Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych?

05 listopada 2020, 20:11 | Aktualności | komentarze 2
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

W praktyce spotykam sporo osób zajmujących się administrowaniem systemów/sieci/czy np. baz danych, które z daleka starają się omijać tematykę bezpieczeństwa aplikacji WWW. Szczerze jednak – nie da się od tego na dłuższą metę uciec. Panele webowe urządzeń sieciowych, wycieki które bardzo często realizowane są właśnie poprzez atak na aplikację webową, infekcja ransomware/malware (tak, aplikacje webowe to dość prosta metoda na wniknięcie do naszej infrastruktury) – to tylko kilka przykładów, które poruszymy na naszym nowym, praktycznym szkoleniu.

Szkolenie zostało przygotowane w oparciu o nasze aktualne doświadczenia z sekuraka ale również o wyniki setek testów bezpieczeństwa, które realizujemy rocznie. Dostajecie więc samą esencję – naszym zdaniem absolutnie najważniejsze tematy, które warto poznać na początek w temacie aplikacji webowych.

Szkolenie jest też prowadzone „od zera” – więc jeśli ktoś nigdy nie napisał żadnej aplikacji webowej (a ma jakieś pojęcie o IT), bez problemu skorzysta z kursu.

Jak ?/ Kiedy? / Gdzie?

Zapisy dostępne są tutaj (jeszcze przez około 3 tygodnie obowiązuje cena early bird – 299 PLN netto – tj. z 40% rabatem od ceny regularnej – 499 PLN netto).

Rozpoczęcie: 15.12.2020r., godzina 12:30. Zakończenie – około 17:15. Miejsce: on-line. Przez miesiąc po zakończeniu szkolenia dostępny będzie również zapis filmowy z kursu.

Agenda

0. Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ] 

  • Podstawy protokołu HTTP
  • Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW

1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]  

  • Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) – omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
  • W każdym omawianym przypadku – wskazanie istoty problemu
  • Wskazanie zalecanych metod ochrony paneli webowych urządzeń

2. „Jesteśmy bezpieczni bo mamy SSL-a” – prawda czy fałsz?

  • Obalenie popularnych mitów
  • Przed czym HTTPS/TLS chroni a przed czym nie?
  • Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ]
  • Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]

3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]  

  • Zdalny shell przez aplikację webową – to proste :(
    • Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym – przez aplikację webową [ kilka live demo ]
    • Wskazanie metod ochrony.
  • W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz… jak się ochronić przed takimi wyciekami? [ live demo ]
  • W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?

4. Wykryłem atak na moją aplikację webową – co robić? [ ~40 minut ]

  • Prezentacja pełnego przykładowego ataku [ live demo ]
  • Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
    • rekonesansu oraz samego ataku
    • aktywności backdoora / webshella
  • Rekomendacje dalszych działań po ataku

5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]

  • Kilka realnych przykładów złych oraz dobrych praktyk

6. Web Application Firewall (WAF) – marketing czy skuteczna ochrona? [ ~20 minut ]

  • Wyjaśnienie metod działania
  • Wskazanie w jaki sposób WAF chroni przed realnym atakiem [ live demo ]
  • Prezentacja kilku standardowych metod obejścia WAF-ów

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wk

    Ale fajny temat :) Robię w głowie przegląd sytuacji kiedy jako adminowi było mi to potrzebne i musiałem improwizować, no i było ich sporo.

    Odpowiedz
  2. Rafał

    Czy student może uzyskać darmowy dostęp lub jakąś zniżkę?

    Odpowiedz

Odpowiedz