Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Sprawdź VPS od Aruba!

Aruba

Bezpieczeństwo frontendu aplikacji webowych – zapraszamy na unikalne szkolenie Michała Bentkowskiego

08 września 2021, 17:00 | W biegu | 0 komentarzy

Jeśli interesują Was szkolenia dedykowane programistom/testerom/pentesterom to zapraszamy do odwiedzenia naszego nowego projektu: Securitum Web Lab (https://weblab.securitum.pl/).

Bezpieczeństwo frontendu aplikacji webowych to jedno ze szkoleń, które tam Wam proponujemy. Prowadzi je Michał Bentkowski, topowy pentester i badacz bezpieczeństwa – który do samego Google zgłosił przeszło 20 podatności, za które otrzymał ~60 tysięcy USD.

Szkolenie realizowane w trybie zdalnym rozpoczyna się już niebawem (16-17.09.2021r.) – a możecie w nim uczestniczyć w atrakcyjnej cenie 999 PLN netto (2 dni) / osoba – zamiast 1450 PLN netto. Aby uzyskać obniżoną cenę wystarczy powołać się podczas rejestracji na ten wpis :)

Agenda:

1. Wprowadzenie do szkolenia i technologii client-side.
2. Cross-Site Scripting – najistotniejsza podatność świata client-side.

  • omówienie Same Origin Policy
  • omówienia i trening praktycznych skutków XSS-ów,
  • typy XSS,
  • omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików)
  • omówienie punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML)
  • omówienie metod ochrony przed XSS
  • techniki omijania filtrów XSS
  • XSS-y a dopuszczanie fragmentów kodu HTML.

3. Inne ataki działające po stronie przeglądarek:

  •  Cross-Site Request Forgery
  •  Clickjacking,
  •  RPO (Relative Path Overwrite)/ataki z użyciem CSS,
  •  JSON hijacking,
  •  Dangling markup.

4. Problemy bezpieczeństwa elementów API HTML5:

  •  postMessage,
  •  CORS (Cross-Origin Resource Sharing),
  •  Service Workers,
  •  Web Sockets.

5. Content-Security-Policy – remedium na problemy bezpieczeństwa czy piekło wdrożenia?

  •  wyjaśnienie idei CSP,
  •  omówienie dyrektyw CSP,
  •  omówienie sposobów obejścia CSP,
  •  omówienie problemów przy wdrażaniu CSP.

6. Sposoby zwiększania bezpieczeństwa frontendu

  •  nagłówki bezpieczeństwa (X-Frame-Options, Public-Key-Pins, Strict-Transport-Security i inne),
  • flagi ciasteczek,
  • dobre praktyki w pisaniu aplikacji.

7. Biblioteki JS (jQuery, Angular, React, Knockout)

  •  problemy bezpieczeństwa bibliotek JS,
  •  wstrzyknięcia szablonów,
  •  naruszenie dotychczasowych założeń bezpieczeństwa.

8. Bug bounty

  •  kwestie organizacyjne programów bug bounty na przykładzie Google
  •  techniczne omówienie znalezionych błędów.

9. Ćwiczenie podsumowujące – wykorzystanie podatności client-side do
wydobywania danych z innych domen.

10. Podsumowanie szkolenia: krótkie podsumowanie wszystkich metod ataku
i ochrony omówionych na szkoleniu.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz