Ładowanie Wydarzenia

« All Wydarzenia

Test Penetracyjny – jak wykonać go samemu w kilku prostych krokach?

Sierpień 26 @ 09:00 - Sierpień 27 @ 17:00

| 2099zł

Szczegóły

Start:
Sierpień 26 @ 09:00
Koniec:
Sierpień 27 @ 17:00
Koszt:
2099zł
Wydarzenie Tagi:
, , , ,

Miejsce

Centrum Konferencyjne Ogrodowa 58
Ogrodowa 58
Warszawa, mazowieckie Polska
+ Google Map

Na skróty:

  • O szkoleniu
  • Agenda
  • Kontakt
  • Prowadzący
  • REJESTRACJA

    Formularz rejestracji: Test penetracyjny - jak wykonać go samemu w kilku prostych krokach?
    Wyślij formularz rejestracji -->> dostaniesz potwierdzenie zapisu na szkolenie. Każde potwierdzenie wysyłamy ręcznie 🙂

    Standardowo otrzymasz fakturę proforma maksymalnie w ciągu 3 dni roboczych.
    Wysłanie formularza rejestracji zobowiązuje do zapłaty oraz uczestniczenia w szkoleniu.
    Procedura rezygnacji/odwołania jest opisana w Regulaminie

    Część pól jest wymagane

    Adres email (wymagane)

    * wpisz adres e-mail uczestnika szkolenia, jeśli chcesz zgłosić kilku uczestników, napisz na szkolenia@gigacon.org

    Imię (wymagane)

    Nazwisko (wymagane)

    Telefon (wymagane)

    Dane do faktury:

    Nazwa firmy

    Zgłaszając się jako osoba prywatna zostaw pole puste.

    NIP firmy

    Zgłaszając się jako osoba prywatna zostaw pole puste.

    Miejscowość (wymagane)

    Kod pocztowy (wymagane)

    Ulica (wymagane)

    ---------------------

    Zamawiam (wymagane)

    Termin szkolenia (wymagane)

    Skąd wiesz o szkoleniu?

    Uwagi/pytania/dodatkowe informacje

    Oświadczam, że zapoznałem się z polityką prywatności i regulaminem, i ją akceptuję.

    Szanujemy Państwa prywatność. Jeżeli z jakichkolwiek względów nie są Państwo w stanie zaakceptować warunków regulaminu udziału w szkoleniu, a chcieliby Państwo w nim uczestniczyć prosimy o kontakt mailowy: szkolenia@gigacon.org

    Wszystkie rejestracje potwierdzamy ręcznie.
    Jeśli masz pytania lub masz wątpliwość czy Twoje zgłoszenie zostało zarejestrowane, napisz: szkolenia@gigacon.org

Zamawiam szkolenie →

Formularz rejestracji: Test penetracyjny - jak wykonać go samemu w kilku prostych krokach?
Wyślij formularz rejestracji -->> dostaniesz potwierdzenie zapisu na szkolenie. Każde potwierdzenie wysyłamy ręcznie 🙂

Standardowo otrzymasz fakturę proforma maksymalnie w ciągu 3 dni roboczych.
Wysłanie formularza rejestracji zobowiązuje do zapłaty oraz uczestniczenia w szkoleniu.
Procedura rezygnacji/odwołania jest opisana w Regulaminie

Część pól jest wymagane

Adres email (wymagane)

* wpisz adres e-mail uczestnika szkolenia, jeśli chcesz zgłosić kilku uczestników, napisz na szkolenia@gigacon.org

Imię (wymagane)

Nazwisko (wymagane)

Telefon (wymagane)

Dane do faktury:

Nazwa firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

NIP firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

Miejscowość (wymagane)

Kod pocztowy (wymagane)

Ulica (wymagane)

---------------------

Zamawiam (wymagane)

Termin szkolenia (wymagane)

Skąd wiesz o szkoleniu?

Uwagi/pytania/dodatkowe informacje

Oświadczam, że zapoznałem się z polityką prywatności i regulaminem, i ją akceptuję.

