Pakiet szkoleń Websecurity Master – NOWOŚĆ od sekuraka!

8 października startujemy z najbardziej kompleksowym kursem bezpieczeństwa aplikacji webowych w Polsce! W nowej, przyjaznej zdalnej formule, z mocno zaktualizowanymi treściami, od topowych trenerów-praktyków.

Co może wyniknąć z mieszanki 15 lat doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych, a do tego opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych? 

Najbardziej kompleksowy kurs poświęcony bezpieczeństwu aplikacji webowych w Polsce! 

Odważne stwierdzenie? Przeczytajcie i przekonajcie się sami 🙂 Do lektury szczególnie zachęcamy programistów, DevOpsów, pentesterów, administratorów sieci/systemów, osoby zainteresowane tematyką bezpieczeństwa aplikacji webowych, a także każdego przedstawiciela świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata. 

A CO TO KONKRETNIE JEST – TEN WEBSECURITY MASTER OD SEKURAKA?

Websecurity Master od sekuraka to 12 praktycznych sesji szkoleniowych, prowadzonych na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły). 

• MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych oraz dodatkowa sesja pytań i odpowiedzi na żywo,
• MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych oraz dodatkowa sesja pytań i odpowiedzi na żywo.

Każda z sesji trwa cztery godziny i prowadzona jest w formie pokazów praktycznych, na żywo. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania dostępne będą przez sześć miesięcy od startu kursu, natomiast LAB szkoleniowy dostępny będzie przez 30 dni od zakończenia kursu.

Jak będą wyglądały sesje szkoleniowe?

• Trzy godziny – pokazy na żywo oraz niezbędne wprowadzenie teoretyczne.
• Jedna godzina – realizacja zadań praktycznych (wraz z nadzorem i ewentualnymi podpowiedziami od prowadzącego).
• Po każdym module przewidziana jest dodatkowa, dwugodzinna sesja pytań i odpowiedzi dla uczestników kursu.

Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków. LAB szkoleniowy dostępny jest w trakcie całego szkolenia oraz 30 dni po nim. Kolejne zadania praktyczne ogłaszane są w ramach poszczególnych sesji. Na koniec każdego z dwóch modułów kursu przekazywane są rozwiązania wszystkich zadań LAB-owych.

Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewni platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.

Czego dowiesz się podczas szkolenia?

• Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
• Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
• Dowiesz się, jak pisać bezpieczniejszy kod.
• Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
• Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
• Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
• Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.

[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby uczestniczyć w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:

• podstawy bezpieczeństwa aplikacji webowych, 
• podstawy JavaScript,
• narzędzie Burp Suite.

Agenda

MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych

Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:

• Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
• Podstawy rekonesansu aplikacji webowych.
• Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
• Pokaz wieloetapowego ataku na aplikację webową.
• Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
  • jak zaplanować testy bezpieczeństwa aplikacji, 
  • testy automatyczne vs testy ręczne,
  • raportowanie.

Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:

• Przegląd wszystkich 10 klas podatności.
• Omówienie ogólnych strategii obrony aplikacji przed atakami.
• Pokazy na żywo.
• LAB do realizacji przez uczestników.

Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:

• Bezpieczne przechowywanie haseł w aplikacji.
• W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
• Problemy z mechanizmami resetu hasła.
• Podatności klasy IDOR.
• Bezpieczeństwo JWT.
• Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
• LAB do realizacji przez uczestników.

Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):

• Podatności klasy RCE/Command Injection:
  • mechanizmy uploadu,
  • przegląd podatności Command Injection,
  • problemy w bibliotekach,
  • inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
• LAB do realizacji przez uczestników.

Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):

• Przegląd częstych podatności występujących w aplikacjach webowych:
  • SQL Injection,
  • NoSQL Injection,
  • manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
  • podatność SSRF,
  • podatność Path Traversal,
  • LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia: 

• Rekonesans.
• Wykorzystanie kilku podatności.
• Podniesienie uprawnień w atakowanym systemie.

Sesja pytań i odpowiedzi na żywo:

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych

Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):

• Podatności związane z deserializacją.
• Podatność SSTI.
• Podatność Mass Assignment.
• Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
• LAB do realizacji przez uczestników.

Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):

• Czym jest WAF? 
• Techniki omijania WAF.
• HTTP request smuggling.
• Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
• Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
• LAB do realizacji przez uczestników.

Sesja nr 3: Bezpieczeństwo API REST:

• Omijanie zabezpieczeń dostępu do metod HTTP.
• Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
• Wycieki kluczy API.
• Bezpieczeństwo OAuth2.
• Wybrane klasyczne podatności webowe w kontekście API REST.
• LAB do realizacji przez uczestników.

Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):

• Cross-Site Scripting – najistotniejsza podatność świata client-side.
• Omówienie Same Origin Policy i trening praktycznych skutków XSS.
• Typy XSS.
• Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
• Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
• Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS. 
• XSS a dopuszczanie fragmentów kodu HTML.
• LAB do realizacji przez uczestników.

Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):

• Biblioteki JS (jQuery, Angular, React, Knockout).
• Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
• Podatność JSON Hijacking.
• Podatność CSRF.
• LAB do realizacji przez uczestników.

Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:

• Wykorzystanie kilku podatności.
• Ominięcie filtrów/WAF.
• Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.

Sesja pytań i odpowiedzi na żywo:

• Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
• Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.

Co dostaniesz w ramach szkolenia?

• Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
• Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka
• Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
• Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i 30 dni po jego zakończeniu).
• Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
• Opis rozwiązań każdego z LAB-ów.
• Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
• Certyfikat ukończenia szkolenia (PDF).

Trenerzy

Marek Rzepecki

Kamil Jarosiński

Mateusz Lewczak

Michał Sajdak

Robert Kruczek

Kilka opinii o naszych kursach dotyczących bezpieczeństwa aplikacji

• Same konkrety, brak lania wody – duża wiedza.

• Część praktyczna – zadania do samodzielnego wykonania, a nie tylko sucha wiedza.

• Sporo ciekawostek, dobrze przygotowana prezentacja, kompetentny i komunikatywny prowadzący.

• Fajne przykłady, nie za trudne, ale dające sporo do myślenia. Dobrze prowadzone ćwiczenia praktyczne. Powinno być więcej… ale musiałby być dodatkowy dzień.

• Bogata wiedza teoretyczna i praktyczna, duże zaangażowanie, umiejętność płynnego prowadzenia szkolenia. Nie jest to łatwe w formie zdalnej, tym bardziej doceniam.

• Ocena celująca.

• Jasny i klarowny sposób prezentowania. Ogromna wiedza przekazywana w bardzo dostępny sposób.

• Sporo ćwiczeń, wiedza przekazywana w bardzo przyswajalny sposób oraz wysoki poziom wiedzy prowadzącego, widać, że bezpieczeństwo poza pracą jest po prostu pasją.

• Forma i łatwość, z jaką prowadzący przedstawiał informację + zadania praktyczne.

• Świetnie, najciekawsze i najlepiej prowadzone szkolenia na jakich byłem.

• Wiedza i kompetencje prowadzącego, dobre przekazanie wiedzy, interesujący temat szkolenia i realne korzyści z nabytej wiedzy.

• Having a chance to practice and to experiment what was introduced with the right timing, the right resources and the right support in case of doubts. It made the difference between a common course and a real training. Well done!

W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl

Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli znajdziesz tutaj  a ulotkę o szkoleniu, którą możesz podesłać np. szefowi tutaj (PL) i tutaj (ENG).

~Łukasz Łopuszański