07.09.2015 | 06:39

Adam Haertle

Cykl warsztatów z bezpieczeństwa aplikacji WWW od podstawowych do zaawansowanych

Rzadko promujemy cudze produkty lub usługi – jeśli to robimy, to tylko wtedy, gdy wierzymy, że niosą ze sobą wartość dla Czytelników. Tak też jest w przypadku cyklu warsztatów organizowanych przez firmę Securitum.

Bezpieczeństwo aplikacji WWW to temat – rzeka. Większość z Was pewnie zna podstawy, część pewnie potrafi również analizować zaawansowane problemy, jednak trudno znaleźć kogoś, kto oznajmi, że wie już wszystko. Dlatego też warto czasem posłuchać specjalistów i razem z nimi poćwiczyć.

Trzy warsztaty na różnym poziomie

Securitum proponuje trzy różne warsztaty, tworzące jedną ścieżkę szkoleniową. Pierwszy z nich, trzydniowy, to bezpieczeństwo aplikacji WWW. Warsztat ten pozwala poznać temat od podstaw i uporządkować posiadana już wiedzę. Doceniła go także firma PortSwigger, tworząca narzędzie Burp Suite:

Securitum Poland is one of a small number of specialist training partners PortSwigger Web Security is working closely with to deliver Web Application  security training courses. These hands on training courses are a must for  web application penetration testers, QA’s and Developers (…) — Jo Taylor, PortSwigger

Drugi warsztat to nowość w ofercie Securitum, czyli zaawansowane bezpieczeństwo aplikacji WWW. Opisalibyśmy, co zawiera, ale spora część programu przekracza nasze redakcyjne umiejętności pojmowania pojęć związanych z bezpieczeństwem WWW. Możecie sami sprawdzić program i ocenić, czy faktycznie zasługuje na określenie „zaawansowany”.

Trzecim warsztatem z tego cyklu jest opisywany już kiedyś przez nas kurs Mario Heidericha Offensive HTML, SVG, CSS and other Browser-Evil. Ten poziom specjalizacji pewnie już zawsze pozostanie poza naszym zasięgiem, ale nie wątpimy, że są wśród Was osoby, które mogą nie tylko zrozumieć, o czym mówi Mario, ale także sporo się od niego nauczyć.

Więcej informacji znajdziecie na stronach Securitum zlinkowanych w tekście lub na Sekuraku. Jeśli kogoś temat zainteresuje na tyle, by przejść całą ścieżkę szkoleniową, twórcy kursu oferują 10% rabatu od cen katalogowych przy zakupie całości. Znając prowadzącego Michała Sajdaka możemy śmiało powiedzieć, że ten, kto się na kurs wybierze, będzie zadowolony.

Zachowując pełną przejrzystość: otrzymujemy wynagrodzenie za promocję tego szkolenia.

Powrót

Komentarze

  • 2015.09.07 08:28 Ninja

    Mam takie pytanie związane z tematem. Dlaczego te wszystkie szkolenia, konferencje, wykłady itd. w dziedzinie IT są tak cholernie drogie? Jako amatora, który pasjonuje się tematem, ale nie działa w nim zawodowo, po prostu nie stać mnie na wyrzucenie 3k na szkolenie i nie widzę żadnego powodu, żeby taką sumę zapłacić, choć z chęcią bym się czegoś nowego nauczył od tych panów. I jak to pogodzić?

    Odpowiedz
    • 2015.09.07 08:55 skiter

      Czas – czas to pieniodz …

      Dlaczego tak drogo? Zeby wyfiltrowac wiedze potrzebna do zrobienia A potrzebujesz X godzin, np zeby znalezdz 0-day taki a inny potrzebuejsz np 3h, potem zeby napisac PoC’a kolejne 3h itd …

      Na takim szkoleniu, wiedza przekazywana to koszt czau poswieconego na analize, sprawdznie i testowanie.

      Ktos na szkoleniu poswiecil np 60h na zrobienie/sprawdzenie/zastosowanie danej metody by byla skuteczna na tym a nie innym urzadzeniu. Koszt to nie tylk czas, ale wiedza + jedzenie + RedBull + inne :)

      Do tego dochodzi koszt samego budynku, komputerow, i cale 'okolo-szkoleniowe’ wydatki.

      Na takie szkolenie nie idzie 200 ludzi, tylko np 30? Dlatego koszt/persona jes wyzszy niz np w przypadku szkolen HR gdzie takowe robi sie hurtowo i z szablonu.

      Odpowiedz
    • 2015.09.07 08:55 juz_odpowiadam

      Odpowiadam:
      1. bo ktos do tej wiedzy latami dochodzil. wtedy bylo trudniej, nie bylo jutuba ani fejsa ani maspejsa ani tuitera. txt p0wera i lcamtufa sie czytalo. i hackerwannabe. i NAS Team. i (stare) CC Team. i stare gumisie.

      2. 'wyrzucenie 3k’ – masz racje, nie wyrzucaj. spedz w internecie polowe tego czasu co ci 'specjalisci’. zaoszczedzisz, a ile radosci bedziesz miec 'bo do wszystkiego doszedles sam’ – to juz tylko Twoje.

      3. odnosnie samej jeszcze ceny: ile warte sa Twoje sekrety? 3k? czy wiecej? bo podanie Ci na tacy sposobu/ow ktore finalnie pokaza Ci jak sie bronic, chyba wycenisz na troche wiecej.

      U mnie – jeszcze z takim komentarzem – pewnie mialbys za dyszke. ;)

      elo

      Odpowiedz
    • 2015.09.07 09:21 Duży Pies

      Są drogie, to prawda. Ale…
      Nie musisz od razu iść na szkolenia. Zacznij od przerobienia kilku podręczników, np. z Helionu:
      1)http://helion.pl/ksiazki/skanowanie-sieci-z-kali-linux-receptury-justin-hutchens,skakar.htm
      2) http://helion.pl/ksiazki/kali-linux-testy-penetracyjne-joseph-muniz-aamir-lakhani,kalili.htm
      3) http://helion.pl/ksiazki/podrecznik-pentestera-bezpieczenstwo-systemow-informatycznych-peter-kim,podpen.htm
      4) http://helion.pl/ksiazki/bezpieczny-system-w-praktyce-wyzsza-szkola-hackingu-i-testy-penetracyjne-georgia-weidman,besyha.htm
      .
      Przećwicz materiały z Sekuraka: http://sekurak.pl/
      .
      Będziesz miał co robić przez najbliższe pół roku, jak nie dłużej.
      .
      Naucz się dobrze jednego języka skryptowego. Polecam Pythona lub trudniejszego Perla. Bardzo ważna umiejętność!
      .
      Przeszukaj komentarze na Z3S sprzed kilku-kilkunastu miesięcy, podałem tam jeszcze inne wartościowe książki, np. „Króliczą norę”, itd.
      .
      A jak już przerobisz, to co można zrobić samemu w domu (za prawie darmo), to wtedy zdecydujesz czy iść na komercyjne (i stusunkowo drogie) szkolenia.
      .
      Te szkolenia nigdy nie będą tanie, bo wiedza i doświadczenie kosztuje. Ale jak już napisałem, można bardzo dużo nauczyć się samemu. Ja pracuję w budżetówce i Firma nie ma i nie da mi pieniędzy na takie szkolenia. Samodzielnie się więc uczę. Dla chcącego, nic trudnego…

      Odpowiedz
      • 2015.09.07 10:12 Michał Sajdak

        Ktoś już dał sporo linków do książek. Na start jest też 50 stron bezpłatnego pdfa o websec: https://zaufanatrzeciastrona.pl/post/swietny-material-sekuraka-na-temat-bezpieczenstwa-aplikacji-www-polecamy/

        Też imo dobry materiał na start.

        Odpowiedz
        • 2015.09.07 11:22 Duży Pies

          Sporo już książek i materiałów rekomendowaliśmy razem na forum. Ja dodatkowo rekomendowałem literaturę z kryminalistyki i bezpieczeństwa wewnętrznego.
          .
          Przy okazji, polecam szkolenie on-line i certyfikat do zdobycia Centralnego Biura Antykorupcyjnego: https://szkolenia-antykorupcyjne.edu.pl/ Dla aplikujących do służb takich jak ABW/CBA/Policja/CBŚ/Służba Celna, takie szkolenie i cert, jest mile widziany.
          .
          Tak naprawdę to książek (głównie Helion i nieistniejący już Mikom) i materiałów w Sieci jest tyle, że nie trzeba bulić od razu 3k za szkolenie. Podstawy można się nauczyć samemu. Do tego aktywność na forach, bo sporo ludzi jest pomocnych i pomoże ci jak poprosisz.
          .
          Książki są drogie, ale można się w Helionie zapisać na newsletter i każdego dnia jest losowana książka o 30% taniej + darmowa wysyłka. Na Allegro i OLX sporo dobrych, używanych książek można kupić. Ja kupiłem w ten sposób z 50 książek do IT.

          Odpowiedz
          • 2015.09.08 17:45 kez87

            „Dla aplikujących do służb takich jak ABW/CBA/Policja/CBŚ/Służba Celna, takie szkolenie i cert, jest mile widziany.”

