Zaawansowane bezpieczeństwo aplikacji webowych (2 dni)

Praktyczne szkolenie prowadzone przez Marka Rzepeckiego. Agenda powstała na bazie wieloletniego doświadczenia prelegenta oraz efektów pracy załogi Securitum (tylko w 2022 roku zrealizowaliśmy przeszło 700 projektów z zakresu ofensywnego bezpieczeństwa IT). To dwudniowe szkolenie umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Szkolenie ma formułę pokazów na żywo, nie jest nagrywane. Na koniec szkolenia uczestnicy otrzymają dostęp do naszej infrastruktury z kilkoma niezależymi zadaniami do samodzielnego wykonania. 

Voucher 2024 

Zachęcamy do zakupu Vouchera 2024 na to szkolenie. Voucher daje gwarancję ceny z roku 2023 i można wykorzystać do końca 2024 roku (terminy szkoleń na 2024 będzie można znaleźć w sklepie, voucher upoważnia do udziału w szkoleniu w dowolnym terminie proponowanym przez organizatora).

Czego dowiesz się podczas szkolenia

  • Poznasz zaawansowane błędy kryjące się w aplikacjach webowych, zarówno od strony teoretycznej, jak i praktycznej.
  • Dowiesz się, jak wykorzystać mechanizmy przeglądarek do zwiększenia bezpieczeństwa użytkowników aplikacji webowych.
  • Zapoznasz się ze sposobami łączenia ataków w celu osiągnięcia jak największych konsekwencji dla bezpieczeństwa.
  • Poznasz typowe słabości, często spotykane w mechanizmach uwierzytelnienia i resetu hasła w aplikacjach webowych.

Co powinieneś wiedzieć przed szkoleniem

W czasie szkolenia przedstawiane są zaawansowane zagrożenia spotykane w świecie aplikacji webowych.
Aby skorzystać z przekazywanych treści, sugerowane jest aby uczestnik posiadał podstawową wiedzę związaną z:

  • budową protokołu HTTP
  • technologiami wykorzystywanymi w tworzeniu aplikacji webowych
  • obsługę Burp Suite w stopniu przynajmniej podstawowym (proxy, repeater, intruder, collaborator)
  • znajomością typowych podatności w aplikacjach webowych (XSS, CSRF, XXE, SQLi)

Do kogo skierowane jest szkolenie

  • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyką bezpieczeństwa aplikacji webowych

Agenda

1. Zamiast wstępu: garść błędów w bibliotekach programistycznych z ostatnich lat

  • Wykonanie kodu w OS
  • Wykradanie pamięci z serwera
  • Nieautoryzowany odczyt plików z serwera

2. Podatność Server-Side Request Forgery

  • Omówienie ataku oraz typy SSRF - co prowadzi do powstania tego błędu oraz jakie są jego konsekwencje? 
  • Popularne scenariusze oraz techniki służące do jego wykorzystania na bazie realnych przykładów. Od rekonesansu do skanowania portów lub zdalnego wykonania kodu.
  • SSRF w specyficznych funkcjonalnościach aplikacji webowych - generatory plików PDF, HTML 
  • Zabezpieczenie przed atakiem. Jak poprawnie zaprojektować aplikację webową (i infrastrukturę aplikacji), aby zabezpieczyć się przed tym atakiem?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

3. Podatność Server-Side Template Injection

  • Omówienie i subtypy ataku SSTI .
  • Popularne scenariusze jego wykorzystania w poszczególnych silnikach renderowania template .
  • Wyszukiwanie i exploitacja błędu - od identyfikacji silnika, do zdalnego wykonania kodu na serwerze.
  • Zabezpieczenie przed atakiem. Jak korzystać z silników template w sposób bezpieczny?
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu.

4. Niebezpieczna (de)serializacja danych

  • Omówienie tematyki związanej z serializacją i deserializacją danych.
  • Błędy związane z niepoprawną deserializacją danych.
  • Wyszukiwanie i exploitacja błędu - od identyfikacji wykorzystania przez aplikację zserializowanych danych, do zdalnego wykonania kodu na serwerze.
  • Automatyzacja i narzędzia przydatne w wyszukiwaniu błędu. Omówienie narzędzia ysoserial.

5. Proces uwierzytelnienia - krytyczny punkt w aplikacjach webowych

  • Omówienie typowych błędów związanych z bezpieczeństwem procesu logowania do aplikacji webowych.
  • Omijanie uwierzytelnienia w aplikacji.
  • Horyzontalna i wertykalna eskalacja uprawnień w aplikacji.
  • Niepoprawna implementacja mechanizmu resetu hasła- zmień hasło dowolnemu użytkownikowi.

6. Web Application Firewall w zabezpieczaniu aplikacji webowych

  • Sposoby działania popularnych systemów WAF.
  • Czy wdrożenie WAF może zastąpić naprawienie błędów w aplikacji webowej?
  • Omijanie popularnych systemów WAF. Techniki, które pozwalają na omijanie niektórych filtrów w aplikacjach chronionych przez systemu WAF. Wyszukiwanie prawdziwego adresu IP serwera w celu ominięcia WAF.
  • Wskazówki dotyczące poprawnej konfiguracji systemów WAF.

7. Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników

  • CSP - omówienie, poprawna konfiguracja, oraz przykład omijania CSP w niepoprawnie skonfigurowanym środowisku. Narzędzia przydatne w ocenie poprawności polityki CSP. 
  • Access-Control-Allow-Origin / Credentials - Omówienie nagłówka i istotnych błędów związanych z jego niepoprawnym wdrożeniem.
  • Pozostałe nagłówki zwiększające bezpieczeństwo aplikacji i użytkownika: Strict-Transport-Security,X-Frame-Options, Referer Policy 
  • Supply chain attack - niebezpieczny import skryptów z zewnętrznych serwisów. Przykład ataku i sposoby zabezpieczenia.
  • Przykłady wykorzystania błędów i ich mitygacji z wykorzystaniem wyżej wymienionych nagłówków. 

8. Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?

  • Omówienie przykładów w kilku wybranych technologiach
  • Pokazy na żywo wykorzystania podatności 

9. Wykorzystanie popularnych błędów w aplikacjach webowych w tzw. kill-chain. Techniki wykorzystywane przez grupy ransomware w realnych kampaniach 

  • Scenariusze opisujące połączenie typowych błędów, w celu zwiększenia ich istotności i poziomu ryzyka; między innymi: Jak połączyć błąd self-XSS w panelu nisko-uprzywilejowanego użytkownika i błąd CSRF do przejęcia konta administratora/ RCE? 
  • Pokaz i opis zaawansowanych technik wykorzystywanych przez grupy ransomware, w których połączenie nieistotnych błędów pozwala na uzyskanie dostępu do organizacji.
  • Błędy w bibliotekach wykorzystywanych w aplikacjach webowych. Przykłady na żywo bibliotek, które otwierają aplikację na nowe zagrożenia, takie jak kradzież danych użytkowników, czy zdalne wykonanie kodu na serwerze.

Przydatne informacje        

  • Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 
  • [UWAGA!] Link/Linki do szkolenia wysyłamy najpóźniej do dwóch dni przed szkoleniem w osobnej wiadomości, na podanego podczas rejestracji maila. Jeżeli nie dostałeś linka to napisz na szkolenia@securitum.pl podając numer zamówienia.
  • Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych.  W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt: e-mail: szkolenia@securitum.pl

Co zawiera cena szkolenia

  • Udział w szkoleniu
  • Certyfikat ukończenia szkolenia (PDF).
  • Dostęp do LAB (ćwiczenia mogą być realizowane do 2 tygodni po szkoleniu)

Podobne szkolenia

Bezpieczeństwo aplikacji WWW

Bezpieczeństwo frontendu aplikacji WWW

Bezpieczeństwo API REST

Praktyczne wprowadzenie do OWASP Top Ten (1 dzień)

Wprowadzenie do bezpieczeństwa aplikacji WWW (zapis video)

 

O prowadzącym

Marek Rzepecki - Pasjonat tematyki ofensywnego cyberbezpieczeństwa. Od blisko pięciu lat, współpracuje z Securitum w roli senior konsultanta ds. bezpieczeństwa IT. Zrealizował ponad 250 niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz ataków DDoS dla polskich oraz zagranicznych firm. Prowadzi szkolenia z tematyki bezpieczeństwa aplikacji mobilnych, aplikacji webowych oraz cyber awareness. Autor rozdziałów poświęconych bezpieczeństwu aplikacji mobilnych, w książce Sekuraka. Prelegent na konferencjach branżowych: Confidence (2019), Mega Sekurak Hacking Party (2019, 2020, 2022).

Poziom zaawansowania:grade grade grade

Prowadzący: Marek Rzepecki

Voucher 2024 (ZBAWWW)

2 099,00 zł netto + 23% VAT
2 581,77 zł brutto

4-5 września 2024

2 029,00 zł netto + 23% VAT
2 495,67 zł brutto