Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych?
W praktyce spotykam sporo osób zajmujących się administrowaniem systemów/sieci/czy np. baz danych, które z daleka starają się omijać tematykę bezpieczeństwa aplikacji WWW. Szczerze jednak – nie da się od tego na dłuższą metę uciec. Panele webowe urządzeń sieciowych, wycieki które bardzo często realizowane są właśnie poprzez atak na aplikację webową, infekcja ransomware/malware (tak, aplikacje webowe to dość prosta metoda na wniknięcie do naszej infrastruktury) – to tylko kilka przykładów, które poruszymy na naszym nowym, praktycznym szkoleniu.
Szkolenie zostało przygotowane w oparciu o nasze aktualne doświadczenia z sekuraka ale również o wyniki setek testów bezpieczeństwa, które realizujemy rocznie. Dostajecie więc samą esencję – naszym zdaniem absolutnie najważniejsze tematy, które warto poznać na początek w temacie aplikacji webowych.
Szkolenie jest też prowadzone „od zera” – więc jeśli ktoś nigdy nie napisał żadnej aplikacji webowej (a ma jakieś pojęcie o IT), bez problemu skorzysta z kursu.
Jak ?/ Kiedy? / Gdzie?
Zapisy dostępne są tutaj (do 9. grudnia możesz zapisać się -25% taniej z kodem early-admin).
Rozpoczęcie: 19.12.2022r., godzina 12:30. Zakończenie – około 17:15. Miejsce: on-line. Przez rok po zakończeniu szkolenia dostępny będzie również zapis filmowy z kursu.
0. Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ]
- Podstawy protokołu HTTP
- Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW
1. Podstawy rekonesansu aplikacji webowych [~30 minut]
- prosty sposób na weryfikację jakie aplikacje webowe udostępniam na zewnątrz organizacji [live demo]
- przydatne narzędzia do rekonesansu
- jak się ochronić przed rekonesansem?
- na koniec modułu: każdy ma możliwość realizacji pasywnego rekonesansu zasobów swojej firmy
2. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]
- Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
- W każdym omawianym przypadku – wskazanie istoty problemu
- Wskazanie zalecanych metod ochrony paneli webowych urządzeń
3. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz? [~10 minut]
- Obalenie popularnych mitów
- Przed czym HTTPS/TLS chroni a przed czym nie?
- Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
- Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]
4. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~60 minut ]
- Zdalny shell przez aplikację webową – to proste :(
- Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
- Wskazanie metod ochrony.
- W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
- W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?
5. Wykryłem atak na moją aplikację webową – co robić? [ ~20 minut ]
- Prezentacja pełnego przykładowego ataku [ live demo ]
- Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
- rekonesansu oraz samego ataku
- aktywności backdoora / webshella
- Rekomendacje dalszych działań po ataku
6. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]
- Kilka realnych przykładów złych oraz dobrych praktyk
7. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~15 minut ]
- Wyjaśnienie metod działania
- Wskazanie w jaki sposób WAF chroni przed realnym atakiem
- Prezentacja kilku standardowych metod obejścia WAF-ów
Szkolenie prowadzi Michał Sajdak. Od przeszło 12 lat specjalizuje się w ofensywnym obszarze bezpieczeństwa IT, wykonał setki audytów bezpieczeństwa IT, przeszkolił dziesiątki tysięcy osób. Posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) oraz CTT+ (Certified Technical Trainer). Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki „Bezpieczeństwo aplikacji WWW”. Założyciel i redaktor portalu sekurak.pl.
Ale fajny temat :) Robię w głowie przegląd sytuacji kiedy jako adminowi było mi to potrzebne i musiałem improwizować, no i było ich sporo.
Czy student może uzyskać darmowy dostęp lub jakąś zniżkę?