            A dla tych którzy chcą się od tych rządowych szczekaczy trzymać z daleka bo się nimi brzydzą (bo to wiadomo,co im do łba strzeli,zwłaszcza że podlegają władzy która ostatnio ściąga nam islamistów bo Makrela tak chce) – wręcz przeciwnie. Zresztą przecież wyciekły akta dzięki Stonodze,kto chce metody operacyjne ABWehry może obczaić je nawet śpiewająco i to pewnie bez wiedzy „smutnych panów” :D Beka trochę, bo jednak to „tajne służby” a w otwartych źródłach informacji sporo rzeczy jest i nikt za TO Stonogi nie usadził… :) – ale „państwo teoretyczne” przecież zobowiązuje… :D

            Zresztą po co takie krajowe certyfikaciki – w sieci w cholerę jest kursów, największy problem to tak naprawdę poznać co jest aktualne a co nie (bo w informatyce kilka lat to cała epoka).A jak ktoś ma zrobić certyfikat,to niech się lepiej uczy do CISSP, ewentualnie może coś w rodzaju Security+ choć nie wiem ile ono warte. W naszym kraju papier krajowy można robić raczej tylko dla świętego spokoju – może być cokolwiek wart tylko u ludzi mających doświadczenie,a instytucje… nie rozśmieszaj mnie Duży Pies.

            Nawet taki (na dziś dzień) lamer jak ja wie,że papierki służb czy uczelni Polskich to w tej dziedzinie bardziej pic na wodę…

            Przy okazji: Jest nawet kurs MIT,chyba był nawet linkowany kiedyś na z3s : http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-857-network-and-computer-security-spring-2014/lecture-notes-and-readings/

            Inne rzeczy – Kto umie szukać ten znajdzie,tyle w temacie. Oczywiście jak ktoś nie umie programować czy nie zna angielskiego – to z czym do ludzi ?

          • 2015.09.08 21:54 Big Dog

            @kez87
            Ejże, wyluzuj!
            Nikt Ci nie każe robić tego certu z CBA. Pisałem to dla ludzi którzy jednak chcą pracować w służbach. Mimo że polskie służby są ch***we, to można je małymi krokami zmieniać na lepsze. Bo to że służby są potrzebne, co do tego nie mam wątpliwości. Akurat CBA z jej szefem Pawłem Wojtunikiem, jest OK, robią dobrą robotę.

          • 2015.09.09 16:33 kez87

            @Duży pies:

            Ciężko wyluzować w sytuacji,gdy zamiast opanowywać techniczne rzeczy (na których mógłbyś i zawodowo jakoś się podciągnąć) dowiadujesz się,musisz przygotowywać się raczej z kondycją fizyczną (zwłaszcza tym,żeby umieć szybko uciekać,szybciej niż murzyn z sahary),bo bałwany u władzy w PL i UE nagle uznały,że kontrola graniczna jest zbędna…

            A tak bardziej technicznie: 2 typków z ISIS na szczęście Węgrzy złapali przez fotki z Facebooka.Ale to WĘGRZY nie nasi. Nasi nie łapią niedyskretnych głupków,tylko na nich wychodzą.Jak ? Seksafera w Olsztyńskim ABW.I prasa wie. Pięknie. To jest poziom. JEŚLI TE CERTYFIKATY SĄ TYLE WARTE CO TE SŁUŻBY TAK PIĘKNIE UTRZYMUJĄCE TAJEMNICE SŁUŻBY (przestępstwo czy nie – jakim prawem o tym wiedzą dziennikarze,to tajne służby !) TO PO CO JE ROBIĆ ?

            @Adam – sorry za polityczne bagno w komentarzu,ale to też jest bezpieczeństwo, a ja po prostu jak otworzę internet to już tym rzygam,bo takie podstawy bezpieczeństwa i to w świecie fizycznym olewać to już…

          • 2015.09.09 18:35 Duży Pies

            @kez87
            Powiem Ci że mam do służb stosunek ambiwalentny. Znam profka który był promotorem pracy doktorskiej Pawła Wojtunika z CBA. Ma o nim bardzo dobre zdanie, wyrażał się o Pawle w samych superlatywach. Obserwuję trochę wizerunek Pawła, oczywiście na tyle, na ile można to odczytać z mediów. Powiem, że facet mi się podoba. To konkretny gość, kiedyś był gliną operacyjnym, pracował jako przykrywkowiec, inwigilował zorganizowaną przestępczość – do tego trzeba mieć jaja.
            Tym mocniej i nieprzyjemnie zaskoczył mnie, podczas afery podsłuchowej, gdy peplał z Bieńkowską w Sowie i dał się podsłuchać – to już nie było profesjonalne.

