Porozmawiajmy
o szkoleniu
 Aneta Jandziś
516 824 029
aj@securitum.pl

Securitum Web Lab

Maksymalnie praktyczne szkolenia z bezpieczeństwa aplikacji webowych

Szkolenie Bezpieczeństwo aplikacji WWW

Kluczowe i aktualne informacje o bezpieczeństwie aplikacji webowych. Idealne dla: programistów, testerów i osób związanych z branżą IT security.

Szkolenie Bezpieczeństwo frontendu

Wprowadzenie w świat bezpieczeństwa frontendu aplikacji webowych od topowego bug bountera Michała Bentkowskiego.

Szkolenie Bezpieczeństwo
API REST

Kompleksowe omówienie aktualnych oraz najistotniejszych problemów bezpieczeństwa
w API REST.

Zbuduj swoje idealne szkolenie

Wybierz moduły szkoleniowe perfekcyjnie odpowiadające potrzebom Twojego zespołu. Optymalizuj czas trwania szkolenia.

Szkolenie Bezpieczeństwo aplikacji WWW (2 dni)

Dwudniowe szkolenie warsztatowe umożliwiające praktyczne poznanie tematyki bezpieczeństwa aplikacji webowych. 
Na szkoleniu prezentujemy kilkanaście podatnych systemów, których bezpieczeństwo analizowane jest przez kursantów. Każda podatność poprzedzona jest wstępem teoretycznym, a dla podatności wskazujemy również metody ochrony przed atakami.

Co zyskasz dzięki szkoleniu?

  • Poznasz aktualne zagrożenia w świecie aplikacji webowych.
  • Nauczysz się chronić przed podatnościami.
  • Nauczysz się podstaw testowania bezpieczeństwa aplikacji.
  • Poznasz kluczowe narzędzia oraz dokumentacje.

Ramowy program szkolenia

01.
  • Czym są testy penetracyjne aplikacji www?
  • Prezentacja przykładowego, realnego raportu z testów penetracyjnych.
  • Omówienie dokumentów OWASP Top Ten, OWASP ASVS (Application Security Verification Standard), OWASP Testing Guide.
  • Dalsze źródła wiedzy – serwisy on-line, literatura, narzędzia.
  • Case Studies.
  • Rekonesans.
02.
  • Manipulacje plikami XML w celu nieautoryzowanego dostępu do danych na serwerze (XXE).
  • OS Command injection (kilka wariantów) – w tym błąd w jednej z bibliotek.
  • JAVA, problemy z mechanizmami uploadu.
  • SQL injection.
  • XSS – przejęcie dostępu administracyjnego w systemie blogowym / omijanie filtrów.
  • CSRF.
  • Ataki klasy application DoS (ReDoS, XML Bomb, XML Bomb).
03.
  • Badanie kilku aspektów bezpieczeństwa ścieżki logowania.
  • Badanie wykorzystanych mechanizmów autoryzacji.
  • Techniki bruteforce.
04.
  • Jak zdefiniować wymagania bezpieczeństwa dla aplikacji?
  • Skąd czerpać wiedzę o podatnościach?
  • Podstawy statycznej analizy kodu.
  • Problemy bezpieczeństwa wynikające z bibliotek i jak im zaradzić?
05.
  • Wykrycie kilku klas podatności.
  • Wskazanie metod ochrony.
Zapisz się na szkolenie

Szkolenie realizujemy regularnie, dostępnych jest wiele terminów w ciągu roku.

zapytaj o szkolenie dla grupy z twojej firmy

Zorganizujemy szkolenie w dogodnym dla Ciebie terminie. Uczestniczą tylko osoby z Twojej firmy.

Szkolenie Bezpieczeństwo API REST (1 dzień)

Całodniowe szkolenie pokazujące aktualne problemy bezpieczeństwa w API REST. Szkolenie to praktyka oraz ponad 200 interaktywnych slajdów stanowiących kompendium o bezpieczeństwie API. Przed szkoleniem wysyłamy 15 minutowy screencast z praktycznym ćwiczeniem on-line umożliwiającym opanowanie podstaw narzędzia burp suite, które jest wykorzystywane na kursie.

Co zyskasz dzięki szkoleniu?

  • W skondensowany sposób nauczysz się kluczowych problemów w bezpieczeństwie API REST.
  • Nauczysz się jak nie popełniać błędów bezpieczeństwa podczas tworzenia API REST.
  • Nauczysz się testowania bezpieczeństwa API REST.

Ramowy program szkolenia

01.
  • Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  • Case Studies przeszło 20 różnych podatności w realnych aplikacjach
  • Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
02.
  • Omijanie zabezpieczeń dostępu do metod HTTP
  • Server-Side Request forgery (SSRF)
  • Podatności XML
  • Podatności JSON vs. XML vs. YAML
  • Deserializacja vs. bezpieczeństwo API
  • Remote Code Execution
  • Błędy klasy injection
  • Mass Assignment
03.
  • Bezpieczeństwo JWT (JSON Web Tokens)
  • Bezpieczeństwo OAuth2
  • Wycieki kluczy API
Zapisz się na szkolenie

Szkolenie realizujemy regularnie, dostępnych jest wiele terminów w ciągu roku.

zapytaj o szkolenie dla grupy z twojej firmy

Zorganizujemy szkolenie w dogodnym dla Ciebie terminie. Uczestniczą tylko osoby z Twojej firmy.

Szkolenie Bezpieczeństwo frontendu (2 dni)

Dwudniowe szkolenie umożliwiające praktyczne poznanie tematyki bezpieczeństwa frontendu aplikacji webowych. Na szkoleniu omawiane są najczęściej występujące podatności frontendowe, jak również jaki wpływ na bezpieczeństwo mają API webowe oraz popularne frameworki. Wszystkie przykłady prezentowane są na żywych aplikacjach, na których uczestnicy mogą później rozwiązywać zadania. Dodatkowo omawiane są najnowsze mechanizmy bezpieczeństwa wprowadzane w przeglądarkach, które mają zapobiegać atakom.

Co zyskasz dzięki szkoleniu?

  • Poznasz podatności bezpieczeństwa świata frontendu (takie jak XSS czy CSRF), oraz to, jak się przed nimi zabezpieczać.
  • Dowiesz się, jak webowe API determinują bezpieczeństwo frontendu (CORS, postMessage czy WebSockety).
  • Nauczysz się posługiwać narzędziami do testowania frontendu.
  • Dostęp do zadań szkoleniowych pozostaje aktywny również po szkoleniu.

Ramowy program szkolenia

01.
  • Omówienie skutków XSS
  • Konteksty XSS
  • Punkty wejścia i wyjścia
  • Sanityzacja XSS i filtry chroniące przed XSS-ami
  • Jak się bronić?
02.
  • CSRF - Cross Site Request Forgery - możliwość wykonywania nieautoryzowanych zapytań
  • Clickjacking - przechwytywanie "kliknięć" użytkownika
  • Dangling Markup - sposób na wyprowadzanie poufnych danych ze strony
  • Ataki z użyciem CSS-ów
03.
  • PostMessage
  • CORS (Cross-Origin Resource Sharing)
  • Service Workers
  • Web Sockets
04.
  • Content-Security-Policy - omówienie standardu, sposobów wdrożenia oraz możliwych obejść
  • Inne nagłówki bezpieczeństwa (X-Frame-Options, Strict-Transport-Security itp.)
  • Flagi ciasteczek
  • Problemy bezpieczeństwa wynikające z bibliotek i jak im zaradzić?
05.
  • Omówienie bibliotek: jQuery, AngularJS, Angular, React, Knockout, Vue
  • Czy biblioteki zwiększają czy zmniejszają bezpieczeństwo aplikacji?
  • Omówienie podatności typu "template injection" występującej w niektórych silnikach szablonów.
Zapisz się na szkolenie

Szkolenie realizujemy regularnie, dostępnych jest wiele terminów w ciągu roku.

zapytaj o szkolenie dla grupy z twojej firmy

Zorganizujemy szkolenie w dogodnym dla Ciebie terminie. Uczestniczą tylko osoby z Twojej firmy.

