en

Zaloguj się

close
Nie masz konta? Zapomniałem hasła

Przypomnij hasło

close Wypełnij formularz.
Na Twój adres e-mail zostanie wysłane link umożliwiający zmianę hasła.
Wyślij
<< przejdź do listy szkoleń

Testowanie Bezpieczeństwa Aplikacji Internetowych

gigacon-testowanie-bezpieczenstwa-aplikacji-internetowych-grudzien-2018
Nazwa:
Testowanie Bezpieczeństwa Aplikacji Internetowych
Kategoria:
Backend
Poziom:
Typ:
Szkolenia eksperckie
Data:
13.12.2018 - 14.12.2018
Tryb:
Dzienne
Język:
polski
Liczba godzin:
16 godz.
Wstęp:
płatny
Miasto:
Adres:
Hotel IBIS Centrum, al. Solidarności 165
Cena:
2199 zł - 2199 zł RABAT 10% przy zapisie / kontakcie przez Crossweb
kontakt i zapisy:
Skorzystaj z formularza i zgarnij rabat 10% na ten kurs

Użyj formularza aby:
  • dopytać o szczegóły szkolenia
  • zarejestrować się na to szkolenie
Zgłoszenie prześlemy bezpośrednio do organizatora, który skontaktuje się z Tobą aby odpowiedzieć na wszelkie pytania lub dokończyć proces rejestracji.
Opis:

Tutaj zapisz się na szkolenie: https://gigacon.org/event/test-bezpieczenstwa-aplikacji-internetowych/

Koniecznie wpisz, że o szkoleniu wiesz z Crossweb- otrzymasz 10% rabatu!


Wymagania stawiane obecnie przed aplikacjami internetowymi w kontekście bezpieczeństwa sprawiają, że chcąc aby nasze rozwiązania odpowiednio chroniły zarówno nas, jak i naszych użytkowników, musimy podejść do tego tematu bardziej kompleksowo.


W przypadku kiedy aplikacja cały czas się rozwija, jednorazowe zamówienie testów bezpieczeństwa nie jest wystarczające, ponieważ każda funkcjonalność wprowadzona po wykonanych testach, może również zawierać dziury związane z bezpieczeństwem.


Kluczowe w takim wypadku jest systematyczny monitoring i eliminacja problemów u źródła, poprzez uświadomienie i podniesienie umiejętności osób wytwarzających oprogramowanie.


Aby móc sprostać takim wymaganiom, cały nasz zespół musi mieć świadomość istnienia błędów bezpieczeństwa oraz umiejętności pozwalające na ich wczesne wykrycie i naprawienie w prawidłowy sposób.


Stworzyliśmy program szkolenia, który ma za zadanie zapewnić, że osoby w nim uczestniczące będą potrafiły zapewnić bezpieczeństwo aplikacji internetowych w praktyczny sposób.


Podatności prezentowane podczas szkolenia są w większości uniwersalne i występują niezależnie od języka/technologii używanej podczas wytwarzania danego produktu.


Szkolenie składa się z modułów co oznacza, że może ono zostać maksymalnie dostosowane do potrzeb twojej organizacji/firmy/zespołu.

Każdy moduł jest zakończony ćwiczeniem, dzięki któremu uczestnicy będą mogli w praktyce potwierdzić zdobyte w danym temacie umiejętności.


Uczestnikom zapewniamy:

– materiały szkoleniowe

– certyfikat

– przerwy kawowe

– przerwy obiadowe



Cel szkolenia:


Pozyskaj:

Praktyczne umiejętności (oraz znajomość odpowiednich narzędzi) pozwalające na:

– identyfikację podatności w aplikacji,

– naprawę w sposób zgodny z obecnie obowiązującymi standardami.


Dla kogo?


Szkolenie jest kierowane do wszystkich osób zajmujących się wytwarzaniem oprogramowania, a w szczególności:

– Programistów

– Testerów Oprogramowania

– DevOps-ów

– Każdej osoby, która myśli aby w przyszłości zajmować się bezpieczeństwem


Wymagania: 


Powyższe szkolenie jest prowadzone na poziomie podstawowym i do uczestnictwa nie są wymagane żadne specjalne kwalifikacje. Szkolenie realizowane jest w formule BYOL (Bring Your Own Laptop), wymagania: 4 GB RAM


Jak przygotować sprzęt? 


– Zainstalować aplikację Virtualbox (włączona wirtualizacja)

– Zainstalować obraz maszyny wirtualnej Kali Linux (dostarczony przez nas, po rejestracji na szkolenie)

– Zainstalować przeglądarkę Firefox

– Zainstalować darmowa wersja programu Burp Suite


Koszt szkolenia:


Cena regularna: 2199 zł + 23% VAT


Agenda


2 dni


3 godziny

Wstęp do testów bezpieczeństwa

– Statystyki dotyczące ataków

– Budowanie profilu atakującego

– Motywacja atakującego

– Najpopularniejsze techniki ataków


1,5 godziny

Cross Site Scripting (XSS)

– Reflected XSS

– Stored XSS

– DOM-Based XSS

– Techniki omijania filtrów

– Ćwiczenia praktyczne


1 godzina

Cross Site Request Forgery (CSRF)

– Czym jest CSRF

– Jak wyszukiwać podatności tego typu?

