Ładowanie Wydarzenia

« All Wydarzenia

Testowanie bezpieczeństwa aplikacji webowych

27 lutego 2018 @ 09:00 - 28 lutego 2018 @ 17:00

| 1699zł
Bezp app

Szczegóły

Start:
27 lutego 2018 @ 09:00
Koniec:
28 lutego 2018 @ 17:00
Koszt:
1699zł

Na skróty:

  • O szkoleniu
  • Agenda
  • Kontakt
  • Prowadzący
  • REJESTRACJA

    Koszt udziały w szkoleniu - 1699 zł + VAT
    Wypełnienie wszystkich pól jest wymagane

    Adres email (wymagane)

    Imię (wymagane)

    Nazwisko (wymagane)

    Stanowisko (wymagane)

    Nazwa firmy (wymagane)

    Branża (wymagane)

    Decyzyjność (wymagane)

    Miejscowość (wymagane)

    Kod pocztowy (wymagane)

    Ulica (wymagane)

    Telefon (wymagane)

    Skąd dowiedzieli się Państwo o szkoleniu?

    Oświadczam, że zapoznałem się z regulaminem

    OŚWIADCZENIE UCZESTNIKA O WYRAŻENIU ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH

    Oświadczam, iż wyrażam zgodę na przetwarzanie moich danych osobowych przez BAMT Sp. z o.o. Sp. komandytowa z siedzibą w Warszawie, ul.Płocka 5a, 01-231 Warszawa oraz, który jest administratorem moich danych osobowych w celu
    wykonania zamówionego świadczenia (realizacji umowy), oraz zgadzam się na przetwarzanie moich danych osobowych:
    - w celu informowania o innych usługach i ofertach BAMT Sp. z o.o. Sp. komandytowa oraz MANDARINE LTD,
    - w celu informowania o usługach, rekrutacjach i ofertach, prowadzonych rekrutacjach przez podmioty trzecie współpracujące z administratorem danych osobowych
    Oświadczam, iż zostałem poinformowany, iż mam prawo dostępu do treści swoich danych i ich poprawiania, oraz o dobrowolności podania danych.

    W związku z ustawą z dnia 18.07.2002 r. (Dz. U. nr 144, poz.1204) o świadczeniu usług drogą elektroniczną, wyrażam zgodę na otrzymywanie informacji handlowej pochodzącej od BAMT Sp. z o.o. Sp. komandytowa z siedzibą w Warszawie
    (ul. Płocka 5a, 01-231 Warszawa) oraz podmiotów powiązanych, parterów handlowych i sponsorów konferencji na podany w formularzu adres poczty elektronicznej.

    h2. Warunki uczestnictwa
    *Udział w szkoleniu jest płatny**
    _Warunkiem uczestnictwa jest dokonanie wcześniejszej rejestracji._
    *Potwierdzenie uczestnictwa w szkoleniu wysyłamy na podany podczas rejestracji adres e-mail.
    Uczestnikom spotkania zapewniamy przerwę kawową, komplet materiałów konferencyjnych, obiad.

O szkoleniu:

Oba dni warsztatów będą skupiały się wokół atakowania aplikacji, którą uczestnicy instalują na swoim laptopie. Zaczniemy od delikatnej teorii, ale gdy tylko przejdziemy przez podstawowe rzeczy, przechodzimy natychmiast do praktycznego testowania web aplikacji. Co ważne, nie będziemy na sucho testować kolejnych klas podatności, a raczej postaramy się zasymulować prawdziwy test penetracyjny ucząc Cię od A-Z tego jak przeprowadza się pentest  poza LAB.
Wiedzy jest mnóstwo i wypisane zostały najpopularniejsze rzeczy jednak ‚the rabbit hole goes much deeper’. Dlatego, zależnie od umiejętności grupy będziemy starać się zachować tempo dzięki, któremu nauczysz się jak najwięcej, najprawdopodobniej ponad to co jest wypisane w agendzie.

Dlaczego warto?

– uzyskasz przydatną w realnym świecie wiedzę i umiejętności od specjalisty bezpieczeństwa, który od lat na codzień testuje i buduje zabezpieczenia startupów i korporacji.
– zrozumiesz w jaki sposób możesz przeprowadzać ataki i implementować zabezpieczenia swoich aplikacji.
– zrozumiesz jak wygląda test penetracyjny od A do Z, tj począwszy od najprostszych testów aż po wyciąganie danych automatycznymi narzędziami
– nauczysz się w jaki sposób oceniać ryzyko znalezionych błędów bezpieczeństwa i z jakim priorytetem traktować swój security backlog
– posiadanie wiedzy z zakresu bezpieczeństwa mocno wyróżni Cię na tle innych pracowników i pomoże w znalezieniu lepszej pracy
w przyszłości w świecie IT nie będzie miejsca na programistów/testerów, którzy nie potrafią testować bezpieczeństwa, więc lepiej wyprzedzić oczekiwania branży

Szkolenie skierowane jest do:

– testerów oprogramowania
– programistów
– administratorów systemów
– każdego, kto chciałby zwiększyć swoją świadomość dotyczącą zagrożeń bezpieczeństwa, a także nauczyć się podstaw przeprowadzania testów penetracyjnych.

Wymagane kompetencje:

Powinieneś znać podstawy budowania aplikacji webowych, rozumieć czym jest SQL, HTML i JS. Mając podstawowe rozumienie tych zagadnień, powinieneś bez problemu rozumieć co będzie się działo i wyciągnąć coś dla siebie. Nie braknie też zaawansowanych zadań dla uczestników, którzy będą wyprzedzać resztę grup.

Uczestnikom zapewniamy:

– materiały szkoleniowe
– certyfikat
– przerwy kawowe
– przerwy obiadowe

Agenda

AGENDA

AGENDA
WPROWADZENIE – Czym są testy bezpieczeństwa aplikacji webowych?
– Dostępne metodologie webowych testów penetracyjnych.
– Dokąd zmierza branża testów bezpieczeństwa, tzn co umiera a co się rodzi.
WPROWADZENIE TECHNICZNE
– Omówienie architektury przykładowej aplikacji webowej.
– Omówienie podatności powstających na styku komponentów infrastruktury
– Rozróżnienie zagrożeń i ryzyk istniejących po stronie serwera i klienta
REKONESANS
(Teoria + CaseStudies + praktyczne testowanie w LAB)
– Użycie narzędzi takich jak Nmap, OpenVas, Shodan, Google Hackingu i wielu innych by odkryć aplikacje będące celem ataku.
– Crawling i bruteforcing ścieżek aplikacji celem poznania ukrytych elementów i lepszego zrozumienia funkcjonowania aplikacji
– Dynamiczne nawigowanie po aplikacji dla uzyskania kontekstu i perspektywy na temat potencjalnych zagrożeń specyficznych do danej aplikacji
PRZERWA Lunch
ATAKOWANIE WEBAPLIKACJI
(Teoria + CaseStudies + praktyczne testowanie w LAB):
– Enumeracja komponentów aplikacji
– Wyszukiwanie podatności serwera i komponentów aplikacji
– Generyczny Fuzzing aplikacji(wykrycie wycieku danych, informacji na temat obsługi błędów itp)
– Wyszukiwanie błędów w konfiguracji serwera- Wyjaśnienie ataków związanych z szyfrowaniem połączeń i implementacją bezpiecznego TLSa
– Wyjaśnienie poszczególnych klas podatności zawartych w OWASP TOP10
– W jaki sposób przeglądarki tworzą zagrożenie dla użytkowników, jakie mają zabezpieczenia i jak można je omijać
– Ataki Cross Site Scripting (XSS) i omijanie popularnych zabezpieczeń
– Ataki na niepoprawne zarządzanie sesją i ciasteczkami
– Eskalacja uprawnień
– Ataki Cross Site Request Forgery
– Ataki Path Traversal i eskalacja uprawnień w celu przejęcia kontroli nad serwerem przez zdalne wykonanie kodu
– Wyjaśnienie różnic pomiędzy bezpieczeństwem i atakami na różne popularne silniki baz danych
– Atakowanie silników przetwarzających dane w formacie XML
– Wyszukiwanie i eksploitacja podatności SQL Injection
– Wykorzystanie SQL injection do przejęcia kontroli nad serwerem
– Automatyzacja ataku SQL injection przy użyciu narzędzia SQLMap
– Bezpieczne sposoby przechowywania haseł i wyjaśnienie teorii za atakami na funkcje hashujące
PODSUMOWANIE ZAGROŻEŃ – Ryzykowne błędy w architekturze i projekcie webaplikacji
– Rozpoznawanie kontekstowych zagrożeń wynikających z zachowania aplikacji bądź poszczególnych funkcjonalności, tzw. błędy logiki biznesowej
– Automatyzacja testów bezpieczeństwa za pomocą Selenium i skryptów Pythonowych
– Wyjaśnienie testów regresyjnych w kontekście testów bezpieczeństwa
– Przegląd narzędzi wspomagających pracę pentestera
ZAKOŃCZENIE – Rozdanie certyfikatów
WYDRUKUJ AGENDĘ

KONTAKT

Kontakt

FORMULARZ REJESTRACJI

Koszt udziały w szkoleniu - 1699 zł + VAT
Wypełnienie wszystkich pól jest wymagane

Adres email (wymagane)

Imię (wymagane)

Nazwisko (wymagane)

Stanowisko (wymagane)

Nazwa firmy (wymagane)

Branża (wymagane)

Decyzyjność (wymagane)

Miejscowość (wymagane)

Kod pocztowy (wymagane)

Ulica (wymagane)

Telefon (wymagane)

Skąd dowiedzieli się Państwo o szkoleniu?

Oświadczam, że zapoznałem się z regulaminem

OŚWIADCZENIE UCZESTNIKA O WYRAŻENIU ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH

Oświadczam, iż wyrażam zgodę na przetwarzanie moich danych osobowych przez BAMT Sp. z o.o. Sp. komandytowa z siedzibą w Warszawie, ul.Płocka 5a, 01-231 Warszawa oraz, który jest administratorem moich danych osobowych w celu
wykonania zamówionego świadczenia (realizacji umowy), oraz zgadzam się na przetwarzanie moich danych osobowych:
- w celu informowania o innych usługach i ofertach BAMT Sp. z o.o. Sp. komandytowa oraz MANDARINE LTD,
- w celu informowania o usługach, rekrutacjach i ofertach, prowadzonych rekrutacjach przez podmioty trzecie współpracujące z administratorem danych osobowych
Oświadczam, iż zostałem poinformowany, iż mam prawo dostępu do treści swoich danych i ich poprawiania, oraz o dobrowolności podania danych.

W związku z ustawą z dnia 18.07.2002 r. (Dz. U. nr 144, poz.1204) o świadczeniu usług drogą elektroniczną, wyrażam zgodę na otrzymywanie informacji handlowej pochodzącej od BAMT Sp. z o.o. Sp. komandytowa z siedzibą w Warszawie
(ul. Płocka 5a, 01-231 Warszawa) oraz podmiotów powiązanych, parterów handlowych i sponsorów konferencji na podany w formularzu adres poczty elektronicznej.

h2. Warunki uczestnictwa
*Udział w szkoleniu jest płatny**
_Warunkiem uczestnictwa jest dokonanie wcześniejszej rejestracji._
*Potwierdzenie uczestnictwa w szkoleniu wysyłamy na podany podczas rejestracji adres e-mail.
Uczestnikom spotkania zapewniamy przerwę kawową, komplet materiałów konferencyjnych, obiad.


Radosław Parszewski

Radosław Parszewski

Chcesz zorganizować szkolenie zamknięte w swojej firmie? Napisz!

E-mail: radoslaw.parszewski@gigacon.org
Phone: (22)427 35 33
Mobile: 600 816 026

Prowadzący

Prowadzący

Dawid Bałut

Dawid Bałut

Architekt bezpieczeństwa IT, wykładowca uniwersytecki

Dawid ma ponad 6 lat doświadczenia w testowaniu bezpieczeństwa webaplikacji, aplikacji mobilnych i sieci. Był jednym z pierwszych ludzi, którzy globalnie zajmowali się bug huntingiem, jeszcze zanim bug bounty stało się popularne. Współpracował z kilkudziesiąciami firmami nad poprawą ich bezpieczeństwa, wliczając giganty takie jak Amazon, Blizzard, Apple, Paypal, Ebay, Facebook i wiele innych aplikacji z których korzystasz na codzień.

Dawid obecnie wykłada bezpieczeństwo webaplikacji na Uniwersytecie Adama Mickiewicza w Poznaniu, jest architektem bezpieczeństwa w korporacji z Doliny Krzemowej a w międzyczasie pomaga zagranicznym startupom i korporacjom budować programy bezpieczeństwa oraz szkoli nowe pokolenia pentesterów i programistów.
Główna różnica pomiędzy szkoleniami prowadzonymi przez Dawida, a wieloma innymi w branży jest to, że wszystko jest maksymalnie praktycznie i odzwierciedla sytuacje, które rzeczywiście mają miejsce w realnym świecie. 2 dni to niewiele czasu, więc skupiamy się tylko na tym co praktyczne i tym co najbardziej przyda Ci się jako programista lub tester oprogramowania. Bycie 'fancy', robienie pokazówek i opowiadanie bajek zostawia innym skupiając się jedynie na wartościach, które pomogą Ci wykonywać Twoją pracę lepiej.