Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Mikołajki z sekurakiem! od 2 do 8 grudnia!
Websecurity Master od sekuraka – rusza druga edycja topowego szkolenia z bezpieczeństwa aplikacji webowych. Sprawdź nas i zapisz się na bezpłatną sesję szkolenia!
Zanotujcie sobie tę datę w kalendarzu. 8 kwietnia br. ruszamy z drugą edycją Websecurity Master od sekuraka – najbardziej kompletnego kursu o bezpieczeństwie aplikacji webowych w Polsce! Pierwsza edycja z 2024 r. przyciągnęła ponad 200 osób i została oceniona przez uczestników na 4,9/5.
Teraz wracamy z jeszcze lepszym kontentem: ataki, obrona, testy penetracyjne i praktyczne narzędzia – wszystko od topowych trenerów-praktyków z ekipy Securitum. Niezależnie od tego, czy dopiero zaczynasz, czy jesteś już bardziej zaawansowany w temacie – masz szansę zostać Websecurity Masterem!
Kurs jest owocem piętnastu lat naszego doświadczenia w testowaniu bezpieczeństwa aplikacji webowych, przeprowadzenia kilku tysięcy testów bezpieczeństwa i setek edycji szkoleń o tematyce związanej z bezpieczeństwem aplikacji webowych, a także opublikowania bestsellerowej książki – Bezpieczeństwo aplikacji webowych.
Jeżeli jesteś programistą, DevOpsem, pentesterem, administratorem sieci/systemów, osobą zainteresowaną tematyką bezpieczeństwa aplikacji webowych czy też po prostu przedstawicielem świata IT, który chce się rozwijać w dziedzinie bezpieczeństwa i któremu zależy na tworzeniu bezpieczniejszego świata, to koniecznie przeczytaj ten post i przekonaj się, co ciekawego proponujemy!
Dla odbiorców tego wpisu: kurs (całość lub wybrany moduł) z rabatem -20%! Rabat obowiązuje do 31 marca 2025 r. Wystarczy użyć kodu: WEB
Zapisy: websec.sekurak.pl
Nie możesz kupić przez sklep? W Twojej firmie jest więcej chętnych na szkolenie i chcesz zapytać o lepsze warunki zakupu? Napisz na: szkolenia@securitum.pl. Informacje o kursie w skondensowanej formie, w postaci atrakcyjnej mapy myśli, znajdziesz tutaj, a także w ulotce dla szefa i w języku angielskim.
I. DLACZEGO UWAŻAMY, ŻE TO NAJBARDZIEJ KOMPLEKSOWY KURS NA RYNKU?
Websecurity Master od sekuraka to dwanaście praktycznych sesji szkoleniowych trwających cztery godziny każda, prowadzonych zdalnie, na żywo i podzielonych na dwa moduły różniące się stopniem zaawansowania treści (możesz zdecydować się na jeden moduł lub dwa moduły).
- MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych (sześć sesji)
- MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych (sześć sesji)
Kurs prowadzony jest głównie w formie pokazów praktycznych, na żywo, bez długich, zbędnych teoretycznych wstępów. W każdym tygodniu odbywa się jedna sesja, która jest nagrywana (jeśli danego tygodnia nie będziesz mógł uczestniczyć – możesz nadrobić zarówno teorię, jak i praktykę). Nagrania sesji na żywo dostępne będą przez sześć miesięcy od startu kursu.
Na potrzeby szkolenia przygotowaliśmy specjalny LAB szkoleniowy, w którym uczestnicy ćwiczą i utrwalają zdobytą wiedzę na realnych przykładach ataków.
Wsparcie trenerów oraz wymianę wiedzy w czasie rzeczywistym w trakcie całego kursu zapewnia platforma Discord, dzięki której można na bieżąco konsultować się z trenerami oraz dzielić się praktyczną wiedzą z innymi uczestnikami.