          • 2015.09.09 18:47 Duży Pies

            Upsssss
            Korekta: miało być pracy magisterskiej szefa CBA. Promotor był doktorem:)

      • 2015.09.07 10:43 Zbyszek

        Kolego, pracuję również w budżetówce i chodzę na takie szkolenia bez najmniejszego problemu. Problemem nie jest kasa na szkolenia a świadomość wyższego kierownictwa jakie korzyści takie szkolenie im przyniesie. U mnie wiedzą, że wyciek danych to wielkie zagrożenie dla wizerunku urzędu i kierownictwa. Musisz dobrze uzasadnić potrzebę takiego szkolenia i nie będzie problemu. Teraz przy okazji KRI może próbuj. Wróciłem w zeszłym tygodniu z takiego szkolenia 4 dniowego w Zakopanym i nikt nawet za bardzo nie pytał ile bo już wiedzą, że jest potrzebne i kosztuje. Oczywiście nie chodzę na takie szkolenia co chwila a raz w roku ale za to zawsze wybieram drogie i takie, które w tytule mają słowo bezpieczeństwo ;). Życzę powodzenia w przekonywaniu.

        Odpowiedz
    • 2015.09.07 09:25 Michał El

      3k to jeszcze nie jest dużo za szkolenie IT ;)
      Ceny szkoleń wynikają po prostu z zarobków w IT i najczęściej to pracodawca płaci za szkolenia.

      Odpowiedz
    • 2015.09.07 10:10 Michał SAjdak

      Powalcz na https://rozwal.to – platformę masz za darmo :) Jest też masa ciekawych książek.

      Z drugiej strony np. na studiach raczej nie znajdziesz sensownych, praktycznych kursów w tym temacie = musisz spędzić x dni / tygodni na samodzielnym dochodzeniu do wprawy. Jak ktoś powiedział czas to pieniądz. Więc firmom często zdecydowanie bardziej opłaca wysłać ludzi na kilka dni intensywnych warsztatów.

      Jeszcze inni organizują sobie szkolenie zamknięte (tylko dla pracowników danej firmy) – wtedy wychodzi znacznie taniej niż 3kpln per osoba.

      Odpowiedz
      • 2015.09.08 18:14 kez87

        Panie Michale,to raczej kwestia szukania i znajomości języka Angielskiego,może i zabawy praktycznej dzięki tym hackme itd. Jak pisałem w innym poście – podstawowym problemem jest raczej pytanie, co jest aktualne,a co już jest historią. Książki i inne materiały tracą z upływem czasu na aktualności i tu dopatrywałbym się raczej znaczenia szkoleń i konferencji. Rozmowa ze specjalistą jest najbardziej wartościowa jeśli chodzi o praktyczne pojęcie co jest przestarzałe a co nie. Zdobycie danych w dzisiejszych czasach to nie problem,dotarcie do wartościowych danych – to sedno problemu.

        Nie tylko zresztą w informatyce.

        Odpowiedz
  • 2015.09.07 08:34 ZoczuS

    Byłem na szkoleniu prowadzonym przez Mario i *mocno* polecam.

    Odpowiedz
  • 2015.09.07 10:17 Lu

    3k za szkolenie IT, zwlaszcza w tej dziedzinie to nic. Dla przykladu moglbym podac CISSP – trening z egzaminem w Brukseli: prawie 13000E. Inne szkolenia – polecam sprawdzic tutaj: https://www.sans.org/ondemand/courses/all/
    Moznaby wymieniac jeszcze dlugo. To kwestia ceny zaporowej – podobnie jak w przypadku niektorych urzadzen – cena nie jest podawana na stronie a tylko na wyrazne zadanie. Z jednej strony faktycznie kwestia wiedzy i doswiadczenia a z innej – no coz, w pewnym sensie sztucznie wywolywany elitaryzm.

    Odpowiedz
  • 2015.09.07 11:28 Duży Pies

    Apropos edukacji, bo mamy wrzesień i za chwilę październik i rok akademicki.
    Wybiera się ktoś na studia podyplomowe dla ABI?
    Na Polibudzie Śląskiej są uruchamiane studia podyplomowe „Ochrona informacji niejawnych i administracja bezpieczeństwa informacji” http://kandydat.us.edu.pl/us-boxes/11/21/1111/641
    Studia są współtworzone przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych, wspierane przez Agencję Bezpieczeństwa Wewnętrznego (ABW) i Generalnego Inspektora Ochrony Danych osobowych (GIODO). Idzie ktoś na nie? Zapisywać się!

    Odpowiedz
  • 2015.09.08 11:04 Ninja

    Dziękuję za odpowiedzi. Skorzystam z wymienionych rad.

    Odpowiedz

Zostaw odpowiedź do kez87

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Cykl warsztatów z bezpieczeństwa aplikacji WWW od podstawowych do zaawansowanych

Komentarze