Bezpieczeństwo aplikacji WWW – atak i obrona

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 1 – 3 marca 2017
(do końca 2016 10% rabatu!)

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Mateusz Kocielski
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Masz pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48  514 812 431.

Szkolenie z bezpieczeństwa aplikacji webowych możemy przeprowadzić także w wersji zamkniętej tylko dla Twojej firmy, także w języku angielskim.

Jakie będą korzyści dla Ciebie

  • uzyskasz praktyczną wiedzę od pentesterów zajmujących się na co dzień przełamywaniem zabezpieczeń
  • poznasz popularne metody ataków i nauczysz się je samodzielnie przeprowadzać we własnym środowisku
  • zrozumiesz jak działają narzędzia automatyzujące, ułatwiające proces przełamywania zabezpieczeń, pozyskiwania danych, odgadywania/łamania haseł
  • nauczysz się jak wykorzystać narzędzia systemowe (dostępne w konsoli) lub napisać własne skrypty ułatwiające przeprowadzenie działań
  • zrozumiesz stopień krytyczności poszczególnych rodzajów podatności, zlokalizujesz ich źródło oraz podejmiesz odpowiednie środki zaradcze
  • nawiążesz cenne kontakty zawodowe

Jakie będą korzyści dla Twojego pracodawcy

  • tańszy rozwój bezpieczniejszych aplikacji internetowych poprzez możliwość samodzielnego przeprowadzenia podstawowych testów bezpieczeństwa
  • zwiększenie wartości tworzonych produktów dzięki ich większej odporności na błędy i ataki
  • poprawa jakości i bezpieczeństwa realizowanych zadań programistycznych i administracyjnych
  • zwiększenie prestiżu na rynku w związku z podniesieniem kwalifikacji kadry

Program merytoryczny szkolenia

  • Wstęp do bezpieczeństwa aplikacji webowych
  • Testy bezpieczeństwa
    • dobór narzędzi/technik
    • rejestrowanie informacji (zapis działań, efektów)
    • opis podatności (ryzyko, krytyczność, rekomendacje)
    • pozyskiwanie informacji o celu
    • analiza pasywna (wyszukiwarki, bazy whois, zindeksowane błędy i metadane)
    • analiza aktywna (prowokowanie błędów, próby ataków, …)
    • wykorzystanie narzędzi automatyzujących
    • mechanizmy wykrywania ataków
    • projekty OWASP TOP 10, ASVS, Testing Guide
    • (…)
  • Wstrzyknięcia (manualna identyfikacja, atak, neutralizacja podatności)
    • SQL injection
    • command injection
    • code injection
    • XXE
    • mass assignment
    • deserializacja
    • błędy związane z uploadem
    • (…)
  • Niewłaściwe uwierzytelnianie i zarządzanie sesją
    • analiza identyfikatorów sesji
    • podtrzymywanie sesji
    • proces zmiany, generowania i odzyskania hasła
    • przechowywanie danych w sesjach
    • enumeracja użytkowników
    • niewłaściwe dane uwierzytelniające (proste hasła), ataki słownikowe
    • problemy związane z uwierzytelnianiem
    • session fixation
    • brak ochrony przed zautomatyzowanymi działaniami (odgadywanie haseł)
    • (…)
  • Cross-Site Scripting
    • rodzaje XSS: reflected, stored, DOM based
    • praktyczne wykorzystanie frameworków np. BeEF do pozyskiwania danych
    • XSS w nietypowych miejscach (Flash, upload, SVG)
    • (…)
  • Niebezpieczne bezpośrednie odwoływanie się do obiektów
    • działania w imieniu innego użytkownika
    • pozyskiwanie danych poza zakresem ujętym w interfejsie użytkownika
    • pozyskiwanie treści plików, danych systemowych – ataki LFI (local file inclusion) / RFI (remote file inclusion)
    • (…)
  • Błędy bezpieczeństwa
    • wykorzystywanie zbędnych zasobów
    • błędy konfiguracyjne serwerów WWW
    • poszukiwanie domyślnych/testowych/developerskich kont
    • prowokowanie błędów w celu pozyskania informacji
    • błędy związane z konfiguracją protokołów SSL/TLS
    • błędy związane z doborem metod HTTP
    • (…)
  • Wyciek wrażliwych danych
    • kopie zapasowe
    • przechwytywanie danych przesyłanych bez szyfrowania
    • analiza informacji o błędach
    • Google, Bing, Recon, Shodan, DNS Hacking
    • waga niskich podatności w łańcuchu ataku
    • (…)
  • Niewłaściwa kontrola na poziomie funkcji
    • interfejs użytkownika, a rzeczywiste uprawnienia
    • brak weryfikacji uprawnień po stronie serwera
    • weryfikacja separacji ról i użytkowników
    • (…)
  • Ataki CSRF
    • Cross Site Request Forgery
    • połączenie CSRF i XSS
    • omijanie zabezpieczeń CSRF
    • (…)
  • Komponenty ze znanymi podatnościami
    • identyfikacja komponentów
    • pozyskiwanie informacji o wersji aplikacji/modułów
    • wyszukiwanie podatności w sieci Internet (CVE, NVD, …)
    • szacowanie poziomu ryzyka/krytyczności (CVSS)
    • (…)
  • Niezweryfikowane przekierowania
    • manipulacje treścią odnośników
    • ataki phishingowe
    • (…)
  • Inne
    • API / WebServices
    • HTTP Response Splitting
    • podatności w przeglądarkach: Clickjacking, Pastejacking, Tabnabbing (…)
    • importowanie arkuszy stylów kaskadowych z względnych ścieżek
    • HTTP Parameter Pollution
    • błędy charakterystyczne dla wybranych technologii (JAVA, RoR, PHP, frameworki)
    • Web Application Firewall, Intrusion Detection System
    • (…)

(…) – i inne rzeczy, o których nie możemy pisać ;-)

Każda z kategorii błędów zawiera informacje nt. identyfikacji, metod wykorzystania oraz ochrony. Większość podpunktów kończy się praktycznym ćwiczeniem.

Co od nas dostaniesz

  • minimum 21 godzin hardcorowego szkolenia
  • dobrą książkę związaną z omawianym materiałem
  • pendrive z maszynami testowymi
  • materiały szkoleniowe (wydrukowane slajdy, prezentacje)
  • praktyka i teoria wyświetlane na osobnych projektorach
  • 3 obiady + przerwy kawowe
  • 2 imprezy wieczorne
  • certyfikat uczestnictwa w szkoleniu
  • gadżety z3s
  • swobodę działania – grupa szkoleniowa to maksymalnie 12 osób!
  • sporo dobrej zabawy

Kwestie organizacyjne

  • szkolenie ma rozkład godzin: 7-10-7 dzięki któremu wszyscy uczestnicy którzy muszą do nas dojechać mogą zrobić to w cywilizowany sposób bez tracenia dodatkowego dnia na podróż
  • zaczynamy pierwszego dnia o godzinie 10, ostatniego dnia kończymy o 15
  • szkolenie odbywa się w wygodnej sali niedaleko dworca Warszawa Centralna
  • zadbamy o to by uczestnicy byli jednocześnie najedzeni i przytomni (obiady, kawa, napoje energetyzujące i przekąski)
  • chętnych zaprosimy na wieczorne zajęcia integracyjne z trenerami oraz redakcją z3s

Wymagania wobec sprzętu i ludzi

  • komputer z możliwością podłączenia do sieci Ethernet oraz uruchomienia VirtualBoxa i komfortowej pracy z uruchomioną maszyną wirtualną (zalecane min. 2 GB RAM oraz solidny procesor)
  • znajomość podstaw budowy aplikacji webowych oraz koncepcji bezpieczeństwa
  • osobom nieposiadającym odpowiedniego doświadczenia technicznego oraz znajomości wymaganych zagadnień dostarczymy wcześniej odpowiednie materiały uzupełniające pomagające w przygotowaniu się do warsztatów

Nasi trenerzy:

Adam – Założyciel serwisu ZaufanaTrzeciaStrona, gdzie od kilku lat nieustannie goni internetowych przestępców i ostrzega dumnych obrońców infrastruktury przed nowymi zagrożeniami. Z uporem godnym lepszej sprawy tłumaczy skomplikowane ataki i edukuje użytkowników. Od 15 lat zawodowo zajmuje się bezpieczeństwem informacji, prelegent na prawie każdej dobrej polskiej konferencji poświęconej bezpieczeństwu.

Mateusz Kocielski –  Od lat zajmuje się zawodowo bezpieczeństwem. Członek zespołu LogicalTrust.net, gdzie prowadzi testy penetracyjne oraz badania. Brał udział w analizach bezpieczeństwa ponad setki aplikacji mobilnych oraz webowych. Występował na wielu konferencjach. Znalazł błędy m.in. w oprogramowaniu PHP, Apache, Microsoft, OpenSSH, FreeBSD, NetBSD. Współtwórca oprogramowania open source (m.in. PHP, NetBSD).

Borys Łącki – Jest autorem kilkudziesięciu prelekcji na branżowych konferencjach. Specjalista zajmujący się testami penetracyjnymi w firmie LogicalTrust. Od 7 lat tropi cyberprzestępców czyhających na nieświadomych użytkowników, a o swoich spostrzeżeniach informuje na łamach bloga www.bothunters.pl.

O firmie LogicalTrust

Wykorzystując ponad 10 lat doświadczenia chronimy naszych Klientów przed realnymi stratami finansowymi. Prowadzimy testy bezpieczeństwa serwisów WWW oraz aplikacji mobilnych, testy penetracyjne, audyty bezpieczeństwa, audyty kodu źródłowego, analizy powłamaniowe oraz szkolenia. Niestraszne nam systemy firm telekomunikacyjnych, instytucji finansowych czy sektora rządowego.

Zgromadzoną wiedzę i praktyczne doświadczenie wykorzystujemy prowadząc aktywne badania bezpieczeństwa oprogramowania Open Source, których wynikami dzielimy się na branżowych konferencjach oraz naszych blogach. Wierzymy, ze dzięki naszej działalności świat jest bezpieczniejszym miejscem.

Z naszych usług korzystały firmy i instytucje takie jak Alior Bank, DPD, Fabryka Broni „Łucznik”, Getin Noble Bank, KRD, Kruk, Meritum Bank, Ministerstwo Finansów, Money.pl, PKP, Statoil czy Viessmann.

Najczęściej zadawane pytania – część ogólna

Q: Dlaczego szkolenie prowadzi inna firma?

A: Prowadzenie ZaufanejTrzeciejStrony nie zostawia zbyt wiele czasu na inne zajęcia, dlatego postanowiliśmy powierzyć prowadzenie szkoleń firmie LogicalTrust, z którą współpracujemy prawie od początku istnienia naszego serwisu i do której mamy pełne zaufanie, że zrobi to najlepiej.

Q: Jaką mam gwarancję jakości szkolenia?

A: Troskę o jakość naszego serwisu przykładamy także do organizacji szkoleń. Trenerzy muszą znać swoją dziedzinę na wylot – ale także umieć przyznać się do własnej niewiedzy i wskazać, gdzie znaleźć można odpowiedź na trudne pytanie. Sama wiedza nie wystarcza, dlatego też muszą mieć talent do omawiania trudnych tematów w prosty sposób oraz dobry kontakt ze słuchaczami. Nie obędzie się też bez poczucia humoru i energii do utrzymania Was w dobrym nastroju przez kilka dni ciężkiej pracy.

Q: A co jeśli po szkoleniu nie będę zadowolony / zadowolona?

A: Jeśli w trakcie szkolenia lub po jego zakończeniu uznacie, że którykolwiek z elementów szwankował, nie wahajcie się tego nam zgłosić. Każdy problem postaramy się rozwiązać tak, by Wasze zadowolenie ze szkolenia osiągnęło maksymalny dopuszczalny poziom nie zagrażający zdrowiu Waszemu i pozostałych uczestników.

Q: Czy dowiem się wszystkiego?

A: Nie. Uczestnicy otrzymają zasób wiedzy wystarczający by mieć dobre pojęcie o najważniejszych elementach bezpieczeństwa aplikacji. Na pewno nie jest to wszystko, lecz dopiero duży pierwszy krok do dalszych badań i poszukiwania wiedzy. Uczestnicy szkolenia otrzymają pakiet umożliwiający samodzielny rozwój: książkę, ćwiczenia, informacje dodatkowe.

Q: Czym szkolenie różni się od podobnych szkoleń konkurencji?

A: Są firmy, na których szkoleniach jest bardzo fajnie. Są firmy, na których szkoleniach jest bardzo merytorycznie. My łączymy te dwa elementy w jednej sali.

Najczęściej zadawane pytania – część dotycząca tylko tego szkolenia

Q: Dlaczego szkolenie trwa trzy dni?

A: Rodzajów błędów występujących w aplikacjach WWW jest tyle, że w naszej ocenie nie da się ich przyzwoicie omówić w krótszym czasie.

Q: O której zaczyna się szkolenie?

A: Szkolenie rozpoczyna się o godzinie 10:00.

Q: Co można przekazać w 3 dni?

A: Wybraliśmy to, co w oparciu o nasze doświadczenie uważamy za najważniejsze. Szczegóły znajdziecie w programie szkolenia.

Formularz kontaktowy

Nie ma liście nurtującego Cię pytania? Wyślij je przez formularz, pocztą na adres szkoleniaz3s@logicaltrust.net lub zadzwoń na nr +48 601 86 14 85.