Bezpieczeństwo aplikacji internetowych

29 Luty 2012

Bezpieczeństwo Aplikacji Internetowych

Centrum Edukacyjne Park Postępu

Rejestracja on-line Rejestracja fax - pobierz formularz

Data: 29 lutego 2012 r.
Miejsce: Warszawa

Celem szkolenia jest zapoznanie uczestników z najczęściej występującymi podatnościami aplikacji internetowych oraz związanym z nimi ryzykiem. Na szkoleniu zostanie przedstawionych 10 najpopularniejszych luk według organizacji OWASP oraz kilka bardziej istotnych niemieszczących się w zestawieniu. Ponadto uczestnicy zdobędą podstawową wiedzę dotyczącą prowadzenia testów aplikacji internetowych zgodnie z najlepszymi praktykami oraz zaleceniami OWASP. Zdobytą wiedzę będą mogli wykorzystać podczas części praktycznej. Podczas szkolenia zostaną zaprezentowane popularne narzędzia oraz techniki, które wykorzystywane są podczas profesjonalnych testów penetracyjnych, dzięki czemu uczestnicy szkolenia będą w stanie samodzielnie przeprowadzić w podstawowym zakresie badanie bezpieczeństwa aplikacji internetowej.

Wydarzenie
Prelekcje
Prelegenci
Agenda
Kontakt

Mapa dojazdu / Adres

Centrum Edukacyjne Park Postępu
Postępu 21, 02-676 Warszawa

Opis wydarzenia

Wobec powszechnego problemu związanego z brakiem odpowiedniego uwzględnienia aspektów bezpieczeństwa w procesach wytwórczych oprogramowania, w eksploatowanych produkcyjnie serwisach internetowych występują istotne podatności, stwarzające wysokie zagrożenie dla prywatności ich użytkowników, jak również dla reputacji ich właścicieli.

Według organizacji OWASP (Open Web Application Security Project) zajmującej się promocją bezpieczeństwa aplikacji internetowych najczęściej spotykane problemy to:
- podatność na ataki wstrzyknięcia (np. SQL Injection),
- ataki typu Cross Site Scripting (XSS),
- słabości w mechanizmach uwierzytelniania i zarządzania sesją,
- słabości wynikające z bezpośredniego odwołania do obiektów,
- podatności na ataki Cross Site Request Forgery (CSRF),
- słabości w konfiguracji,
- stosowanie nieskutecznych zabezpieczeń kryptograficznych,
- brak zabezpieczeń dostępu do ukrytych adresów URL,
- słabości w zabezpieczeniach transmisji danych,
- słabości związane z przekierowywaniem pakietów HTTP.

W celu minimalizacji ryzyka wystąpienia często katastrofalnych w skutkach incydentów bezpieczeństwa związanych z tymi podatnościami konieczne jest prowadzenie okresowej weryfikacji bezpieczeństwa aplikacji internetowych.

Szkolenie odbędzie się w sali ze stanowiskami komputerowymi.

Koszt uczestnictwa w szkoleniu: 650 zł + 23% VAT/ osoba

Uczestnikom zapewniamy:
- materiały szkoleniowe
- przerwę kawową
- lunch
- certyfikat potwierdzający uczestnictwo w szkoleniu

Szkolenie odbędzie się od 9:00 do 17:00 – 17:30

ZAPRASZAMY DO REJESTRACJI!

Prelekcje

- Marek Zmysłowski
-

Prelegenci

Marek Zmysłowski

Prowadzący jest absolwentem politechniki Warszawskiej na wydziele Elektroniki i Technik Informacyjnych. Obecnie pracuje jako audytor w firmie Safe Computing sp. z o.o. Zajmuje się tam głównie badaniem bezpieczeństwa aplikacji intenetowych. W kręgach jego zainteresowań leży również Inżynieria Wsteczna.

