Websecurity Master od sekuraka

Startujemy 8.10.2024r.

Websecurity Master od sekuraka to najbardziej kompleksowy w Polsce kurs poświęcony bezpieczeństwu aplikacji webowych. Dzięki niemu poznasz najczęstsze, najbardziej istotne ataki na aplikacje webowe, nauczysz się również chronić przed zagrożeniami. Całą wiedzę otrzymasz bezpośrednio od praktyków – na co dzień zajmujących się tym zagadnieniem w największej firmie pentesterskiej w Polsce. Dowiesz się również, jakie kierunki rozwoju obrać w dziedzinie bezpieczeństwa aplikacji webowych oraz gdzie szukać pomocy w razie wykrycia prób ataku na Twoje aplikacje.

Kurs został przygotowany na podstawie naszego 15-letniego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa (analizy kodu źródłowego oraz testy black box), a także wniosków z realizacji kilkuset edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych – dla największych organizacji w Polsce oraz za granicą. Jesteśmy również wydawcą bestsellerowej książki: Bezpieczeństwo aplikacji webowych (ponad 15 000 sprzedanych egzemplarzy).

Kurs Websecurity Master od sekuraka to dwanaście praktycznych sesji szkoleniowych, prowadzonych zdalnie na żywo i podzielonych na dwa moduły (możesz zdecydować się na jeden moduł lub dwa moduły). 

  •  MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo,
  • MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych + dodatkowa sesja pytań i odpowiedzi na żywo.

Kurs jest podzielony na 4-godzinne sesje szkoleniowe prowadzone zdalnie w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania sesji na żywo dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Każda sesja zorganizowana jest według schematu:

  • trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne,
  •  jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

 Po każdym module przewidziana jest dodatkowa, 2-godzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewnia platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz wymieniać się praktyczną wiedzą z innymi uczestnikami.

Informacje o kursie w skondensowanej formie znajdziesz tutaj a ulotkę w wersji PL o szkoleniu którą możesz podesłać np. szefowi tutaj (w wersji EN tutaj)

Czego dowiesz się podczas szkolenia?

  • Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
  • Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
  • Dowiesz się, jak pisać bezpieczniejszy kod.
  • Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
  • Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
  • Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
  • Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

Co powinieneś wiedzieć przed szkoleniem?

  • Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT.
  • Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
    - podstawy bezpieczeństwa aplikacji webowych, 
    - podstawy JavaScript,
    - narzędzie Burp Suite.

Dla kogo przeznaczone jest szkolenie?

  • programistów,
  • DevOpsów,
  • pentesterów,
  • administratorów sieci/systemów,
  • osób zainteresowanych tematyką bezpieczeństwa aplikacji webowych.

Zapraszamy jednak każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata. 

Agenda

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

  • Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo
  • Podstawy rekonesansu aplikacji webowych.
  • Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
  • Pokaz wieloetapowego ataku na aplikację webową.
  •  Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
  1. jak zaplanować testy bezpieczeństwa aplikacji, 
  2. testy automatyczne vs testy ręczne,
  3. raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

  • Przegląd wszystkich 10 klas podatności.
  • Omówienie ogólnych strategii obrony aplikacji przed atakami.
  • Pokazy na żywo.
  • LAB do realizacji przez uczestników.

 Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

  • Bezpieczne przechowywanie haseł w aplikacji.
  • W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
  • Problemy z mechanizmami resetu hasła.
  • Podatności klasy IDOR.
  • Bezpieczeństwo JWT.
  • Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
  • LAB do realizacji przez uczestników.

 Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

  • LAB do realizacji przez uczestników.
  • Podatności klasy RCE/Command Injection:
  1. mechanizmy uploadu,
  2. przegląd podatności Command Injection,
  3. problemy w bibliotekach,
  4. inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).

 

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

  • Przegląd częstych podatności występujących w aplikacjach webowych:
  1. SQL Injection,
  2. NoSQL Injection,
  3. manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
  4. podatność SSRF,
  5. podatność Path Traversal,
  6. LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

  • Rekonesans.
  • Wykorzystanie kilku podatności.
  • Podniesienie uprawnień w atakowanym systemie.

 Sesja pytań i odpowiedzi na żywo (2h):

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.


MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

 Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

Podatności związane z deserializacją.

  • Podatność SSTI.
  • Podatność Mass Assignment.
  • Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
  • LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

  • Czym jest WAF? 
  • Techniki omijania WAF.
  • HTTP request smuggling.
  • Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
  • Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
  • LAB do realizacji przez uczestników.

 Sesja nr 3: Bezpieczeństwo API REST:

  • Omijanie zabezpieczeń dostępu do metod HTTP.
  • Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
  • Wycieki kluczy API.
  • Bezpieczeństwo OAuth2.
  • Wybrane klasyczne podatności webowe w kontekście API REST.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

  • Cross-Site Scripting – najistotniejsza podatność świata client-side.
  • Omówienie Same Origin Policy i trening praktycznych skutków XSS-ów.
  •  Typy XSS.
  • Omówienie punktów wejścia XSS (parametry GET/POST, pliki SVG, upload plików).
  • Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
  •  Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 
  • XSS-y a dopuszczanie fragmentów kodu HTML.
  • LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

  • Biblioteki JS (jQuery, Angular, React, Knockout).
  • Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
  • Podatność CSRF.
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

  • Wykorzystanie kilku podatności.
  • Ominięcie filtrów/WAF.
  • Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo (2h):

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co zawiera cena szkolenia?

  • Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
  • Bezterminowy dostęp do ebooka (PDF/mobi/epub) książki „Bezpieczeństwo aplikacji webowych” od sekuraka
  • Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
  • Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu) .
  • Dostęp do nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
  • Opis rozwiązań każdego z LAB-ów.
  • Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
  • Certyfikat ukończenia szkolenia (PDF).

Przydatne informacje

  • Szkolenie prowadzone jest na żywo, w wersji zdalnej.

O trenerach / mentorach

Marek Rzepecki

Zawodowy, etyczny hacker i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat konsultant do spraw cyberbezpieczeństwa w Securitum. Zrealizował setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla największych firm polskich i zagranicznych. Poza hackowaniem zajmuje się również przekazywaniem wiedzy związanej z cyberbezpieczeństwem. Prowadzi zaawansowane szkolenia na temat bezpieczeństwa aplikacji webowych, mobilnych, infrastruktur sieciowych oraz służące podnoszeniu świadomości istnienia cyberzagrożeń. Przeszkolił tysiące osób w Polsce i za granicą. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

Kamil Jarosiński

Konsultant do spraw bezpieczeństwa w Securitum. Ma ponadpięcioletnie doświadczenie w przeprowadzaniu testów penetracyjnych. W ramach obowiązków służbowych testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware. Testował bezpieczeństwo w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce.

Trener szkoleń z zakresu bezpieczeństwa aplikacji WWW, API REST oraz środowisk chmurowych. Prelegent na konferencji Mega Sekurak Hacking Party. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.

Michał Sajdak

Założyciel sekuraka. Współautor oraz redaktor bestsellerowych książek: Bezpieczeństwo aplikacji webowych, Wprowadzenie do bezpieczeństwa IT. Pomysłodawca projektów Sekurak.Academy oraz MEGA Sekurak Hacking Party.

Certyfikowany Etyczny Hacker J z 15-letnim doświadczeniem w dziedzinie technicznego bezpieczeństwa IT.


Robert Kruczek

Pentester, socjotechnik, etyczny hacker, pracujący od ponad 8 lat w Securitum. W trakcie realizacji swoich zadań wykonał testy penetracyjne kilkuset aplikacji internetowych i desktopowych. Prelegent na konferencjach branżowych- Mega Sekurak Hacking Party, Confidence. Mentor w programie stażowym Sekurak.Academy.

Mateusz Lewczak

Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.

Podobne szkolenia

Bezpieczeństwo aplikacji WWW

Zaawansowane bezpieczeństwo aplikacji WWW

Bezpieczeństwo frontendu apliacji WWW

Bezpieczeństwo API Rest

Moduł podstawowy

1 750,00 zł netto + 23% VAT
2 152,50 zł brutto

Moduł zaawansowany

1 750,00 zł netto + 23% VAT
2 152,50 zł brutto

Moduł podstawowy + zaawansowany

2 950,00 zł netto + 23% VAT
3 628,50 zł brutto