Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Chcesz zostać mistrzem zabezpieczania aplikacji webowych? Zapraszamy na nowy kurs Websecurity Master od sekuraka!

18 września 2024, 22:04 | Aktualności | 0 komentarzy

Już za trzy tygodnie (8 października) startuje Websecurity Master – w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa zgłoszonych już na niego uczestników :-) To owoc 15 lat naszego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych a także opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych. Szkolenia z bezpieczeństwa aplikacji www robimy nie od dziś, ale teraz przedstawiamy Wam propozycję szkoleniową w nowej, przyjaznej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków z zespołu sekurak/Securitum.

Jeżeli jesteś programistą, DevOpsem, pentesterem, administratorem sieci/systemów, osobą zainteresowaną tematyką bezpieczeństwa aplikacji webowych, czy też po prostu przedstawicielem świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata to koniecznie przeczytaj ten post i przekonaj się co ciekawego proponujemy! 🙂

Cena pierwszej edycji kursu jest mocno promocyjna. Dla Czytelników sekuraka mamy jednak jeszcze ekstra bonus – do końca września możecie zamówić cały kurs (lub poszczególne moduły) z dodatkowym rabatem -10%!

Wystarczy kliknąć w link poniżej i użyć kodu: websecmaster

Zapisy: https://sklep.securitum.pl/websecurity-master

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).

I. DLACZEGO UWAŻAMY, ŻE TO NAJLEPSZY KURS NA RYNKU?

Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły). 

  • MODUŁ IPodstawy bezpieczeństwa aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną  sesję Q&A.
  • MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną  sesję Q&A.

Każda z sesji szkoleniowych trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Jak będą wyglądały sesje szkoleniowe?

  • Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
  • Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).

Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.

Czego dowiesz się podczas szkolenia?

  • Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
  • Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
  • Dowiesz się, jak pisać bezpieczniejszy kod.
  • Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
  • Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
  • Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
  • Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:

  • podstawy bezpieczeństwa aplikacji webowych, 
  • podstawy JavaScript,
  • narzędzie Burp Suite.

II. AGENDA

Poniżej znajdziesz kompletną agendą oraz terminy poszczególnych zajęć. Przypominamy, że z poszczególnych sesji będą dostępne nagrania, więc w razie jak nie będziesz mógł wziąć udziału, będziesz mógł obejrzeć szkolenie w dogodnym terminie.

MODUŁ IPodstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

  • Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
  • Podstawy rekonesansu aplikacji webowych.
  • Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
  • Pokaz wieloetapowego ataku na aplikację webową.
  • Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
    • jak zaplanować testy bezpieczeństwa aplikacji, 
    • testy automatyczne vs testy ręczne,
    • raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

  • Przegląd wszystkich 10 klas podatności.
  • Omówienie ogólnych strategii obrony aplikacji przed atakami.
  • Pokazy na żywo.
  • LAB do realizacji przez uczestników.

Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

  • Bezpieczne przechowywanie haseł w aplikacji.
  • W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
  • Problemy z mechanizmami resetu hasła.
  • Podatności klasy IDOR.
  • Bezpieczeństwo JWT.
  • Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

  • Podatności klasy RCE/Command Injection:
    • mechanizmy uploadu,
    • przegląd podatności Command Injection,
    • problemy w bibliotekach,
    • inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
  • LAB do realizacji przez uczestników.

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

  • Przegląd częstych podatności występujących w aplikacjach webowych:
    • SQL Injection,
    • NoSQL Injection,
    • manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
    • podatność SSRF,
    • podatność Path Traversal,
    • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

  • Rekonesans.
  • Wykorzystanie kilku podatności.
  • Podniesienie uprawnień w atakowanym systemie.

Sesja pytań i odpowiedzi na żywo po Module I:

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ IIZaawansowane bezpieczeństwo aplikacji webowych

Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

  • Podatności związane z deserializacją.
  • Podatność SSTI.
  • Podatność Mass Assignment.
  • Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
  • LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

  • Czym jest WAF? 
  • Techniki omijania WAF.
  • HTTP request smuggling.
  • Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
  • Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
  • LAB do realizacji przez uczestników.