Szkolenia modułowe

Szkolenia modułowe to doskonała okazja do zbudowania własnego programu nauczania. Dzięki temu możesz uzupełnić swoją wiedzę w wybranych dziedzinach bezpieczeństwa IT dokładnie w tych tematach, którymi jesteś zainteresowany.

Co zyskasz dzięki szkoleniu?

  • Masz pełną kontrolę nad tym, czego dokładnie chcesz się nauczyć.
  • Optymalizuj cenę i materiał szkoleniowy dla siebie lub zespołu.

Ramowy program szkolenia

01.
  • Czym są testy penetracyjne aplikacji www?
  • Prezentacja przykładowego, realnego raportu z testów penetracyjnych.
  • Omówienie dokumentów OWASP Top Ten, OWASP ASVS (Application Security Verification Standard), OWASP Testing Guide.
  • Dalsze źródła wiedzy – serwisy on-line, literatura, narzędzia.
  • Case Studies.
  • Rekonesans.
02.
  • Manipulacje plikami XML w celu nieautoryzowanego dostępu do danych na serwerze (XXE).
  • OS Command injection (kilka wariantów) – w tym błąd w jednej z bibliotek.
  • JAVA, problemy z mechanizmami uploadu.
  • SQL injection.
  • XSS – przejęcie dostępu administracyjnego w systemie blogowym / omijanie filtrów.
  • CSRF.
  • Ataki klasy application DoS (ReDoS, XML Bomb, XML Bomb).
03.
  • Badanie kilku aspektów bezpieczeństwa ścieżki logowania.
  • Badanie wykorzystanych mechanizmów autoryzacji.
  • Techniki bruteforce.
04.
  • Jak zdefiniować wymagania bezpieczeństwa dla aplikacji?
  • Skąd czerpać wiedzę o podatnościach?
  • Podstawy statycznej analizy kodu.
  • Problemy bezpieczeństwa wynikające z bibliotek i jak im zaradzić?
05.
  • Wykrycie kilku klas podatności.
  • Wskazanie metod ochrony.
06.
  • Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  • Case Studies przeszło 20 różnych podatności w realnych aplikacjach
  • Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
07.
  • Omijanie zabezpieczeń dostępu do metod HTTP
  • Server-Side Request forgery (SSRF)
  • Podatności XML
  • Podatności JSON vs. XML vs. YAML
  • Deserializacja vs. bezpieczeństwo API
  • Remote Code Execution
  • Błędy klasy injection
  • Mass Assignment
08.
  • Bezpieczeństwo JWT (JSON Web Tokens)
  • Bezpieczeństwo OAuth2
  • Wycieki kluczy API
09.
  • Omówienie skutków XSS
  • Konteksty XSS
  • Punkty wejścia i wyjścia
  • Sanityzacja XSS i filtry chroniące przed XSS-ami
  • Jak się bronić?
10.
  • CSRF - Cross Site Request Forgery - możliwość wykonywania nieautoryzowanych zapytań
  • Clickjacking - przechwytywanie "kliknięć" użytkownika
  • Dangling Markup - sposób na wyprowadzanie poufnych danych ze strony
  • Ataki z użyciem CSS-ów
11.
  • PostMessage
  • CORS (Cross-Origin Resource Sharing)
  • Service Workers
  • Web Sockets
12.
  • Content-Security-Policy - omówienie standardu, sposobów wdrożenia oraz możliwych obejść
  • Inne nagłówki bezpieczeństwa (X-Frame-Options, Strict-Transport-Security itp.)
  • Flagi ciasteczek
  • Problemy bezpieczeństwa wynikające z bibliotek i jak im zaradzić?
13.
  • Omówienie bibliotek: jQuery, AngularJS, Angular, React, Knockout, Vue
  • Czy biblioteki zwiększają czy zmniejszają bezpieczeństwo aplikacji?
  • Omówienie podatności typu "template injection" występującej w niektórych silnikach szablonów.

Nasi trenerzy

Michal Sajdak Securitum

Michał Sajdak

  • Twórca portalu sekurak.pl, założyciel Securitum
  • Autor badań bezpieczeństwa opisywanych na polskich oraz zagranicznych serwisach
  • Prowadzi szkolenia z obszaru bezpieczeństwa IT, w Polsce i za granicą. W ostatnich 10 latach przeszkolił tysiące osób;Posiada certyfikaty CEH, CISSP oraz CTT+
  • Redaktor prowadzący książki Bezpieczeństwo aplikacji webowych.
  • Prelegent na konferencjach: Mega SHP (2019), Secure, Confidence, SEMAFOR, WTH, Securitybsides, SEConference, SecCon, OWASP@Krakow, AIESEC, TestingCup, Security Case Study, KraQA, WrotQA
  • Blisko 20 lat doświadczenia w branży IT
Michal Sajdak Securitum

Michał Bentkowski

  • Autor tekstów na Sekuraku, pentester i szkoleniowiec Securitum, redaktor na research.securitum.com
  • Znajdował się na liście TOP 10 bug bounty Google od 2016 do 2019
  • Znajdował liczne błędy w przeglądarkach (Chrome, Firefox, Safari, Internet Explorer)
  • Jeden z redaktorów książki Bezpieczeństwo aplikacji webowych
  • Prelegent na konferencjach: Mega SHP, Secure, Confidence, Semafor, WTH, OMH, The Hack Summit i innych
Michal Sajdak Securitum

Kamil Jarosiński

  • Konsultant do spraw bezpieczeństwa w Securitum. Posiadający ponad pięć lat doświadczenia w testach penetracyjnych
  • W ramach obowiązków służbowych testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware. Testował bezpieczeństwo w największych bankach, operatorach telefonii komórkowej czy branży e-commerce
  • Trener szkoleń bezpieczeństwa aplikacji WWW, API Rest, środowiska chmurowe
  • Prelegent na konferencji Mega Sekurak Hacking Party (2019) - podsłuch klawiatury bezprzewodowej
  • W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland
Michal Sajdak Securitum

Maciej Szymczak

  • Ex-admin, ponad dziesięcioletnie doświadczenie zbierał już od szkoły średniej realizując zlecenia jako freelancer. Od patchcordu po BGP, od Gentoo ze stage1 po Ansible na tysiącach serwerów… a od 2017 oficjalnie jako pentester i szkoleniowiec w SECURITUM.
  • Pasjonat bezpieczeństwa informacji z zacięciem do przekazywania wiedzy. W Securitum prowadzi szkolenia z bezpieczeństwa aplikacji webowych, bezpieczeństwa sieci, przygotowania do certyfikacji CEH oraz wykłady cyber-awareness dla tych mniej świadomych.
  • Prelegent na MEGA Sekurak Hacking Party 2020 oraz Sekurak Hacking Party 2019 w Gdańsku.
  • W Internecie spotkać go można na LinkedIn oraz… IRC.

Dlaczego my

Fachowe

Szkolenia prowadzone są przez doświadczone osoby, mające szeroką praktykę w realizacji testów bezpieczeństwa aplikacji. Część z trenerów jest współautorami bestsellerowej książki sekuraka: Bezpieczeństwo aplikacji webowych.

Praktyczne

Szkolenia poza niezbędną teorią, zawierają dużą dawkę praktyki. Poza informacjami o podatnościach uzyskasz również wiedzę o strategiach ochrony przed nimi.

Angażujące

Zwracamy szczególną uwagę na aktywizację uczestników kursu – poprzez mini zadania, ankiety na żywo i udzielanie odpowiedzi na pytania.

Modułowe

Szkolenie zamknięte (dla firm) można skompletować z gotowych modułów tematycznych. Umożliwia to maksymalne dopasowanie kursu do specyfiki zamawiającego (również w kontekście czasu trwania szkolenia).

Opinie uczestników szkoleń

Kontakt

Securitum Szkolenia Sp. z o.o. Sp. k.

szkolenia@securitum.pl


+48 (12) 352 33 82

Top