Chcesz zostać mistrzem zabezpieczania aplikacji webowych? Zapraszamy na nowy kurs Websecurity Master od sekuraka!

Już za trzy tygodnie (8 października) startuje Websecurity Master – w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa zgłoszonych już na niego uczestników :-) To owoc 15 lat naszego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych a także opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych. Szkolenia z bezpieczeństwa aplikacji www robimy nie od dziś, ale teraz przedstawiamy Wam propozycję szkoleniową w nowej, przyjaznej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków z zespołu sekurak/Securitum.

Jeżeli jesteś programistą, DevOpsem, pentesterem, administratorem sieci/systemów, osobą zainteresowaną tematyką bezpieczeństwa aplikacji webowych, czy też po prostu przedstawicielem świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata to koniecznie przeczytaj ten post i przekonaj się co ciekawego proponujemy! 🙂

I. DLACZEGO UWAŻAMY, ŻE TO NAJLEPSZY KURS NA RYNKU?

Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły). 

• MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną  sesję Q&A.
• MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną  sesję Q&A.

Każda z sesji szkoleniowych trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Jak będą wyglądały sesje szkoleniowe?

• Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
• Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.

Czego dowiesz się podczas szkolenia?

• Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
• Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
• Dowiesz się, jak pisać bezpieczniejszy kod.
• Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
• Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
• Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
• Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:

• podstawy bezpieczeństwa aplikacji webowych, 
• podstawy JavaScript,
• narzędzie Burp Suite.

II. AGENDA

Poniżej znajdziesz kompletną agendą oraz terminy poszczególnych zajęć. Przypominamy, że z poszczególnych sesji będą dostępne nagrania, więc w razie jak nie będziesz mógł wziąć udziału, będziesz mógł obejrzeć szkolenie w dogodnym terminie.

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

• Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
• Podstawy rekonesansu aplikacji webowych.
• Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
• Pokaz wieloetapowego ataku na aplikację webową.
• Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
  • jak zaplanować testy bezpieczeństwa aplikacji, 
  • testy automatyczne vs testy ręczne,
  • raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

• Przegląd wszystkich 10 klas podatności.
• Omówienie ogólnych strategii obrony aplikacji przed atakami.
• Pokazy na żywo.
• LAB do realizacji przez uczestników.

Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

• Bezpieczne przechowywanie haseł w aplikacji.
• W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
• Problemy z mechanizmami resetu hasła.
• Podatności klasy IDOR.
• Bezpieczeństwo JWT.
• Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
• LAB do realizacji przez uczestników.

Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

• Podatności klasy RCE/Command Injection:
  • mechanizmy uploadu,
  • przegląd podatności Command Injection,
  • problemy w bibliotekach,
  • inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
• LAB do realizacji przez uczestników.

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

• Przegląd częstych podatności występujących w aplikacjach webowych:
  • SQL Injection,
  • NoSQL Injection,
  • manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
  • podatność SSRF,
  • podatność Path Traversal,
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

• Rekonesans.
• Wykorzystanie kilku podatności.
• Podniesienie uprawnień w atakowanym systemie.

Sesja pytań i odpowiedzi na żywo po Module I:

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

• Podatności związane z deserializacją.
• Podatność SSTI.
• Podatność Mass Assignment.
• Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
• LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

• Czym jest WAF? 
• Techniki omijania WAF.
• HTTP request smuggling.
• Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
• Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
• LAB do realizacji przez uczestników.

Sesja nr 3: Bezpieczeństwo API REST:

• Omijanie zabezpieczeń dostępu do metod HTTP.
• Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
• Wycieki kluczy API.
• Bezpieczeństwo OAuth2.
• Wybrane klasyczne podatności webowe w kontekście API REST.
• LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

• Cross-Site Scripting – najistotniejsza podatność świata client-side.
• Omówienie Same Origin Policy i trening praktycznych skutków XSS.
• Typy XSS.
• Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
• Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
• Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 
• XSS a dopuszczanie fragmentów kodu HTML.
• LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

• Biblioteki JS (jQuery, Angular, React, Knockout).
• Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
• Podatność JSON Hijacking.
• Podatność CSRF.
• LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

• Wykorzystanie kilku podatności.
• Ominięcie filtrów/WAF.
• Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo po Module II:

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

III. HARMONOGRAM

Moduł I (podstawowy)

-sesja 1 – 8.10.2024, w godz. 9.00-14.00

-sesja 2 – 15.10.2024, w godz. 9.00-14.00

-sesja 3 – 22.10.2024, w godz. 9.00-14.00

-sesja 4 – 29.10.2024, w godz. 9.00-14.00

-sesja 5 – 5.11.2024, w godz. 9.00-14.00

-sesja 6 – 19.11.2024, w godz. 9.00-14.00

-sesja Q&A -19.11.2024 – godzina 19:00

Moduł II (zaawansowany)

-sesja 1 – 26.11.2024, w godz. 9.00-14.00

-sesja 2 – 3.12.2024, w godz. 9.00-14.00

-sesja 3 – 10.12.2024, w godz. 9.00-14.00

-sesja 4 – 17.12.2024, w godz. 9.00-14.00

-sesja 5 – 14.01.2025, w godz. 9.00-14.00

-sesja 6 -21.01.2025, w godz. 9.00-14.00

-sesja Q&A -21.01.2025 – godzina 19:00

W czas trwania sesji szkoleniowych wliczono przerwy.

IV. KORZYŚCI I BONUSY – CO OTRZYMUJESZ W RAMACH UCZESTNICTWA W SZKOLENIU?

• Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
• Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
• Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
• Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
• Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
• Opis rozwiązań każdego z LAB-ów.
• Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
• Certyfikat ukończenia szkolenia (PDF), w języku polskim i angielskim.

V. SEKURAKOWY “DREAM TEAM” – KTO PROWADZI SZKOLENIE?

Prowadzenie kursu Websecurity Master od sekuraka powierzyliśmy naszym najbardziej doświadczonym i cenionym przez Was trenerom-praktykom. To sami pasjonaci, którzy nie tylko mają MEGA wiedzę i doświadczenie, ale co ważne, potrafią ją przekazać innym. W sposób przyjazny, praktyczny i zawsze w oparciu o aktualny stan wiedzy :-)  

Michał Sajdak

Marek Rzepecki

Kamil Jarosiński

Mateusz Lewczak

Robert Kruczek

W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).