Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum (tylko w 2022 roku zrealizowaliśmy przeszło 700 projektów z zakresu ofensywnego bezpieczeństwa IT). To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. Na koniec szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania.
Voucher 2024
Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).
Czego dowiesz się podczas szkolenia
- Poznasz zaawansowane błędy kryjące się w aplikacjach webowych, zarówno od strony teoretycznej, jak i praktycznej.
- Dowiesz się, jak wykorzystać mechanizmy przeglądarek do zwiększenia bezpieczeństwa użytkowników aplikacji webowych.
- Zapoznasz się ze sposobami łączenia ataków w celu osiągnięcia jak największych konsekwencji dla bezpieczeństwa.
- Poznasz typowe słabości, często spotykane w mechanizmach uwierzytelnienia i resetu hasła w aplikacjach webowych.
Co powinieneś wiedzieć przed szkoleniem
W czasie szkolenia przedstawiane są zaawansowane zagrożenia spotykane w świecie aplikacji webowych.
Aby skorzystać z przekazywanych treści, sugerowane jest aby uczestnik posiadał podstawową wiedzę związaną z:
- budową protokołu HTTP
- technologiami wykorzystywanymi w tworzeniu aplikacji webowych
- obsługę Burp Suite w stopniu przynajmniej podstawowym (proxy, repeater, intruder, collaborator)
- znajomością typowych podatności w aplikacjach webowych (XSS, CSRF, XXE, SQLi)
Do kogo skierowane jest szkolenie
- Do programistów
- Do devopsów
- Do pentesterów
- Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych
Agenda
1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat
- Wykonanie kodu w OS
- Wykradanie pamięci z serwera
- Nieautoryzowany odczyt plików z serwera
2. Podatność Server-Side Request Forgery
- Omówienie ataku oraz typy SSRF - co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje?
- Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
- SSRF w specyficznych funkcjonalnościach aplikacji webowych - generatory plików PDF, HTML
- Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.
3. Podatność Server-Side Template Injection
- Omówienie i subtypy ataku SSTI .
- Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
- Wyszukiwanie i exploitacja błędu - od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
- Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.
4. Niebezpieczna (de)serializacja danych
- Omówienie tematyki związanej z serializacją i deserializacją danych.
- Błędy związane z niepoprawną deserializacją danych.
- Wyszukiwanie i exploitacja błędu - od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
- Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.
5. Proces uwierzytelnienia - krytyczny punkt w aplikacjach webowych
- Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
- Omijanie uwierzytelnienia w aplikacji.
- Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
- Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.
6. Web Application Firewall w zabezpieczaniu aplikacji webowych
- Sposoby działania popularnych systemów WAF.
- Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
- Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
- Wskazówki dotyczące poprawnej konfiguracji systemów WAF.
7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników
- CSP - omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP.
- Access-Control-Allow-Origin / Credentials - Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
- Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy
- Supply chain attack - niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
- Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków.
8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
- Omówienie przykładów w kilku wybranych technologiach
- Pokazy na żywo wykorzystania podatności
9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach
- Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE?
- Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
- Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.
Przydatne informacje
- Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia.
- [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
- Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl
Co zawiera cena szkolenia
- Udział w szkoleniu
- Certyfikat ukończenia szkolenia (PDF).
- Dostęp do LAB (ćwiczenia mogą być realizowane do 2 tygodni po szkoleniu)
Podobne szkolenia
Bezpieczeństwo frontendu aplikacji WWW
Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)
Wprowadzenie do bezpieczeństwa aplikacji WWW (zapis video)
O prowadzącym
Marek Rzepecki - Pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat, współpracuje z Securitum w roli senior konsultanta ds. bezpieczeństwa IT. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka. Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022).
