Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Pakiet szkoleń Websecurity Master – NOWOŚĆ od sekuraka!

24 lipca 2024, 12:05 | Aktualności, W biegu | komentarze 2

8 października startujemy z najbardziej kompleksowym kursem bezpieczeństwa aplikacji webowych w Polsce! W nowej, przyjaznej zdalnej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków.

Co może wyniknąć z mieszanki 15 lat doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych, a do tego opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych? 

Najbardziej kompleksowy kurs poświęcony bezpieczeństwu aplikacji webowych w Polsce! 

Odważne stwierdzenie? Przeczytajcie i przekonajcie się sami 🙂 Do lektury szczególnie zachęcamy programistów, DevOpsów, pentesterów, administratorów sieci/systemów, osoby zainteresowane tematyką bezpieczeństwa aplikacji webowych, a także każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata. 

Cena pierwszej edycji kursu jest mocno promocyjna. Dla Czytelników sekuraka mamy jednak jeszcze ekstra bonus – do końca sierpnia możecie zamówić cały kurs (lub poszczególne moduły) z dodatkowym rabatem -15%!

Wystarczy kliknąć w link poniżej i użyć kodu: wakacje-master

Zapisy: https://sklep.securitum.pl/websecurity-master

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).

A CO TO KONKRETNIE JEST – TEN WEBSECURITY MASTER OD SEKURAKA?

Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły). 

  • MODUŁ IPodstawy bezpieczeństwa aplikacji webowych oraz dodatkowa sesja pytań i odpowiedzi na żywo,
  • MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych oraz dodatkowa sesja pytań i odpowiedzi na żywo.

Każda z sesji trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Jak będą wyglądały sesje szkoleniowe?

  • Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
  • Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).
  • Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.

Czego dowiesz się podczas szkolenia?

  • Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
  • Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
  • Dowiesz się, jak pisać bezpieczniejszy kod.
  • Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
  • Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
  • Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
  • Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:

  • podstawy bezpieczeństwa aplikacji webowych, 
  • podstawy JavaScript,
  • narzędzie Burp Suite.

Agenda

MODUŁ IPodstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

  • Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
  • Podstawy rekonesansu aplikacji webowych.
  • Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
  • Pokaz wieloetapowego ataku na aplikację webową.
  • Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
    • jak zaplanować testy bezpieczeństwa aplikacji, 
    • testy automatyczne vs testy ręczne,
    • raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

  • Przegląd wszystkich 10 klas podatności.
  • Omówienie ogólnych strategii obrony aplikacji przed atakami.
  • Pokazy na żywo.
  • LAB do realizacji przez uczestników.

Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

  • Bezpieczne przechowywanie haseł w aplikacji.
  • W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
  • Problemy z mechanizmami resetu hasła.
  • Podatności klasy IDOR.
  • Bezpieczeństwo JWT.
  • Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

  • Podatności klasy RCE/Command Injection:
    • mechanizmy uploadu,
    • przegląd podatności Command Injection,
    • problemy w bibliotekach,
    • inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
  • LAB do realizacji przez uczestników.

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

  • Przegląd częstych podatności występujących w aplikacjach webowych:
    • SQL Injection,
    • NoSQL Injection,
    • manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
    • podatność SSRF,
    • podatność Path Traversal,
    • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

  • Rekonesans.
  • Wykorzystanie kilku podatności.
  • Podniesienie uprawnień w atakowanym systemie.

Sesja pytań i odpowiedzi na żywo:

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ IIZaawansowane bezpieczeństwo aplikacji webowych

Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

  • Podatności związane z deserializacją.
  • Podatność SSTI.
  • Podatność Mass Assignment.
  • Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
  • LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

  • Czym jest WAF? 
  • Techniki omijania WAF.
  • HTTP request smuggling.
  • Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
  • Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
  • LAB do realizacji przez uczestników.

Sesja nr 3: Bezpieczeństwo API REST:

  • Omijanie zabezpieczeń dostępu do metod HTTP.
  • Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
  • Wycieki kluczy API.
  • Bezpieczeństwo OAuth2.
  • Wybrane klasyczne podatności webowe w kontekście API REST.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

  • Cross-Site Scripting – najistotniejsza podatność świata client-side.
  • Omówienie Same Origin Policy i trening praktycznych skutków XSS.
  • Typy XSS.
  • Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
  • Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
  • Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 
  • XSS a dopuszczanie fragmentów kodu HTML.
  • LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

  • Biblioteki JS (jQuery, Angular, React, Knockout).
  • Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
  • Podatność JSON Hijacking.
  • Podatność CSRF.
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

  • Wykorzystanie kilku podatności.
  • Ominięcie filtrów/WAF.
  • Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo:

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co dostaniesz w ramach szkolenia?

  • Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
  • Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
  • Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
  • Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
  • Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
  • Opis rozwiązań każdego z LAB-ów.
  • Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
  • Certyfikat ukończenia szkolenia (PDF).

Trenerzy

Marek Rzepecki

Zawodowy, etyczny hacker z zespołu Securitum i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Przeprowadził setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz testów odporności na ataki typu DDoS dla największych firm – zarówno polskich, jak i zagranicznych. Trener, który przeszkolił tysiące osób w Polsce i za granicą w zakresie bezpieczeństwa aplikacji i infrastruktury IT. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

Kamil Jarosiński

Konsultant do spraw bezpieczeństwa IT w Securitum. Na co dzień testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce. Aktywny trener, prelegent na konferencjach branżowych. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.

Mateusz Lewczak

Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.

Michał Sajdak

Założyciel Securitum oraz sekurak.pl. Współautor oraz redaktor bestsellerowych książek: Bezpieczeństwo aplikacji webowych i Wprowadzenie do bezpieczeństwa IT. Pomysłodawca projektów Sekurak.Academy, a także MEGA Sekurak Hacking Party. Certyfikowany Etyczny Hacker z ponadpiętnastoletnim doświadczeniem w dziedzinie technicznego bezpieczeństwa IT.

Robert Kruczek

Pentester, socjotechnik, etyczny hacker z zespołu Securitum, w wolnych chwilach programista, gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Ma na swoim koncie zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM… Doświadczony pentester aplikacji desktopowych i webowych. Człowiek, który skutecznie przełamuje zabezpieczenia fizyczne (i nie tylko), weryfikując podczas testów socjotechnicznych bezpieczeństwo organizacji. Prelegent na konferencjach branżowych, autor tekstów na sekurak.pl.

Kilka opinii o naszych kursach dotyczących bezpieczeństwa aplikacji

  • Same konkrety, brak lania wody – duża wiedza.
  • Część praktyczna – zadania do samodzielnego wykonania, a nie tylko sucha wiedza.
  • Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.
  • Fajne przykłady, nie za trudne, ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej… ale musiałby być dodatkowy dzień.
  • Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.
  • Ocena celująca.
  • Jasny i klarowny sposób prezentowania. Ogromna wiedza przekazywana w bardzo dostępny sposób.
  • Sporo ćwiczeń, wiedza przekazywana w bardzo przyswajalny sposób oraz wysoki poziom wiedzy prowadzącego, widać, że bezpieczeństwo poza pracą jest po prostu pasją.
  • Forma i łatwość, z jaką prowadzący przedstawiał informację + zadania praktyczne.
  • Świetnie, najciekawsze i najlepiej prowadzone szkolenia na jakich byłem.
  • Wiedza i kompetencje prowadzącego, dobre przekazanie wiedzy, interesujący temat szkolenia i realne korzyści z nabytej wiedzy.
  • Having a chance to practice and to experiment what was introduced with the right timing, the right resources and the right support in case of doubts. It made the difference between a common course and a real training. Well done!

W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).

~Łukasz Łopuszański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Będzie dostęp do nagrań po szkoleniu?
    I mała uwaga: sugerowałbym wykorzystania ZAPa zamiast Burpa. Burp w wersji Community ma już całkiem mocne ograniczenia. Kiedyś po Waszych szkoleniach go używałem, ale w którejś wersji jeszcze bardziej ograniczyli funkcjonalność i ostatecznie przeszedłem na ZAPa. Myślę, że ZAP jest lepszą opcją jeżeli ktoś nie chce płacić za Burpa (a większości ludzi którzy będą uczestniczyć w szkoleniu trudno będzie uzasadnić taki wydatek gdy pen testy to nie jest ich główne zajęcie).

    Odpowiedz
    • są nagrania – na zasadach zgodnie z opisem :-)

      Odpowiedz

Odpowiedz