Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)

Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum. To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. W trakcie szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania. 

 Czego dowiesz się podczas szkolenia

  • Poznasz zaawansowane błędy kryjące się w aplikacjach webowych, zarówno od strony teoretycznej, jak i praktycznej.
  • Dowiesz się, jak wykorzystać mechanizmy przeglądarek do zwiększenia bezpieczeństwa użytkowników aplikacji webowych.
  • Zapoznasz się ze sposobami łączenia ataków w celu osiągnięcia jak największych konsekwencji dla bezpieczeństwa.
  • Poznasz typowe słabości, często spotykane w mechanizmach uwierzytelnienia i resetu hasła w aplikacjach webowych.

Co powinieneś wiedzieć przed szkoleniem

W czasie szkolenia przedstawiane są zaawansowane zagrożenia spotykane w świecie aplikacji webowych.
Aby skorzystać z przekazywanych treści, sugerowane jest aby uczestnik posiadał podstawową wiedzę związaną z:

  • budową protokołu HTTP
  • technologiami wykorzystywanymi w tworzeniu aplikacji webowych
  • obsługę Burp Suite w stopniu przynajmniej podstawowym (proxy, repeater, intruder, collaborator)
  • znajomością typowych podatności w aplikacjach webowych (XSS, CSRF, XXE, SQLi)

Do kogo skierowane jest szkolenie

  • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych

Agenda

1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat

  • Wykonanie kodu w OS
  • Wykradanie pamięci z serwera
  • Nieautoryzowany odczyt plików z serwera

2. Podatność Server-Side Request Forgery

  • Omówienie ataku oraz typy SSRF - co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje? 
  • Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
  • SSRF w specyficznych funkcjonalnościach aplikacji webowych - generatory plików PDF, HTML 
  • Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

3. Podatność Server-Side Template Injection

  • Omówienie i subtypy ataku SSTI .
  • Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
  • Wyszukiwanie i exploitacja błędu - od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
  • Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

4. Niebezpieczna (de)serializacja danych

  • Omówienie tematyki związanej z serializacją i deserializacją danych.
  • Błędy związane z niepoprawną deserializacją danych.
  • Wyszukiwanie i exploitacja błędu - od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.

5. Proces uwierzytelnienia - krytyczny punkt w aplikacjach webowych

  • Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
  • Omijanie uwierzytelnienia w aplikacji.
  • Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
  • Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.

6. Web Application Firewall w zabezpieczaniu aplikacji webowych

  • Sposoby działania popularnych systemów WAF.
  • Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
  • Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
  • Wskazówki dotyczące poprawnej konfiguracji systemów WAF.

7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników

  • CSP - omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP. 
  • Access-Control-Allow-Origin / Credentials - Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
  • Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy 
  • Supply chain attack - niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
  • Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków. 

8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?

  • Omówienie przykładów w kilku wybranych technologiach
  • Pokazy na żywo wykorzystania podatności 

9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach 

  • Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE? 
  • Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
  • Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.

Przydatne informacje        

  • Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 
  • [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
  • Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych.  W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl

Co zawiera cena szkolenia

  • Udział w szkoleniu
  • Certyfikat ukończenia szkolenia (PDF).
  • Dostęp do LAB (ćwiczenia mogą być realizowane do 2 tygodni po szkoleniu)

Podobne szkolenia

Bezpieczeństwo aplikacji WWW

Bezpieczeństwo frontendu aplikacji WWW

Bezpieczeństwo API REST

Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)

Wprowadzenie do bezpieczeństwa aplikacji WWW (zapis video)

 

O prowadzącym

Marek Rzepecki - Pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat, współpracuje z Securitum w roli senior konsultanta ds. bezpieczeństwa IT. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka. Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022).

Poziom zaawansowania:grade grade grade

Prowadzący: Marek Rzepecki

20-21 listopada 2024

2 099,00 zł netto + 23% VAT
2 581,77 zł brutto

Voucher 2025 (Zaawansowane bezpieczeństwo aplikacji WWW)

2 099,00 zł netto + 23% VAT
2 581,77 zł brutto

28-29 kwietnia 2025

2 299,00 zł netto + 23% VAT
2 827,77 zł brutto

8-9 grudnia 2025

2 299,00 zł netto + 23% VAT
2 827,77 zł brutto