Co zyskasz dzięki szkoleniu ?
Cele szkolenia
Szkolenie ma na celu zapoznanie uczestników z zagrożeniami aplikacji internetowych wynikającymi z ich szczególnej architektury. Po zakończeniu szkolenia jego uczestnik będzie potrafił zidentyfikować i zneutralizować potencjalne problemy bezpieczeństwa aplikacji internetowych.
Umiejętności
Po szkoleniu uczestnik będzie potrafił:
- Identyfikować zagrożenia bezpieczeństwa związane z aplikacjami internetowymi
- Unikać błędów podczas tworzenia aplikacji internetowych powodujących luki bezpieczeństwa
- Wytłumaczyć dlaczego bezpieczeństwo aplikacji jest ważne i dlaczego jest często bagatelizowane
- Skonfigurować używane oprogramowanie pod względem bezpieczeństwa, rozumiejąc cel i zastosowanie występujących w nim zabezpieczeń
- Skonfigurować bezpieczny system uwierzytelniania użytkowników z użyciem aktualnych praktyk projektowych i specyfikacji
Czy to szkolenie jest dla Ciebie ?
Profil uczestników
Szkolenie przeznaczone jest dla osób znających podstawy działania aplikacji internetowych chcących się dowiedzieć jakie zagrożenia bezpieczeństwa występują w tego typu aplikacjach i jak się przed nimi zabezpieczać.
Przygotowanie uczestników
- Od uczestników szkolenia wymagana jest znajomość zasad programowania oraz sposobu działania sieci WWW. Przydatna jest też choćby podstawowa znajomość języka Java.
Szczegółowy program szkolenia
Szczegółowy program szkolenia
Architektury aplikacji internetowych i źródła zagrożeń
- Od aplikacji UTC do RIA
- Podstawowe problemy bezpieczeństwa: sesje, cookies, tokeny
- Problemy bezpieczeństwa w aplikacjach responsywnych
- Klasyfikacje zagrożeń: STRIDE, OWASP
- Najprostsze ataki fałszujące request
Ataki typu injection
- SQL Injection
- Blind Injection
- Code Injection
- Command Injection
Ataki XSS
- Scenariusz ataku – reflected XSS, persistent XSS
- Możliwości i ograniczenia Javascript, Source & Sink
- DOM-based XSS
- Problemy z czyszczeniem danych
- Etapy czyszczenia danych i ich ograniczenia
Ograniczenia kodu w Javascript
- Same Origin Policy
- CORS – działanie i konfiguracja
- Preflight
Cross-site Request Forgery (CSRF)
- Zasada działania
- Możliwości
- Sposoby zabezpieczenia
Nagłówki request i response dotyczące zabezpieczeń
Cache
- Zabezpieczenie przed click-jacking
- Specjalne nagłówki serwerów i przeglądarek
- Content Security Policy
Socjotechnika i phishing
- Człowiek jako podstawowe słabe ogniwo
- Możliwości preparowania linków
Uwierzytelnianie
- Klasyczne ataki na sesje I zabezpieczenia przed nimi
- Zabezpieczanie za pomocą JWT – zalety i wady
- OAuth 2
- OpenID Connect
POBIERZ PROGRAM W PDF
W ramach szkolenia zapewniamy
W ramach szkolenia zapewniamy
- materiały szkoleniowe
- certyfikat potwierdzający udział w kursie
- pełna obsługa cateringowa (dotyczy szkoleń stacjonarnych)