Nie musisz nam wierzyć na słowo. Sprawdź nas i dołącz do darmowej sesji!
Zapraszamy na darmową sesję – pierwszą z modułu Podstawy bezpieczeństwa aplikacji webowych (Sesja 1. Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych). W programie: aktualne podatności, pokazy ataków na żywo, rekonesans, podstawy korzystania z narzędzia Burp Suite, podstawy protokołu HTTP oraz testowanie bezpieczeństwa (planowanie, automatyzacja, raporty). Plus dostęp do serwera Discord i materiałów dodatkowych.
Jak dołączyć? Jeżeli pracujesz w firmie zatrudniającej minimum 50 pracowników – zgłoś się przez formularz poniżej. Odezwiemy się do Ciebie po weryfikacji (obsługujemy zgłoszenia wysłane TYLKO z e-maila służbowego).
UWAGA! Jedna firma może zgłosić jednego uczestnika.
Zapisz się za pomocą formularza tutaj: https://sekurak.pl/zapraszamy-na-szkolenie-websecurity-master/
Czego dowiesz się podczas szkolenia Websecurity Master od sekuraka?
- Nauczysz się rozpoznawać poważne w skutkach błędy bezpieczeństwa aplikacji webowych.
- Zyskasz wiedzę, jak zabezpieczyć aplikacje przed atakami.
- Dowiesz się, jak pisać bezpieczniejszy kod.
- Nauczysz się samodzielnie przeprowadzać test bezpieczeństwa aplikacji.
- Poznasz kluczowe narzędzia oraz dokumentacje pomocne w dbaniu o bezpieczeństwo aplikacji.
- Dowiesz się, gdzie możesz sprawnie i skutecznie dalej się rozwijać.
- Otrzymasz informacje, gdzie szukać pomocy w razie wykrycia prób ataku na aplikacje.
[UWAGA!] Podział kursu na dwa moduły (podstawowy i zaawansowany) odpowiada na potrzeby uczestników o różnym stopniu zaawansowania w temacie. Aby wziąć udział w pierwszym module kursu, wystarczy ogólna wiedza z dziedziny IT. Aby uczestniczyć tylko w drugim – zaawansowanym – module kursu, warto znać następujące zagadnienia:
- podstawy bezpieczeństwa aplikacji webowych,
- podstawy JavaScript,
- narzędzie Burp Suite.
II. AGENDA
Poniżej znajdziesz kompletną agendę oraz terminy określonych zajęć. Przypominamy, że z poszczególnych sesji będą dostępne nagrania, więc w sytuacji, gdy nie będziesz mógł wziąć udziału w spotkaniu, istnieje możliwość obejrzenia szkolenia w dogodnym dla Ciebie terminie.
MODUŁ I – Podstawy bezpieczeństwa aplikacji webowych
Sesja nr 1: Praktyczne wprowadzenie do bezpieczeństwa aplikacji webowych:
- Przegląd prawdziwych, aktualnych podatności w aplikacjach webowych (z ostatniego roku). Pokazy na żywo.
- Podstawy rekonesansu aplikacji webowych.
- Podstawy korzystania z narzędzia Burp Suite oraz podstawy protokołu HTTP.
- Pokaz wieloetapowego ataku na aplikację webową.
- Wprowadzenie do testowania bezpieczeństwa aplikacji webowych:
- jak zaplanować testy bezpieczeństwa aplikacji,
- testy automatyczne vs testy ręczne,
- raportowanie.
Sesja nr 2: Skondensowane wprowadzenie do OWASP Top Ten:
- Przegląd wszystkich dziesięciu klas podatności.
- Omówienie ogólnych strategii obrony aplikacji przed atakami.
- Pokazy na żywo.
- LAB do realizacji przez uczestników.
Sesja nr 3: Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji:
- Bezpieczne przechowywanie haseł w aplikacji.
- W jaki sposób hackerzy potrafią ominąć uwierzytelnianie dwuskładnikowe? Jak temu zapobiec?