Szanujemy Państwa prywatność. Jeżeli z jakichkolwiek względów nie są Państwo w stanie zaakceptować warunków regulaminu udziału w szkoleniu, a chcieliby Państwo w nim uczestniczyć prosimy o kontakt mailowy: szkolenia@gigacon.org

Wszystkie rejestracje potwierdzamy ręcznie.
Jeśli masz pytania lub masz wątpliwość czy Twoje zgłoszenie zostało zarejestrowane, napisz: szkolenia@gigacon.org

cel

Twoje i nasze cele:

  1. Zapoznanie się z rodzajami testów penetracyjnych, wymaganiami stawianymi przed zespołem testującym oraz etapami testu penetracyjnego.
  2. Zapoznanie z podstawowymi technikami i narzędziami wykorzystywanymi przez atakujących i pentesterów.
  3. Nauczenie się generowania raportów związanych z bezpieczeństwem, z wykorzystaniem darmowych narzędzi (skanerów podatności).
  4. Zapoznanie się ze wskazówkami odnośnie tworzenia raportów z testów penetracyjnych i elementami, które należy ująć w raporcie (przykładowy raport).
  5. Zdobycie umiejętności związanych z przeprowadzeniem podstawowej analizy podatności oraz wykorzystaniem gotowych exploitów.

dla ciebie

Korzyści dla uczestnika:

  • poznanie technik wykorzystywanych przez atakujących i pentesterów,

  • zaznajomienie z praktycznym wykorzystaniem wielu darmowych narzędzi w celu przeprowadzenia analizy bezpieczeństwa,

  • zdobycie podstawowych umiejętności z zakresu przeprowadzania testów penetracyjnych,

  • zdobycie podstawowej umiejętności identyfikacji obszarów szczególnie narażonych na cyberatak,

  • możliwość wykorzystania zdobytej wiedzy w praktyce do identyfikacji podatności w administrowanych systemach lub własnej infrastrukturze (sieci domowej).

Korzyści dla firmy:

  • możliwość przeprowadzenia podstawowego testu we własnym zakresie, co umożliwi identyfikację podatności, a także pozwoli zredukować koszty związane z późniejszymi testami/retestami,
  • znajomość narzędzi stosowanych przez pentesterów, umożliwiająca weryfikację, czy podatności zostały właściwie wyeliminowane (zanim zleci się wykonanie retestów, co może zredukować koszty przyszłych retestów),
  • zwiększona świadomość w zakresie bezpieczeństwa systemów i sieci oraz możliwych ataków,
  • zwiększenie zakresu kompetencji pracowników,
  • umiejętność sporządzenia wymagań względem zlecanych testów penetracyjnych,
  • redukcja potencjalnych kosztów związanych z włamaniami oraz wyciekiem danych poprzez możliwość samodzielnej weryfikacji stanu bezpieczeństwa.

dla kogo

Kto powinien wziąć udział?:

  • administratorzy systemów i sieci,
  • administratorzy bezpieczeństwa informacji,
  • przedstawiciele kadry zarządzającej (w celu podniesienia świadomości bezpieczeństwa, choćby poprzez bierne uczestnictwo),
  • pracownicy działów IT (w celu podniesienia świadomości bezpieczeństwa oraz umiejętności weryfikacji podatności na ataki systemów, usług i aplikacji),
  • developerzy (w celu praktycznego poznania metod ataków i podniesienia świadomości bezpieczeństwa),
  • audytorzy (w celu poznania technicznych aspektów weryfikacji stanu bezpieczeństwa).

po szkoleniu znasz

Po szkoleniu znasz:

* podstawowe etapy przeprowadzania testu penetracyjnego,
* popularne programy umożliwiające analizę podatności i generowanie raportów,
* rodzaje testów penetracyjnych oraz ich wady oraz zalety,
* elementy, które powinny być ujęte w końcowym raporcie,
* metodę określania stopnia krytyczności danej podatności CVSS,
* pojęcie hardeningu oraz miejsca skąd można pobrać listy hardeningowe umożliwiające bezpieczne skonfigurowanie systemów i aplikacji,
* wybrane techniki analizy oraz przełamywania zabezpieczeń.

Po szkoleniu potrafisz:

* pozyskać informacje o celu ataku w sposób pasywny i pół-pasywny,
* zidentyfikować aktywne IP, porty oraz usługi,
* wykorzystać skanery podatności do mapowania zagrożeń,
* wykorzystać popularne skrypty NSE,
* wykorzystać narzędzie localproxy do identyfikacji lub testowania podatności,
* uruchomić fałszywy serwer w celu pozyskania haseł,
* stworzyć „złośliwy” plik lub program (koń trojański),
* przeprowadzić ataki na hasła,
* zidentyfikować obszary, które nie są wystarczająco chronione,
* wykorzystać gotowe exploity,
* pozyskać dane z przejętych systemów,
* stworzyć raport,
* określić stopień krytyczności danej podatności.

czas

Czas trwania:

2 dni po 8 godzin z przerwami na kawę, ciacho i lunch.

otrzymasz od nas

Możesz spodziewać się:

  • 70% ćwiczeń praktycznych, każde większe zagadnienie zakończone jest labem z ćwiczeniami praktycznymi,
  • 30% wykładów z przykładami popartymi sytuacjami z prawdziwego życia, które z pewnością Cię zaskoczą,
  • dyskusji.

cena

Wartość:

First minute do końca czerwca: 2099 zł

Od 1 lipca: 2499 zł

 

Otrzymasz od nas:

  • materiały programowe,
  • przerwy kawowo-ciasteczkowe,
  • lunch każdego dnia,
  • certyfikat uczestnictwa.

Zamawiam szkolenie →

Formularz rejestracji: Test penetracyjny - jak wykonać go samemu w kilku prostych krokach?
Wyślij formularz rejestracji -->> dostaniesz potwierdzenie zapisu na szkolenie. Każde potwierdzenie wysyłamy ręcznie 🙂

Standardowo otrzymasz fakturę proforma maksymalnie w ciągu 3 dni roboczych.
Wysłanie formularza rejestracji zobowiązuje do zapłaty oraz uczestniczenia w szkoleniu.
Procedura rezygnacji/odwołania jest opisana w Regulaminie

Część pól jest wymagane

Adres email (wymagane)

* wpisz adres e-mail uczestnika szkolenia, jeśli chcesz zgłosić kilku uczestników, napisz na szkolenia@gigacon.org

Imię (wymagane)

Nazwisko (wymagane)

Telefon (wymagane)

Dane do faktury:

Nazwa firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

NIP firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

Miejscowość (wymagane)

Kod pocztowy (wymagane)

Ulica (wymagane)

---------------------

Zamawiam (wymagane)

Termin szkolenia (wymagane)

Skąd wiesz o szkoleniu?

Uwagi/pytania/dodatkowe informacje

Oświadczam, że zapoznałem się z polityką prywatności i regulaminem, i ją akceptuję.

Szanujemy Państwa prywatność. Jeżeli z jakichkolwiek względów nie są Państwo w stanie zaakceptować warunków regulaminu udziału w szkoleniu, a chcieliby Państwo w nim uczestniczyć prosimy o kontakt mailowy: szkolenia@gigacon.org

Wszystkie rejestracje potwierdzamy ręcznie.
Jeśli masz pytania lub masz wątpliwość czy Twoje zgłoszenie zostało zarejestrowane, napisz: szkolenia@gigacon.org

Agenda

AGENDA

    1. Pasywne pozyskiwanie informacji o celu ataku:
      • Google
      • WebArchive
      • VirusTotal
      • Media społecznościowe
      • Wykorzystanie narzędzi recon-ng, dig, theHarvester
    2. Półpasywne pozyskiwanie informacji: interakcja z celem ataku i pozyskiwanie wstępnych informacji:
      • określenie uptime
      • pozyskiwanie wewnętrznego IP ujawnianego przez load balancery
      • pozyskiwanie komentarzy oraz analiza informacji z meta tagów
      • analiza nagłówków
      • wykorzystanie narzędzia p0f
      • Wykorzystanie OWASP ZAP do pół-pasywnego pozyskiwania informacji o podatnościach
    3. Identyfikacja aktywnych hostów:
      • nmap: skanowanie IP oraz portów
      • nmap: efektywność skanowania
      • identyfikacja aktywnych hostów w sieci lokalnej
        1. arp-scan
        2. netdiscover
        3. tshark/tcpdump
    4. Enumeracja:
      • analiza banerów usług
      • identyfikacja usług
      • WWW: identyfikacja obecności plików i katalogów
      • wykorzystanie narzędzia NMAP do identyfikacji usług
      • enum4linux
      • identyfikacja popularnych zasobów dostępnych anonimowo (nmap, Metasploit)
    5. Mapowanie podatności:
      • WWW: wykorzystanie skanerów podatności: nikto, skipfish, arachni oraz generowanie raportów
      • WWW: pozyskiwanie kodu źródłowego stron:
        1. Wykorzystanie XXE
        2. Wykorzystanie LFI
        3. Inne techniki
      • Wykorzystanie narzędzia nmap oraz skryptów NSE i generowanie raportów
      • Wykorzystanie narzędzia OpenVAS
      • WWW: ataki SQL Injection – wykorzystanie narzędzia SQLmap
      • WWW: wykorzystanie narzędzia Burp oraz OWASP ZAP do ujawniania podatności
      • identyfikacja zabezpieczeń kryptograficznych: protokołów, algorytmów, podatności
    6. Inżynieria społeczna:
      • Wykorzystanie narzędzia BeEF
      • Wykorzystanie narzędzia Social Engineering Toolkit
      • Metasploit: Tworzenie koni trojańskich oraz „złośliwych” plików
    7. Przechwytywanie ruchu w sieci:
      • arp spoofing
      • tworzenie fałszywego serwera DHCP
      • wykorzystanie WPAD
      • Metasploit: tworzenie fałszywych serwerów i pozyskiwanie haseł
      • sniffing
    8. Exploitacja:
      • Wykorzystanie Metasploit Framework
      • Metasploit: importowanie wyników z narzędzia nmap
      • Metasploit: meterpreter
      • Metasploit: moduły post exploitacyjne
      • WWW – Remote Code Execution
        1. Wykorzystanie błędu deserializacji
        2. Wykorzystanie LFI/RFI
        3. Command injection
    9. Tunelowanie:
      • Wykorzystanie ICMP
      • Wykorzystanie SSH
      • Metasploit: forwardowanie portów
    10. Ataki na użytkowników i hasła:
      • Metasploit: Enumeracja użytkowników
      • Wfuzz: Enumeracja użytkowników
      • Wfuzz: odgadywanie haseł (ataki słownikowe)
      • Hydra: odgadywanie haseł (ataki słownikowe)
      • John: łamanie haseł
      • Cewl: generowaenie słowników na podstawie strony WWW
      • Crunch: tworzenie słownika haseł
    11. Tworzenie raportu:
      • Opis podatności i określanie stopnia krytyczności
      • Zalecenia naprawcze
      • Weryfikacja istnienia podatności

Prelegenci

TRENER

Artur Kalinowski

Artur Kalinowski

Administrator bezpieczeństwa, pentester, audytor

Od wielu lat związany z praktyczną stroną bezpieczeństwa IT. Autor szeregu szkoleń oraz warsztatów z dziedziny informatyki śledczej i bezpieczeństwa teleinformatycznego realizowanych m.in. na rzecz jednostek podległych Ministerstwu Finansów. Wykładowca przedmiotów takich jak informatyka śledcza, wyciek danych, bezpieczeństwo systemów i sieci. Prelegent na konferencjach związanych z bezpieczeństwem IT (CONFidence, 4Developers, IT Underground, Kariera IT, Forum Bankowości Elektronicznej). Ceniony członek zespołu administracyjnego zamkniętego forum związanego z bezpieczeństwem IT oraz wieloletni członek Stowarzyszenia Instytut Informatyki Śledczej. Autor książki “Metody Inwigilacji i Elementy Informatyki Śledczej” oraz artykułów związanych z przełamywaniem zabezpieczeń. Wieloletnie doświadczenie zawodowe, jak również praktyczna znajomość różnorodnych technik przełamywania zabezpieczeń, pozwalają całościowo spojrzeć na bezpieczeństwo, uwzględniając punkt widzenia programisty, administratora, jak również potencjalnego włamywacza.

Kontakt
Dział szkoleń

Dział szkoleń

Chcesz zorganizować szkolenie zamknięte w swojej firmie? Napisz!

e-mail: szkolenia@gigacon.org
tel. 506981902

Zamawiam szkolenie →

Formularz rejestracji: Test penetracyjny - jak wykonać go samemu w kilku prostych krokach?
Wyślij formularz rejestracji -->> dostaniesz potwierdzenie zapisu na szkolenie. Każde potwierdzenie wysyłamy ręcznie 🙂

Standardowo otrzymasz fakturę proforma maksymalnie w ciągu 3 dni roboczych.
Wysłanie formularza rejestracji zobowiązuje do zapłaty oraz uczestniczenia w szkoleniu.
Procedura rezygnacji/odwołania jest opisana w Regulaminie

Część pól jest wymagane

Adres email (wymagane)

* wpisz adres e-mail uczestnika szkolenia, jeśli chcesz zgłosić kilku uczestników, napisz na szkolenia@gigacon.org

Imię (wymagane)

Nazwisko (wymagane)

Telefon (wymagane)

Dane do faktury:

Nazwa firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

NIP firmy

Zgłaszając się jako osoba prywatna zostaw pole puste.

Miejscowość (wymagane)

Kod pocztowy (wymagane)

Ulica (wymagane)

---------------------

Zamawiam (wymagane)

Termin szkolenia (wymagane)

Skąd wiesz o szkoleniu?

Uwagi/pytania/dodatkowe informacje

Oświadczam, że zapoznałem się z polityką prywatności i regulaminem, i ją akceptuję.

Szanujemy Państwa prywatność. Jeżeli z jakichkolwiek względów nie są Państwo w stanie zaakceptować warunków regulaminu udziału w szkoleniu, a chcieliby Państwo w nim uczestniczyć prosimy o kontakt mailowy: szkolenia@gigacon.org

Wszystkie rejestracje potwierdzamy ręcznie.
Jeśli masz pytania lub masz wątpliwość czy Twoje zgłoszenie zostało zarejestrowane, napisz: szkolenia@gigacon.org

Patroni Medialni