– Narzędzia automatyczne wspierające wyszukiwanie CSRF

– Stworzenie formularza wykorzystującego podatność

– Ćwiczenia praktyczne


2 godziny

Rekonesans

– Skąd atakujący biorą informacje o swoim celu

– Korzystanie z Shodan.io

– Google hacking

– Metadane

– Fingerprinting serwera

– Fingerprinting aplikacji

– Enumeracja aplikacji na serwerze internetowym

– Identyfikacja punktów wejścia do aplikacji

– Ćwiczenia praktyczne


45 minut

Directory Traversal / File Include

– Omówienie podatności

– Omijanie filtrowania

– Wykorzystanie narzędzie automatycznych

– Ćwiczenia praktyczne


1 godzina

SQL Injection

– Czym jest SQL Injection

– Techniki wykrywania

– Fingerprinting bazy danych

– Możliwości wykorzystania

– Omijanie filtrowania

– Blind SQL Injection

– Narzędzia automatyczne

– Ćwiczenia praktyczne


30 minut

Testowanie logiki biznesowej

– Omówienie przykładów błędów logiki biznesowej mających wpływ na bezpieczeństwo

– Wrzucanie złośliwych plików na serwer

– Case Studies


1.5 godziny

Używanie lokalnego proxy (Burp, OWASP ZAP)

– Korzystanie ze skanera automatycznego

– Użycie crawlera

– Badanie losowości

– Manipulacja parametrami

– Wykorzystanie lokalnego proxy do wykonywania Fuzz Testingu

– Burp / OWASP ZAP w Continous Integration

– Ćwiczenia praktyczne


30 minut

Wykorzystanie komercyjnych skanerów automatycznych

– Konfiguracja narzędzia

– Wykorzystanie w Continous Integration

– Generowanie raportów i metryk

– Zarządzanie narzędziem w projekcie – Case Study


30 minut

HTML Injection

– Techniki wyszukiwania HTML Injection

– Omijanie filtrowania

– Metody wykorzystania podatności

– Ćwiczenia praktyczne


30 minut

Testowanie WebService’ów i API

– Crawlowanie API

– Testowanie REST API

– Omówienie typowych problemów z konfiguracją i bezpieczeństwem API


1 godzina

Web Application Firewall

– Czym są WAF-y?

– W jaki sposób działają?

– Jak je prawidłowo skonfigurować?

– Sposoby omijania filtrów zaimplementowanych przez WAF

– Ćwiczenia praktyczne


1 godzina

Projektowanie i tworzenie bezpiecznego oprogramowania

– Analiza ryzyka (DREAD)

– Modelowanie zagrożeń (STRIDE)

– Wycena zasobów

– OWASP ASVS

– Microsoft SDLC

– Ćwiczenia praktyczne


1 godzina

GDPR w kontekście aplikacji internetowych

– Wyzwania dla projektów informatycznych związane z wdrożeniem GDPR

– Przygotowanie odpowiednich zgód

– Anonimizacja danych

– Przygotowanie aplikacji pod nowe prawa użytkowników


45 minut

Denial of Service

– Techniki wyszukiwania podatności DoS

– Rodzaje i możliwości wykorzystania poszczególnych typów ataków DoS

– Wyszukiwanie podatności przy użyciu Burp Suite

– Ćwiczenia praktyczne


30 minut

Analiza statyczna

– Dlaczego warto inwestować w analizę statyczną kodu

– Narzędzia do przeprowadzania analizy statycznej


30 minut

Elementy socjotechniki w kontekście aplikacji internetowych

– Popularne przykłady ataków

– Jak zabezpieczyć użytkowników przed atakami socjotechnicznymi z poziomu kodu


Trener: MATEUSZ PIASZCZAK

Information Security Architect - Pentester - Trainer

Inicjator projektu Protesterzy, uzależniony od wysokiej jakości w każdej dziedzinie życia. Zapalony trener i tester oprogramowania. Prelegent na wielu branżowych konferencjach: Quality Excites, KarieraIT, WordCamp, WordUp, KraQA, Quality Meetup, podczas których jego prezentacje zbierały najwyższe noty. Ma za sobą tysiące godzin spędzonych na przekazywaniu wiedzy i jeszcze więcej na testowaniu. Autor publikacji dotyczących testowania oprogramowania. Od lat specjalizujący się w temacie testów bezpieczeństwa.

Swoją przygodę z testowaniem zaczynał w Szwajcarskiej firmie ABB pracując w roli Quality Assurance Engineer, od paru lat związany się z firmą Solidbrain w której pracował zarówno na stanowisku Senior QA jak i Pentester. Współpracował również z firmą Niebezpiecznik, dla której m.in. prowadził szkolenia z bezpieczeństwa aplikacji webowych, bezpieczeństwa komputerowego pracowników biurowych jak i swoje autorskie szkolenie z bezpieczeństwa aplikacji webowych dedykowane testerom oprogramowania.

Ukończył:

Uniwersytet Pedagogiczny w Krakowie, kierunku Informatyka

Uniwersytet Jagielloński w Krakowie, kierunku Informatyka Stosowana



Organizator:

Joanna Wrześniowska

Tel.: 506981902

e-mail: joanna.wrzesniowska@gigacon.org

Chcesz zorganizować szkolenie zamknięte w swojej firmie? Napisz!


Główna strona szkolenia: https://gigacon.org/event/test-bezpieczenstwa-aplikacji-internetowych/


PODOBNE SZKOLENIA