Już za trzy tygodnie (8 października) startuje Websecurity Master– w naszej ocenie najbardziej kompleksowy kurs bezpieczeństwa aplikacji webowych w Polsce, pomyślany w swojej formule tak, że adresuje potrzeby zarówno początkujących jak i zaawansowanych w temacie. Kurs, z którego jesteśmy dumni i na który czekamy równie niecierpliwie jak spora grupa zgłoszonych już na niego uczestników :-)To owoc 15 lat naszego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych a także opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych. Szkolenia z bezpieczeństwa aplikacji www robimy nie od dziś, ale teraz przedstawiamy Wam propozycję szkoleniową w nowej, przyjaznej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków z zespołu sekurak/Securitum.
Jeżeli jesteś programistą, DevOpsem, pentesterem, administratorem sieci/systemów, osobą zainteresowaną tematyką bezpieczeństwa aplikacji webowych, czy też po prostu przedstawicielem świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata to koniecznie przeczytaj ten post i przekonaj się co ciekawego proponujemy! 🙂
Cena pierwszej edycji kursu jest mocno promocyjna. Dla Czytelników sekuraka mamy jednak jeszcze ekstra bonus – do końca września możecie zamówić cały kurs (lub poszczególne moduły) z dodatkowym rabatem -10%!
Wystarczy kliknąć w link poniżej i użyć kodu: websecmaster
Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).
I. DLACZEGO UWAŻAMY, ŻE TO NAJLEPSZY KURS NA RYNKU?
Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły).
MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną sesję Q&A.
MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych – obejmuje 6 czterogodzinnych sesji szkoleniowych i dodatkową, dwugodzinną sesję Q&A.
Każda z sesji szkoleniowych trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.
Jak będą wyglądały sesje szkoleniowe?
Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).
Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.
Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.
Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.
Czego dowiesz się podczas szkolenia?
Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
Dowiesz się, jak pisać bezpieczniejszy kod.
Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.
[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
podstawy bezpieczeństwa aplikacji webowych,
podstawy JavaScript,
narzędzie Burp Suite.
II. AGENDA
Poniżej znajdziesz kompletną agendą oraz terminy poszczególnych zajęć. Przypominamy, że z poszczególnych sesji będą dostępne nagrania, więc w razie jak nie będziesz mógł wziąć udziału, będziesz mógł obejrzeć szkolenie w dogodnym terminie.
MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych
Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:
Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
Podstawy rekonesansu aplikacji webowych.
Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
Pokaz wieloetapowego ataku na aplikację webową.
Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
jak zaplanować testy bezpieczeństwa aplikacji,
testy automatyczne vs testy ręczne,
raportowanie.
Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:
Przegląd wszystkich 10 klas podatności.
Omówienie ogólnych strategii obrony aplikacji przed atakami.
Pokazy na żywo.
LAB do realizacji przez uczestników.
Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:
Bezpieczne przechowywanie haseł w aplikacji.
W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):
Podatności klasy RCE/Command Injection:
mechanizmy uploadu,
przegląd podatności Command Injection,
problemy w bibliotekach,
inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
LAB do realizacji przez uczestników.
Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):
Przegląd częstych podatności występujących w aplikacjach webowych:
SQL Injection,
NoSQL Injection,
manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
podatność SSRF,
podatność Path Traversal,
LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia:
Rekonesans.
Wykorzystanie kilku podatności.
Podniesienie uprawnień w atakowanym systemie.
Sesja pytań i odpowiedzi na żywo po Module I:
Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych
Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):
Podatności związane z deserializacją.
Podatność SSTI.
Podatność Mass Assignment.
Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
LAB do realizacji przez uczestników.
Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):
Czym jest WAF?
Techniki omijania WAF.
HTTP request smuggling.
Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
LAB do realizacji przez uczestników.
Sesja nr 3: Bezpieczeństwo API REST:
Omijanie zabezpieczeń dostępu do metod HTTP.
Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
Wycieki kluczy API.
Bezpieczeństwo OAuth2.
Wybrane klasyczne podatności webowe w kontekście API REST.
LAB do realizacji przez uczestników.
Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):
Cross-Site Scripting – najistotniejsza podatność świata client-side.
Omówienie Same Origin Policy i trening praktycznych skutków XSS.
Typy XSS.
Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS.
XSS a dopuszczanie fragmentów kodu HTML.
LAB do realizacji przez uczestników.
Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):
Biblioteki JS (jQuery, Angular, React, Knockout).
Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
Podatność JSON Hijacking.
Podatność CSRF.
LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:
Wykorzystanie kilku podatności.
Ominięcie filtrów/WAF.
Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.
Sesja pytań i odpowiedzi na żywo po Module II:
Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
III. HARMONOGRAM
Moduł I (podstawowy)
-sesja 1 – 8.10.2024, w godz. 9.00-14.00
-sesja 2 – 15.10.2024, w godz. 9.00-14.00
-sesja 3 – 22.10.2024, w godz. 9.00-14.00
-sesja 4 – 29.10.2024, w godz. 9.00-14.00
-sesja 5 – 5.11.2024, w godz. 9.00-14.00
-sesja 6 – 19.11.2024, w godz. 9.00-14.00
-sesja Q&A -19.11.2024 – godzina 19:00
Moduł II (zaawansowany)
-sesja 1 – 26.11.2024, w godz. 9.00-14.00
-sesja 2 – 3.12.2024, w godz. 9.00-14.00
-sesja 3 – 10.12.2024, w godz. 9.00-14.00
-sesja 4 – 17.12.2024, w godz. 9.00-14.00
-sesja 5 – 14.01.2025, w godz. 9.00-14.00
-sesja 6 -21.01.2025, w godz. 9.00-14.00
-sesja Q&A -21.01.2025 – godzina 19:00
W czas trwania sesji szkoleniowych wliczono przerwy.
IV. KORZYŚCI I BONUSY – CO OTRZYMUJESZ W RAMACH UCZESTNICTWA W SZKOLENIU?
Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
Opis rozwiązań każdego z LAB-ów.
Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
Certyfikat ukończenia szkolenia (PDF), w języku polskim i angielskim.
V. SEKURAKOWY “DREAM TEAM” – KTO PROWADZI SZKOLENIE?
Prowadzenie kursu Websecurity Master od sekuraka powierzyliśmy naszym najbardziej doświadczonym i cenionym przez Was trenerom-praktykom.To sami pasjonaci, którzy nie tylko mają MEGA wiedzę i doświadczenie, ale co ważne, potrafią ją przekazać innym. W sposób przyjazny, praktyczny i zawsze w oparciu o aktualny stan wiedzy :-)
Michał Sajdak
Założyciel Securitum oraz sekurak.pl. Współautor oraz redaktor bestsellerowych książek: Bezpieczeństwo aplikacji webowych i Wprowadzenie do bezpieczeństwa IT. Pomysłodawca projektów Sekurak.Academy, a także MEGA Sekurak Hacking Party. Certyfikowany Etyczny Hacker z ponadpiętnastoletnim doświadczeniem w dziedzinie technicznego bezpieczeństwa IT.
Marek Rzepecki
Zawodowy, etyczny hacker z zespołu Securitum i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Przeprowadził setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz testów odporności na ataki typu DDoS dla największych firm – zarówno polskich, jak i zagranicznych. Trener, który przeszkolił tysiące osób w Polsce i za granicą w zakresie bezpieczeństwa aplikacji i infrastruktury IT. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.
Kamil Jarosiński
Konsultant do spraw bezpieczeństwa IT w Securitum. Na co dzień testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce. Aktywny trener, prelegent na konferencjach branżowych. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.
Mateusz Lewczak
Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.
Robert Kruczek
Pentester, socjotechnik, etyczny hacker z zespołu Securitum, w wolnych chwilach programista, gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Ma na swoim koncie zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM… Doświadczony pentester aplikacji desktopowych i webowych. Człowiek, który skutecznie przełamuje zabezpieczenia fizyczne (i nie tylko), weryfikując podczas testów socjotechnicznych bezpieczeństwo organizacji. Prelegent na konferencjach branżowych, autor tekstów na sekurak.pl.
W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl
Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).
Spodobał Ci się wpis? Podziel się nim ze znajomymi: