OAuth2, JWT, problemy z autoryzacją, uprawnieniami, klucze API, JWT, … z sekurakiem zaoszczędzisz miesiące pracy

17 kwietnia 2019, 11:58 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy.

Już niedługo uczestnicy szkolenia będą otrzymywać naszego autorstwa e-booka (około 40 stron!) o bezpieczeństwie API REST oraz do miejsca gdzie również w przyszłości będą mogli pobrać aktualizacje prezentacji.

Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu – tym razem wybraliśmy tylko jedną:

Pracuję 13 lat w IT (z czego 4 lata jako pentester) a jednak mnóstwa rzeczy nie znałem wcześniej. Bardzo na plus!

Po chwili ujawnił się Krzysztof Barcicki, odnosząc się przy okazji do charakteru pracy pentestera:

Opinia powyżej jest moja. (…) A prawda jest taka, że ten zawód uczy pokory, bo na każdy obszar który przyswoisz powstanie kilka następnych, nowe języki programowania, nowe wersje softu, nowe systemy, urządzenia, protokoły. Dlatego to jest takie fajne bo codziennie się rozwijasz. Ale choćbyś nie wiem ile chłonął dziennie, nie przyswoisz wszystkiego bo Ci czasu nie wystarczy. Byłeś programistą? Po godzinach czytaj o kernelu Windowsa i architekturze AIXa. Byłeś adminem Windowsa? Ucz się pythona, Javy, basha. php. Byłeś analitykiem? Cóż..  Dlatego kiedy spotykasz drugiego takiego zapaleńca jak Michał – dziękujesz i bierzesz ile się da, bo to oszczędza Ci czasami miesięcy Twojej pracy domowej. Dlatego też nie wstydzę się publicznie napisać, że na szkoleniu otrzymałem kawał wartościowej wiedzy i bez wahania polecę je każdemu.

Obecna agenda wygląda tak:

  1. Krótki wstęp do API REST
  2. Rekonesans API (pasywny / aktywny / rekonesans API mobilnych)
  3. Krótkie omówienie metod: GET/POST/PUT/DELETE/PATCH/HEAD/MERGE/REDIRECT/…
  4. Omijanie zabezpieczeń dostępu do metod HTTP
  5. Server-Side Request forgery (SSRF)
  6. Podatności XML
    1. XXE
    2. Remote Code Execution
    3. XXE vs SSRF
  7. Podatności JSON vs. XML vs. YAML
  8. Deserializacja vs. bezpieczeństwo API
  9. Bezpieczeństwo JWT (JSON Web Tokens).
  10. Bezpieczeństwo OAuth2
  11. Wycieki kluczy API
  12. Bezpieczeństwo Webhooks
  13. Bezpieczeństwo frameworków
Szkolenie jest też objęte promocją 3 za 2 – czyli możecie zgłosić 3 osoby na jedno szkolenie (płacąc za dwie), 6 osób (płacąc za 4) czy jedną osobę na trzy różne szkolenia (płacąc tylko za dwa).

SSRF – jedna z podatności omawiana w kontekście API REST

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Radoslaw

    „Już niedługo uczestnicy szkolenia będą otrzymywać naszego autorstwa e-booka (około 40 stron!) o bezpieczeństwie API REST oraz do miejsca gdzie również w przyszłości będą mogli pobrać aktualizacje prezentacji” – przeszli, obecni i przyszli kursanci? ;)

    Odpowiedz
    • Najprawdopodobniej wszyscy (ze szkolenia API) – czyli przeszli, obecni i przyszli :-)
      Będzie wysyłany mailing do przeszłych – kto będzie chciał to sobie założy konto i będzie tam do „końca świata” ściągał kolejne nowości + tego ebooka.

      Odpowiedz

Odpowiedz