Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Chcesz zostać mistrzem zabezpieczania aplikacji webowych? Zapraszamy na nowy kurs Websecurity Master od sekuraka!
Już za trzy tygodnie (8 października) startuje Websecurity Master – w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa zgłoszonych już na niego uczestników :-) To owoc 15 lat naszego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych a także opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych. Szkolenia z bezpieczeństwa aplikacji www robimy nie od dziś, ale teraz przedstawiamy Wam propozycję szkoleniową w nowej, przyjaznej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków z zespołu sekurak/Securitum.
Jeżeli jesteś programistą, DevOpsem, pentesterem, administratorem sieci/systemów, osobą zainteresowaną tematyką bezpieczeństwa aplikacji webowych, czy też po prostu przedstawicielem świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata to koniecznie przeczytaj ten post i przekonaj się co ciekawego proponujemy! 🙂
Cena pierwszej edycji kursu jest mocno promocyjna. Dla Czytelników sekuraka mamy jednak jeszcze ekstra bonus – do końca września możecie zamówić cały kurs (lub poszczególne moduły) z dodatkowym rabatem -10%!
Wystarczy kliknąć w link poniżej i użyć kodu: websecmaster
Zapisy: https://sklep.securitum.pl/websecurity-master
Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).
I. DLACZEGO UWAŻAMY, ŻE TO NAJLEPSZY KURS NA RYNKU?
Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły).
- MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną sesję Q&A.
- MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną sesję Q&A.
Każda z sesji szkoleniowych trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.
Jak będą wyglądały sesje szkoleniowe?
- Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
- Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).
Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.
Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.
Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.
Czego dowiesz się podczas szkolenia?
- Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
- Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
- Dowiesz się, jak pisać bezpieczniejszy kod.
- Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
- Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
- Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
- Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.
[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
- podstawy bezpieczeństwa aplikacji webowych,
- podstawy JavaScript,
- narzędzie Burp Suite.
II. AGENDA
Poniżej znajdziesz kompletną agendą oraz terminy poszczególnych zajęć. Przypominamy, że z poszczególnych sesji będą dostępne nagrania, więc w razie jak nie będziesz mógł wziąć udziału, będziesz mógł obejrzeć szkolenie w dogodnym terminie.
MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych
Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:
- Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
- Podstawy rekonesansu aplikacji webowych.
- Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
- Pokaz wieloetapowego ataku na aplikację webową.
- Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
- jak zaplanować testy bezpieczeństwa aplikacji,
- testy automatyczne vs testy ręczne,
- raportowanie.
Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:
- Przegląd wszystkich 10 klas podatności.
- Omówienie ogólnych strategii obrony aplikacji przed atakami.
- Pokazy na żywo.
- LAB do realizacji przez uczestników.
Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:
- Bezpieczne przechowywanie haseł w aplikacji.
- W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
- Problemy z mechanizmami resetu hasła.
- Podatności klasy IDOR.
- Bezpieczeństwo JWT.
- Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
- LAB do realizacji przez uczestników.
Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):
- Podatności klasy RCE/Command Injection:
- mechanizmy uploadu,
- przegląd podatności Command Injection,
- problemy w bibliotekach,
- inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
- LAB do realizacji przez uczestników.
Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):
- Przegląd częstych podatności występujących w aplikacjach webowych:
- SQL Injection,
- NoSQL Injection,
- manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
- podatność SSRF,
- podatność Path Traversal,
- LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia:
- Rekonesans.
- Wykorzystanie kilku podatności.
- Podniesienie uprawnień w atakowanym systemie.
Sesja pytań i odpowiedzi na żywo po Module I:
- Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
- Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych
Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):
- Podatności związane z deserializacją.
- Podatność SSTI.
- Podatność Mass Assignment.
- Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
- LAB do realizacji przez uczestników.
Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):
- Czym jest WAF?
- Techniki omijania WAF.
- HTTP request smuggling.
- Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
- Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
- LAB do realizacji przez uczestników.
Sesja nr 3: Bezpieczeństwo API REST:
- Omijanie zabezpieczeń dostępu do metod HTTP.
- Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
- Wycieki kluczy API.
- Bezpieczeństwo OAuth2.
- Wybrane klasyczne podatności webowe w kontekście API REST.
- LAB do realizacji przez uczestników.
Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):
- Cross-Site Scripting – najistotniejsza podatność świata client-side.
- Omówienie Same Origin Policy i trening praktycznych skutków XSS.
- Typy XSS.
- Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
- Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
- Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS.
- XSS a dopuszczanie fragmentów kodu HTML.
- LAB do realizacji przez uczestników.
Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):
- Biblioteki JS (jQuery, Angular, React, Knockout).
- Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
- Podatność JSON Hijacking.
- Podatność CSRF.
- LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:
- Wykorzystanie kilku podatności.
- Ominięcie filtrów/WAF.
- Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.
Sesja pytań i odpowiedzi na żywo po Module II:
- Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
- Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
III. HARMONOGRAM
Moduł I (podstawowy)
-sesja 1 – 8.10.2024, w godz. 9.00-14.00
-sesja 2 – 15.10.2024, w godz. 9.00-14.00
-sesja 3 – 22.10.2024, w godz. 9.00-14.00
-sesja 4 – 29.10.2024, w godz. 9.00-14.00
-sesja 5 – 5.11.2024, w godz. 9.00-14.00
-sesja 6 – 19.11.2024, w godz. 9.00-14.00
-sesja Q&A -19.11.2024 – godzina 19:00
Moduł II (zaawansowany)
-sesja 1 – 26.11.2024, w godz. 9.00-14.00
-sesja 2 – 3.12.2024, w godz. 9.00-14.00
-sesja 3 – 10.12.2024, w godz. 9.00-14.00
-sesja 4 – 17.12.2024, w godz. 9.00-14.00
-sesja 5 – 14.01.2025, w godz. 9.00-14.00
-sesja 6 -21.01.2025, w godz. 9.00-14.00
-sesja Q&A -21.01.2025 – godzina 19:00
W czas trwania sesji szkoleniowych wliczono przerwy.
IV. KORZYŚCI I BONUSY – CO OTRZYMUJESZ W RAMACH UCZESTNICTWA W SZKOLENIU?
- Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
- Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
- Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
- Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
- Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
- Opis rozwiązań każdego z LAB-ów.
- Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
- Certyfikat ukończenia szkolenia (PDF), w języku polskim i angielskim.
V. SEKURAKOWY “DREAM TEAM” – KTO PROWADZI SZKOLENIE?
Prowadzenie kursu Websecurity Master od sekuraka powierzyliśmy naszym najbardziej doświadczonym i cenionym przez Was trenerom-praktykom. To sami pasjonaci, którzy nie tylko mają MEGA wiedzę i doświadczenie, ale co ważne, potrafią ją przekazać innym. W sposób przyjazny, praktyczny i zawsze w oparciu o aktualny stan wiedzy :-)
Michał Sajdak
Założyciel Securitum oraz sekurak.pl. Współautor oraz redaktor bestsellerowych książek: Bezpieczeństwo aplikacji webowych i Wprowadzenie do bezpieczeństwa IT. Pomysłodawca projektów Sekurak.Academy, a także MEGA Sekurak Hacking Party. Certyfikowany Etyczny Hacker z ponadpiętnastoletnim doświadczeniem w dziedzinie technicznego bezpieczeństwa IT.
Marek Rzepecki
Zawodowy, etyczny hacker z zespołu Securitum i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Przeprowadził setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz testów odporności na ataki typu DDoS dla największych firm – zarówno polskich, jak i zagranicznych. Trener, który przeszkolił tysiące osób w Polsce i za granicą w zakresie bezpieczeństwa aplikacji i infrastruktury IT. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.
Kamil Jarosiński
Konsultant do spraw bezpieczeństwa IT w Securitum. Na co dzień testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce. Aktywny trener, prelegent na konferencjach branżowych. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.
Mateusz Lewczak
Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.
Robert Kruczek
Pentester, socjotechnik, etyczny hacker z zespołu Securitum, w wolnych chwilach programista, gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Ma na swoim koncie zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM… Doświadczony pentester aplikacji desktopowych i webowych. Człowiek, który skutecznie przełamuje zabezpieczenia fizyczne (i nie tylko), weryfikując podczas testów socjotechnicznych bezpieczeństwo organizacji. Prelegent na konferencjach branżowych, autor tekstów na sekurak.pl.
W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl
Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).