Atakowanie i ochrona webaplikacji
Szkolenie online z bezpieczeństwa aplikacji webowych
Poznaj program szkolenia
- Co zyskasz dzięki szkoleniu ?
Cele szkolenia
Celem szkolenia z atakowania i ochrony webaplikacji jest poznanie różnych typów ataków poprzez praktyczne ćwiczenia, podczas których uczestnicy sami omijają zabezpieczenia i włamują się do systemu.
UmiejętnościDzięki szkoleniu uczestnik będzie potrafił:
- tworzyć bezpieczniejsze aplikacje webowe,
- skutecznie naprawiać podatności znalezione w aplikacji,
- samodzielnie testować podatności aplikacji na niektóre ataki i zreprodukować podatności z raportu z testów penetracyjnych,
- zrozumieć skutki i ryzyko podatności zgłaszanych podczas pentestów lub skanów bezpieczeństwa
- rozumieć zasady etyki związanych z przeprowadzaniem testów penetracyjnych, w tym świadomość granic legalności i moralności, oraz konsekwencji niezgodnego postępowania
- Czy to szkolenie jest dla Ciebie ?
Profil uczestników
Kurs przeznaczony jest dla osób technicznych, związanych z tworzeniem i utrzymaniem oprogramowania:
- programistów,
- testerów,
- dev-opsów
Nie jest wymagana wstępna wiedza z bezpieczeństwa, ale uczestnik powinien mieć doświadczenie w programowaniu aplikacji webowych i znać następujące pojęcia:
- metoda HTTP,
- nagłówek HTTP,
- ciasteczko,
- sesja,
- model i kontroler,
- SQL
Przygotowanie uczestników
- Przed szkoleniem uczestnik musi zainstalować:
- program Burp Suite Community Edition https://portswigger.net/burp/communitydownload
- Przeglądarkę z rodziny Chromium, najlepiej Google Chrome albo Brave
- Dodatek do przeglądarki FoxyProxy https://chrome.google.com/webstore/detail/foxyproxy-standard/gcknhkkoolaabfmlnjonogaaifnjlfnp?hl=en
- docker
- Czas trwania
- 3 dni po 4 godziny szkoleniowe
- Szczegółowy program szkolenia
Dzień 1
- Zapoznanie z narzędziem Burp Suite
- Wprowadzenie i praktyczne zadania z podatności SQL injection
- Wprowadzenie i praktyczne zadania z podatności Server-Side Template Injection
- Wprowadzenie i praktyczne zadania z podatności związanych z uwierzytelnieniem
- Hardening - skuteczne zabezpieczanie komponentów firm trzecich
Dzień 2
- Wprowadzenie i praktyczne zadania z podatności związanych z autoryzacją
- Wprowadzenie i praktyczne zadania z podatności Cross-site scripting (XSS)
- Wprowadzenie i praktyczne zadania z podatności XML External Entities (XXE)
- Używanie komponentów ze znanymi podatnościami i błędna konfiguracja
Dzień 3
- Security Headers
- Rozszerzenie dotychczasowej wiedzy o narzędzia sqlmap, gobuster, hashcat / jacktheripper, ZAP i inne
- Dodatkowe praktyczne przykłady ataków
Metoda realizacji- Zdalne
- Ścieżka rozwoju
Po zakończeniu szkolenia rekomendowane jest dalsze doskonalenie w dziedzinie bezpieczeństwa aplikacji webowych poprzez tworzenie bezpiecznych aplikacji i zgłębianie wiedzy na temat projektów organizacji OWASP. Jeżeli uczestnik jest zainteresowany zgłębianiem wiedzy z atakowania aplikacji, sugerowane źródło to PortSwigger WebSec Academy. W szkoleniu praktycznym omówione jest kilka różnych ataków i na każdy z nich poświęcona jest cała godzina zajęć. W celu uzupełnienia wiedzy na temat innych podatności, uczestnik powinien wziąć udział w teoretycznym szkoleniu dostępnym w CSC "Wprowadzenie do bezpieczeństwa aplikacji webowych". Omówione są tam wszystkie podatności z listy OWASP TOP 10 oraz mechanizmy polepszenia bezpieczeństwa aplikacji np. poprzez nagłówki bezpieczeństwa.
- W ramach szkolenia zapewniamy
- materiały szkoleniowe
- certyfikat potwierdzający udział w kursie
- pełna obsługa cateringowa ( dla szkoleń stacjonarnych)
Naucz się chronić siebie i dane firmy. Zacznij od bezpłatnej wiedzy!
Chcesz wzmocnić swoje bezpieczeństwo w sieci? Skorzystaj z bezpłatnej bazy wiedzy! Znajdziesz tam artykuły, podcasty, DEMO i interaktywne quizy. Dzięki nim nauczysz się identyfikować zagrożenia, bezpiecznie konfigurować urządzenia i zbudujesz solidne fundamenty cyberhigieny.
