Zaawansowane bezpieczeństwo aplikacji WWW (2 dni)

O szkoleniu: 

Praktyczny kurs (80% szkolenia stanowią ćwiczenia) prowadzony przez znanego badacza bezpieczeństwa Michała Bentkowskiego. W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs. Na koncie ma również znalezione błędy w przeglądarkach (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139). 

Dwudniowe szkolenie warsztatowe umożliwia praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych – w kontekście najnowszych / zaawansowanych ataków na aplikacje webowe. Każde zagadnienie poniżej realizowane jest w formie warsztatowej. 

Do kogo skierowane jest szkolenie:

  • Do programistów
  • Do devopsów
  • Do pentesterów
  • Do zainteresowanych tematyka bezpieczeństwa aplikacji webowych

Czego nauczysz się podczas szkolenia:

  • Zyskasz wiedzę o mniej popularnych a groźnych podatnościach aplikacji webowych
  • Poznasz mechanizmy ochronne w aplikacjach webowych
  • Zobaczysz jak poprawnie zaimplementować mechanizmy kryptograficzne w aplikacjach webowych

Agenda:

Server-Side Template Injection (wstrzyknięcia szablonów)

  • Silniki FreeMarker, Velocity, Twig,
  • Wykorzystanie podatności do wycieku danych,
  • Wykorzystanie podatności do wykonywania dowolnego kodu.

Błędy deserializacji danych

  • Przykłady w językach programowania: Python, Java, PHP,
  • Wykorzystanie deserializacji do zmiany przepływu działania programu lub wycieku danych,
  • Wykorzystanie deserializacji do wykonania dowolnego kodu.

Świat XML i błędy bezpieczeństwa oraz Server-Side Request Forgery

  • XML eXternal Entity (XXE) – wariant klasyczny
  • Blind XXE,
  • Atak billion laughs, quadratic blowup,
  • XSLT – wykonywanie dowolnego kodu,
  • SSRF – skanowanie sieci lokalnej i wydobywanie poufnych danych,

Filtry w aplikacjach i Web Application Firewall (WAF)

  • Sposoby działania systemów WAF i typowych filtrów chroniących przed atakami,
  • Sposoby tworzenia reguł,
  • Sposoby obchodzenia filtrów i systemów WAF
  • Case: omijanie WAFa – urządzenie F5

Kryptografia

  • Przykłady błędnie zaimplementowanych algorytmów kryptograficznych,
  • Atak padding oracle/bit flipping
  • Atak hash length extension

Mechanizmy obronne w aplikacjach webowych:

  • Content Security Policy,
  • Inne nagłówki bezpieczeństwa (HPKP, HSTS),
  • Analiza logów serwera z wykorzystaniem OSSEC

Inne ataki na aplikacje webowe:

  • Problemy z interpretacją plików ZIP (dowiązania symboliczne i odwołania do dowolnych ścieżek)
  • Regular Expression Denial of Service (ReDoS),
  • NoSQL Injectio

Ćwiczenie podsumowujące szkolenie.

Podsumowanie szkolenia – krótkie podsumowanie wszystkich omówionych metod ataku i obrony.

Przydatne informacje:         

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. 

Do szkolenia w wersji zdalnej wymagany jest laptop z dowolnym systemem operacyjnym (z zainstalowanym Virtual Box i dostępnymi: 10GB HDD / 1 GB RAM), z przeglądarką Firefox / Chrome, stabilny internet i słuchawki z mikrofonem. 

Istnieje możliwość organizacji szkolenia w formie zamkniętej – dla zamkniętej grupy osób (po polsku lub angielsku). Szkolenia takie organizujemy na atrakcyjnych warunkach finansowych. 

W przypadku zainteresowania tego typu szkoleniem prosimy o kontakt:

e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Co zawiera cena szkolenia: 

  • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).

O prowadzącym:

Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum. Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.

Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Posiada ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych.

Współautor książki „Bezpieczeństwo aplikacji webowych”

Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence , SEMAFOR, SECURE, WTH , KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Poziom zaawansowania:grade grade grade

Prowadzący: Michał Bentkowski

28-29.09.2022

1 950,00 zł netto + 23% VAT
2 398,50 zł brutto

8-9.11.2022

1 950,00 zł netto + 23% VAT
2 398,50 zł brutto