Drukuj Agendę

Agenda

Szkolenie będzie prowadzone na średnio-zaawansowanym poziomie. Uczestnicy szkolenia powinni posiadać podstawową wiedzę na temat aplikacji internetowych i funkcjonowania protokołu HTTP. Szkolenie będzie miało charakter praktyczny – większa część wykładów będzie prowadzona na zasadzie demonstracji technik penetracyjnych.
Szkolenie odbędzie się w sali ze stanowiskami komputerowymi.

Dzień 1 (2012-02-29)

Godzina	Informacja
09:00 - 09:10	Wstęp
09:10 - 09:30	O czym nie będzie: Rekonesans; Passive Footprinting; Active footprinting; Skanowanie; Utrzymanie dostępu; Zacieranie śladów
09:30 - 10:30	Podstawowe narzędzia: Narzędzia typu Proxy; Dodatki do przeglądarek – głównie do Firefoxa; Narzędzia do automatycznych testów
10:30 - 13:00	OWASP TOP 10: A1 – Injection; A2 – XSS; A3 – Broken Authentication and Session Management; A4 – Insecure Data Object Reference; A5 – CSFR; A6 – Security Misconfiguration;
13:00 - 13:30	Przerwa obiadowa
13:30 - 15:00	OWAS TOP 10 A7 – Insecure Cryptographic Storage A8 – Failure to Restrict URL Access A9 – Insufficient Transport Layer Protection A10 – Unvalidated Redirects and Forward
15:00 - 15:30	Przepełnienie bufora: Przepełnienie stosu; Przepełnienie sterty; Przepełnienie zmiennej całkowitej; Błąd „o jeden”
15:30 - 16:00	1. Bezpieczeństwo Aplikacji Bankowości Internetowej
16:00 - 16:10	Podsumowanie

Edyta Szewc
Kierownik Projektu Szkoleniowego

e-mail: edyta.szewc@isecman.org
tel.: (22) 427-36-70
fax: (22) 244-24-59
ISecMan Sp. z o.o. sp. k
Bokserska 1
02-682 Warszawa

Plan konferencji na rok 2012

Firmy zainteresowane otrzymaniem planu wydarzeń w roku 2012 prosimy o kontakt:

e-mail: konferencje@software.com.pl
tel.: 22 427 36 73

Software Wydawnictwo

Wysoka jakość i standard organizacji

Bezpieczeństwo aplikacji internetowych

Bezpieczeństwo Aplikacji Internetowych

Mapa dojazdu / Adres

Opis wydarzenia

W celu minimalizacji ryzyka wystąpienia często katastrofalnych w skutkach incydentów bezpieczeństwa związanych z tymi podatnościami konieczne jest prowadzenie okresowej weryfikacji bezpieczeństwa aplikacji internetowych.

Koszt uczestnictwa w szkoleniu: 650 zł + 23% VAT/ osoba

Prelekcje

Prelegenci

Marek Zmysłowski

Agenda

Dzień 1 (2012-02-29)

Wstęp

O czym nie będzie: Rekonesans; Passive Footprinting; Active footprinting; Skanowanie; Utrzymanie dostępu; Zacieranie śladów

Podstawowe narzędzia: Narzędzia typu Proxy; Dodatki do przeglądarek – głównie do Firefoxa; Narzędzia do automatycznych testów

OWASP TOP 10: A1 – Injection; A2 – XSS; A3 – Broken Authentication and Session Management; A4 – Insecure Data Object Reference; A5 – CSFR; A6 – Security Misconfiguration;

Przerwa obiadowa

OWAS TOP 10 A7 – Insecure Cryptographic Storage A8 – Failure to Restrict URL Access A9 – Insufficient Transport Layer Protection A10 – Unvalidated Redirects and Forward

Przepełnienie bufora: Przepełnienie stosu; Przepełnienie sterty; Przepełnienie zmiennej całkowitej; Błąd „o jeden”

1. Bezpieczeństwo Aplikacji Bankowości Internetowej

Podsumowanie

Plan konferencji na rok 2012

Zapisz się na newsletter