Sesja nr 3: Bezpieczeństwo API REST:

  • Omijanie zabezpieczeń dostępu do metod HTTP.
  • Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
  • Wycieki kluczy API.
  • Bezpieczeństwo OAuth2.
  • Wybrane klasyczne podatności webowe w kontekście API REST.
  • LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

  • Cross-Site Scripting – najistotniejsza podatność świata client-side.
  • Omówienie Same Origin Policy i trening praktycznych skutków XSS.
  • Typy XSS.
  • Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
  • Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
  • Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 
  • XSS a dopuszczanie fragmentów kodu HTML.
  • LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

  • Biblioteki JS (jQuery, Angular, React, Knockout).
  • Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
  • Podatność JSON Hijacking.
  • Podatność CSRF.
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

  • Wykorzystanie kilku podatności.
  • Ominięcie filtrów/WAF.
  • Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo po Module II:

  • Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
  • Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

III. HARMONOGRAM

Moduł I (podstawowy)

-sesja 1 – 8.10.2024, w godz. 9.00-14.00

-sesja 2 – 15.10.2024, w godz. 9.00-14.00

-sesja 3 – 22.10.2024, w godz. 9.00-14.00

-sesja 4 – 29.10.2024, w godz. 9.00-14.00

-sesja 5 – 5.11.2024, w godz. 9.00-14.00

-sesja 6 – 19.11.2024, w godz. 9.00-14.00

-sesja Q&A -19.11.2024 – godzina 19:00

Moduł II (zaawansowany)

-sesja 1 – 26.11.2024, w godz. 9.00-14.00

-sesja 2 – 3.12.2024, w godz. 9.00-14.00

-sesja 3 – 10.12.2024, w godz. 9.00-14.00

-sesja 4 – 17.12.2024, w godz. 9.00-14.00

-sesja 5 – 14.01.2025, w godz. 9.00-14.00

-sesja 6 -21.01.2025, w godz. 9.00-14.00

-sesja Q&A -21.01.2025 – godzina 19:00

W czas trwania sesji szkoleniowych wliczono przerwy.

IV. KORZYŚCI I BONUSY – CO OTRZYMUJESZ W RAMACH UCZESTNICTWA W SZKOLENIU?

  • Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
  • Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
  • Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
  • Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
  • Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
  • Opis rozwiązań każdego z LAB-ów.
  • Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
  • Certyfikat ukończenia szkolenia (PDF), w języku polskim i angielskim.

V. SEKURAKOWY “DREAM TEAM” – KTO PROWADZI SZKOLENIE?

Prowadzenie kursu Websecurity Master od sekuraka powierzyliśmy naszym najbardziej doświadczonym i cenionym przez Was trenerom-praktykom. To sami pasjonaci, którzy nie tylko mają MEGA wiedzę i doświadczenie, ale co ważne, potrafią ją przekazać innym. W sposób przyjazny, praktyczny i zawsze w oparciu o aktualny stan wiedzy :-)  

Michał Sajdak

Założyciel Securitum oraz sekurak.pl. Współautor oraz redaktor bestsellerowych książek: Bezpieczeństwo aplikacji webowych i Wprowadzenie do bezpieczeństwa IT. Pomysłodawca projektów Sekurak.Academy, a także MEGA Sekurak Hacking Party. Certyfikowany Etyczny Hacker z ponadpiętnastoletnim doświadczeniem w dziedzinie technicznego bezpieczeństwa IT.

Marek Rzepecki

Zawodowy, etyczny hacker z zespołu Securitum i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Przeprowadził setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz testów odporności na ataki typu DDoS dla największych firm – zarówno polskich, jak i zagranicznych. Trener, który przeszkolił tysiące osób w Polsce i za granicą w zakresie bezpieczeństwa aplikacji i infrastruktury IT. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.

Kamil Jarosiński

Konsultant do spraw bezpieczeństwa IT w Securitum. Na co dzień testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce. Aktywny trener, prelegent na konferencjach branżowych. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.

Mateusz Lewczak

Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.

Robert Kruczek

Pentester, socjotechnik, etyczny hacker z zespołu Securitum, w wolnych chwilach programista, gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Ma na swoim koncie zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM… Doświadczony pentester aplikacji desktopowych i webowych. Człowiek, który skutecznie przełamuje zabezpieczenia fizyczne (i nie tylko), weryfikując podczas testów socjotechnicznych bezpieczeństwo organizacji. Prelegent na konferencjach branżowych, autor tekstów na sekurak.pl.

W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz