Zaawansowane bezpieczeństwo aplikacji WWW

Praktyczny kurs (80% szkolenia stanowią ćwiczenia) prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego. W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139). 

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Każde zagadnienie poniżej realizowane jest w formie warsztatowej. 

Do kogo skierowane jest szkolenie:

    • Do programistów
    • Do devopsów
    • Do pentesterów
    • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Czego nauczysz się podczas szkolenia:

    • Zyskasz wiedzę o mniej popularnych a groźnych podatnościach aplikacji webowych
    • Poznasz mechanizmy ochronne w aplikacjach webowych
    • Zobaczysz jak poprawnie zaimplementować mechanizmy kryptograficzne w aplikacjach webowych

Agenda: 

  1. Server-Side Template Injection (wstrzyknięcia szablonów).
    • Silniki FreeMarker, Velocity, Twig,
    • Wykorzystanie podatności do wycieku danych,
    • Wykorzystanie podatności do wykonywania dowolnego kodu.
  1. Błędy deserializacji danych
    • Przykłady w językach programowania: Python, Java, PHP,
    • Wykorzystanie deserializacji do zmiany przepływu działania programu lub wycieku danych,
    • Wykorzystanie deserializacji do wykonania dowolnego kodu.
  1. Świat XML i błędy bezpieczeństwa oraz Server-Side Request Forgery,
    • XML eXternal Entity (XXE) – wariant klasyczny
    • Blind XXE,
    • Atak billion laughs, quadratic blowup,
    • XSLT – wykonywanie dowolnego kodu,
    • SSRF – skanowanie sieci lokalnej i wydobywanie poufnych danych.
  1. Filtry w aplikacjach i Web Application Firewall (WAF)
    • Sposoby działania systemów WAF i typowych filtrów chroniących przed atakami,
    • Sposoby tworzenia reguł,
    • Sposoby obchodzenia filtrów i systemów WAF
    • Case: omijanie WAFa – urządzenie F5
  1. Kryptografia
    • Przykłady błędnie zaimplementowanych algorytmów kryptograficznych,
    • Atak padding oracle/bit flipping
    • Atak hash length extension
  1. Mechanizmy obronne w aplikacjach webowych:
    • Content Security Policy,
    • Inne nagłówki bezpieczeństwa (HPKP, HSTS),
    • Analiza logów serwera z wykorzystaniem OSSEC.
  1. Inne ataki na aplikacje webowe:
    • Problemy z interpretacją plików ZIP (dowiązania symboliczne i odwołania do dowolnych ścieżek)
    • Regular Expression Denial of Service (ReDoS),
    • NoSQL Injection
  1. Ćwiczenie podsumowujące szkolenie.
  2. Podsumowanie szkolenia – krótkie podsumowanie wszystkich omówionych metod ataku i obrony.

Przydatne informacje:         

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym (z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM), z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem. 

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. 

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Co zawiera cena szkolenia: 

    • Udział w szkoleniu i dostęp do platformy szkoleniowej.
    • Certyfikat ukończenia szkolenia (PDF).

O prowadzącym:

Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum. Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.

Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Posiada ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych.

Współautor książki „Bezpieczeństwo aplikacji webowych”

Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence , SEMAFOR, SECURE, WTH , KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Opinie uczestników o szkoleniu:

 

[najmocniejsze strony] ćwiczenia i przykłady podawane przez prowadzącego z własnego doświadczenia.

Część praktyczna i kodowanie w live. 100x lepsze niż czytanie zawartość z prezentacji jak na innych szkoleniach ;)

Ciekawe live dema, praktyczne ćwiczenia, jasno opisane zagadnienia oraz zrozumiała i przystępna komunikacja prowadzącego - Michała :)

Każdy temat był ciekawy. Najbardziej jednak zaskoczyło mnie prowadzenie szkolenia. Przy tak ciężkiej tematyce było to optymalne.

Michał to uznana jakość i klasa. Czapki z głów :)

Ogromne doświadczenie i wiedza Michała, łatwość w jej przekazywaniu oraz praktyczna biegłość dzięki której live dema są bardzo interesujące oraz inspirujące :)

Gratuluję profesjonalizmu. Jestem pozytywnie zaskoczony.

Prowadzący, konkretnie to elastyczność prowadzącego -- dość łatwo potrafił odpowiadać na wszelkie pytania dotyczące nie tylko prezentowanych zagadnień, ale i tematów pokrewnych, i widać było, że prawie wszystkie przedstawiane zagadnienia zna w jakimś stopniu (jestem totalnym laikiem, więc nie mogę ocenić, że dobrze czy bardzo dobrze -- chociaż takie sprawiał wrażenie i do tego szkolenia nadawał się idealnie) z doświadczenia. To miła odmiana w stosunku do "zawodowych trenerów", którzy uczą się szkolenia i odpowiedzi na najczęściej zadawane pytania, w związku z czym mogą poprowadzić każde szkolenie, i...Zwykle jest to strata czasu. Tu pozytywnie się zaskoczyłem.

Bardzo dobrze dobrany poziom zadań i podpowiedzi które przyspieszały proces ich robienia, jednocześnie nie odbierając całego aspektu edukacyjnego.

Rzadko wrzucam tak wysokie oceny (szczególnie dotyczące polskich szkoleń), jak wspomniałem, z punku widzenia osoby absolutnie początkującej, szkolenie było świetne, nie potrafię z powodu braku perspektywy ocenić, jak wygląda dla osób bardziej doświadczonych. Dość powiedzieć, że zachęciliście mnie do rozważenie zakupu książki. :)

 

Poziom zaawansowania:grade grade grade

Prowadzący: Michał Bentkowski

08-09.06.2022 (zdalnie)

1 950,00 zł netto + 23% VAT
2 398,50 zł brutto