Bezpieczeństwo API REST – 20 caseów, ćwiczenia offline, masa unikalnej wiedzy

10 października 2017, 18:17 | Aktualności | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ostatnio pracowicie zbieraliśmy wiedzę w tym temacie, w wyniku czego udało opracować się intensywne, praktyczne szkolenie z bezpieczeństwa API REST.

Temat jest dość unikalny, a w Internecie nie znajdziecie prawie żadnych kompleksowych opracowań z tego obszaru. Nasza prezentacja (przekazywana kursantom w formie elektronicznej) ma przeszło 200 interaktywnych slajdów, co wcale nie oznacza szkolenia teoretycznego. Praktyki jest bardzo dużo, a prezentacja służy jako kompleksowy przegląd po temacie bezpieczeństwa API REST.

Podatności YAML – przykładowy slajd

Na kursie zobaczycie około 20 realnych przykładów z podatności w API (m.in. z UBER, Airbnb, Twitter, Facebook, Nissan, Github, Equifax, Cisco…).

Dowiecie się np. też jak od niby prostego przetwarzania JSON-a czy XML-a dojść do zdalnego wykonania kodu, albo jak dostać się do API które teoretycznie nie jest udostępnione w Internecie… Oczywiście nie zabraknie też informacji o zabezpieczeniach. Po szkoleniu kursanci otrzymują dostęp do extra ćwiczeń (i teorii) w temacie bezpieczeństwa OAuth2.

Również jeszcze przed startem szkolenia przesyłamy 15 minutowy film + pierwsze praktyczne ćwiczenie, umożliwiające nabycie praktyki z wykorzystywanym na kursie narzędziuBurp Suite. Po co w końcu marnować czas na szkoleniu na naukę narzędzi? :-) Przykładowy zrzut ze screencastu:

Burp Screencast

Przejdźmy do dalszych konkretów. Pełna agenda poniżej:

  1. Krótki wstęp do API REST
  2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4. Omijanie zabezpieczeń dostępu do metod HTTP
  5. Cross-Site Request Forgery (CSRF)
  6. Server-Side Request forgery (SSRF)
  7. Podatności XML
    1. XXE
    2. Remote Code Execution
    3. XXE vs SSRF
  8. Podatności JSON vs. XML vs. YAML
  9. Deserializacja vs. bezpieczeństwo API
  10. Bezpieczeństwo JWT (JSON Web Tokens).
  11. Bezpieczeństwo Webhooks
  12. Wycieki kluczy API
  13. Bezpieczeństwo frameworków
  14. Automatyzacja testowania bezpieczeństwa API

Co kryje się za każdym z tych punktów? Praktyka. Zobaczcie np. zrzut ekranowy z jednego z ćwiczeń (poszukiwanie wycieków kluczy do API w publicznych źródłach). Analizujemy m.in. bazę, która skompresowana ma ok 5 GB. Na szkoleniu oczywiście dostępna jest bez czarnych pasków:

Wycieki…

Przykładowe slajdy ze szkolenia (szkolenie w j. angielskim prowadzone jest dla grup zamkniętych – a po polsku dla grup zamkniętych i otwartych).

Podatności YAML

Co z wyciekami kluczy… ?

Przykładowy slajd

 

 

Zainteresowany udziałem w szkoleniu z bezpieczeństwa API REST? Przy zapisach w tym roku – mamy promocyjną cenę 999 PLN netto za 1 osobę.

PS
W ramach Securitum realizujemy też testy penetracyjne API/aplikacji webowych, które mogą być połączone z dedykowaną prezentacją dla grupy Waszych developerów i/lub testerów.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MP

    A nie lepiej zrobić wideo kurs na 12h, za mniejsza cene? Sam bym chętnie kupił.

    Odpowiedz
    • Będzie coś podobnego w rozwal.to premium – różne tematy, ćwiczenia, teoria, filmy…

      Odpowiedz
      • Piotr

        Brzmi super, oglądałbym i płaciłbym. Macie może jakiś mniej lub bardziej konkretny termin typu około wiosny 2018, czy np koniec 2019?

        Odpowiedz
        • No generalnie szkolenie mamy gotowe z marszu (250 slajdów prezentacji – z czego większość to fajne kompendium o temacie) i dużo unikalnych ćwiczeń. Tylko prowadzimy tyle szkoleń, że najwcześniejszy termin to koniec Q1 2018 :(

          Odpowiedz

Odpowiedz