 4-godzinne sesje szkoleniowe prowadzone zdalnie w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania sesji na żywo dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Każda sesja zorganizowana jest według schematu:

• trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne,

•  jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

 Po każdym module przewidziana jest dodatkowa, 2-godzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewnia platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz wymieniać się praktyczną wiedzą z innymi uczestnikami.

Informacje o kursie w skondensowanej formie znajdziesz tutaj a ulotkę w wersji PL o szkoleniu którą możesz podesłać np. szefowi tutaj (w wersji EN tutaj)

Czego dowiesz się podczas szkolenia?

• Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.

• Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.

• Dowiesz się, jak pisać bezpieczniejszy kod.

• Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.

• Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.

• Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.

• Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

Co powinieneś wiedzieć przed szkoleniem?

• Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT, choć przydatna będzie znajomość takich pojęć jak: żądanie HTTP, ciasteczka  sesyjne, serwer aplikacji webowej etc. Warto też poznać wcześniej podstawowe funkcje narzędzia Burp Suite.

• Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
  1. podstawy bezpieczeństwa aplikacji webowych, 
  2. podstawy JavaScript,
  3. narzędzie Burp Suite.

Przed szkoleniem wszyscy Uczestnicy otrzymają listę materiałów pomocnych w przygotowaniu się do zajęć, dzięki czemu będą mogli zaznajomić się z używanymi podczas kursu narzedziami i pojęciami.

Dla kogo przeznaczone jest szkolenie?

• dla programistów,

• dla DevOpsów,

• dla pentesterów,

• dla administratorów sieci/systemów,

• dla osób zainteresowanych tematyką bezpieczeństwa aplikacji webowych.

Zapraszamy jednak każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata. 

Agenda

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

• Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo

• Podstawy rekonesansu aplikacji webowych.

• Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.

• Pokaz wieloetapowego ataku na aplikację webową.

•  Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:

1. 1. jak zaplanować testy bezpieczeństwa aplikacji, 

   2. testy automatyczne vs testy ręczne,

   3. raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

• Przegląd wszystkich 10 klas podatności.

• Omówienie ogólnych strategii obrony aplikacji przed atakami.

• Pokazy na żywo.

• LAB do realizacji przez uczestników.

 Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

• Bezpieczne przechowywanie haseł w aplikacji.

• W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?

• Problemy z mechanizmami resetu hasła.

• Podatności klasy IDOR.

• Bezpieczeństwo JWT.

• Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.

• LAB do realizacji przez uczestników.

 Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

• LAB do realizacji przez uczestników.

• Podatności klasy RCE/Command Injection:

1. 1. mechanizmy uploadu,

   2. przegląd podatności Command Injection,

   3. problemy w bibliotekach,

   4. inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

• Przegląd częstych podatności występujących w aplikacjach webowych:

1. 1. SQL Injection,

   2. NoSQL Injection,

   3. manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),

   4. podatność SSRF,

   5. podatność Path Traversal,

   6. LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

• Rekonesans.

• Wykorzystanie kilku podatności.

• Podniesienie uprawnień w atakowanym systemie.

 Sesja pytań i odpowiedzi na żywo (2 h):

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.

• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

 Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

Podatności związane z deserializacją.

• Podatność SSTI.

• Podatność Mass Assignment.

• Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?

• LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

• Czym jest WAF? 

• Techniki omijania WAF.

• HTTP request smuggling.

• Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.

• Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.

• LAB do realizacji przez uczestników.

 Sesja nr 3: Bezpieczeństwo API REST:

• Omijanie zabezpieczeń dostępu do metod HTTP.

• Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.

• Wycieki kluczy API.

• Bezpieczeństwo OAuth2.

• Wybrane klasyczne podatności webowe w kontekście API REST.

• LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

• Cross-Site Scripting – najistotniejsza podatność świata client-side.

• Omówienie Same Origin Policy i trening praktycznych skutków XSS-ów.

•  Typy XSS.

• Omówienie punktów wejścia XSS (parametry GET/POST, pliki SVG, upload plików).

• Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).

•  Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 

• XSS-y a dopuszczanie fragmentów kodu HTML.

• LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

• Biblioteki JS (jQuery, Angular, React, Knockout).

• Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.

• Podatność CSRF.

• LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

• Wykorzystanie kilku podatności.

• Ominięcie filtrów/WAF.

• Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.
  
  

Sesja pytań i odpowiedzi na żywo (2 h):

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.

• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co zawiera cena szkolenia?

• Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.

• Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka

• Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.

• Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu) .

• Dostęp do nagrań z sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).

• Opis rozwiązań każdego z LAB-ów.

• Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale oraz dodatkowo quiz sprawdzający wiedzę.

• Certyfikat ukończenia szkolenia (PDF).

Przydatne informacje

• Szkolenie prowadzone jest na żywo, w wersji zdalnej.

• Harmonogram

Start spotkań o godzinie 9:00, zakończenie ok. 13:15 (4 h szkolenia + przerwy)

Moduł I (podstawowy)

– sesja 1 – 8.04.2025

– sesja 2 – 15.04.2025

– sesja 3 – 24.04.2025

– sesja 4 – 29.04.2025

– sesja 5 – 6.05.2025

– sesja 6 – 13.05.2025

– spotkanie podsumowujące -13.05.2025 – godzina 19:00

Moduł II (zaawansowany)

– sesja 1 – 20.05.2025

– sesja 2 – 27.05.2025

– sesja 3 – 3.06.2025

– sesja 4 – 10.06.2025

– sesja 5 – 17.06.2025

– sesja 6 – 24.06.2025

– spotkanie podsumowujące – 24.06.2025-godzina 19:00

O trenerach / mentorach

Marek Rzepecki
Zawodowy, etyczny hacker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat konsultant do spraw cyberbezpieczeństwa w Securitum. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla największych firm polskich i zagranicznych. Poza hackowaniem zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi zaawansowane szkolenia na temat bezpieczeństwa aplikacji webowych, mobilnych, infrastruktur sieciowych oraz służące podnoszeniu świadomości istnienia cyberzagrożeń. Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

Kamil Jarosiński

Konsultant do spraw bezpieczeństwa w Securitum. Ma ponadpięcioletnie doświadczenie w przeprowadzaniu testów penetracyjnych. W ramach obowiązków służbowych testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware. Testował bezpieczeństwo w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce.

Trener szkoleń z zakresu bezpieczeństwa aplikacji WWW, API REST oraz środowisk chmurowych. Prelegent na konferencji Mega Sekurak Hacking Party. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.

Robert Kruczek

Pentester, socjotechnik, etyczny hacker, pracujący od ponad ośmiu lat w Securitum. W trakcie realizacji swoich zadań wykonał testy penetracyjne kilkuset aplikacji internetowych i desktopowych. Prelegent na konferencjach branżowych- Mega Sekurak Hacking Party, Confidence. Mentor w programie stażowym Sekurak.Academy.

Mateusz Lewczak

Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.

Podobne szkolenia

Bezpieczeństwo aplikacji WWW

Zaawansowane bezpieczeństwo aplikacji WWW

Bezpieczeństwo frontendu aplikacji WWW

Bezpieczeństwo API Rest