- Problemy z mechanizmami resetu hasła.
- Podatności klasy IDOR.
- Bezpieczeństwo JWT.
- Przegląd nietypowych podatności umożliwiających ominięcie uwierzytelnienia/autoryzacji.
- LAB do realizacji przez uczestników.
Sesja nr 4: Przegląd częstych podatności w aplikacjach webowych (część I):
- Podatności klasy RCE/Command Injection:
- mechanizmy uploadu,
- przegląd podatności Command Injection,
- problemy w bibliotekach,
- inne podatności prowadzące do wykonania kodu w systemie operacyjnym (przegląd).
- LAB do realizacji przez uczestników.
Sesja nr 5: Przegląd częstych podatności w aplikacjach webowych (część II):
- Przegląd częstych podatności występujących w aplikacjach webowych:
- SQL Injection,
- NoSQL Injection,
- manipulacje plikami XML w celu zdobycia nieautoryzowanego dostępu do danych na serwerze (XXE),
- podatność SSRF,
- podatność Path Traversal,
- LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące podstawowy moduł szkolenia:
- Rekonesans.
- Wykorzystanie kilku podatności.
- Podniesienie uprawnień w atakowanym systemie.
Sesja pytań i odpowiedzi na żywo po Module I:
- Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
- Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
MODUŁ II – Zaawansowane bezpieczeństwo aplikacji webowych
Sesja nr 1: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część I):
- Podatności związane z deserializacją.
- Podatność SSTI.
- Podatność Mass Assignment.
- Jak włączone mechanizmy debug mogą prowadzić do przejęcia kontroli nad aplikacją webową?
- LAB do realizacji przez uczestników.
Sesja nr 2: Zaawansowane bezpieczeństwo aplikacji webowych (przegląd podatności, część II):
- Czym jest WAF?
- Techniki omijania WAF.
- HTTP request smuggling.
- Wybrane problemy bezpieczeństwa mechanizmów cache w aplikacjach webowych.
- Mechanizmy przeglądarkowe służące do zabezpieczania aplikacji webowych i ich użytkowników.
- LAB do realizacji przez uczestników.
Sesja nr 3: Bezpieczeństwo API REST:
- Omijanie zabezpieczeń dostępu do metod HTTP.
- Podatności Server-Side Request Forgery (SSRF) oraz XXE w kontekście API REST.
- Wycieki kluczy API.
- Bezpieczeństwo OAuth2.
- Wybrane klasyczne podatności webowe w kontekście API REST.
- LAB do realizacji przez uczestników.
Sesja nr 4: Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS):
- Cross-Site Scripting – najistotniejsza podatność świata client-side.
- Omówienie Same Origin Policy i trening praktycznych skutków XSS.
- Typy XSS.
- Omówienie punktów wejścia XSS (parametry GET/POST, pliki Flash, pliki SVG, upload plików).
- Charakterystyka punktów wyjścia XSS (niebezpieczne funkcje JS, konteksty w HTML).
- Omówienie metod ochrony przed XSS, techniki omijania filtrów XSS.
- XSS a dopuszczanie fragmentów kodu HTML.
- LAB do realizacji przez uczestników.
Sesja nr 5: Podstawy bezpieczeństwa frontendu aplikacji webowych (część II – Inne podatności frontendowe):
- Biblioteki JS (jQuery, Angular, React, Knockout).
- Wybrane problemy dotyczące bezpieczeństwa elementów API HTML5.
- Podatność JSON Hijacking.
- Podatność CSRF.
- LAB do realizacji przez uczestników.
Sesja nr 6: Wieloetapowe ćwiczenie podsumowujące zaawansowany moduł kursu:
- Wykorzystanie kilku podatności.
- Ominięcie filtrów/WAF.
- Wykorzystanie problemów bezpieczeństwa w klasycznych aplikacjach oraz w API REST.
Sesja pytań i odpowiedzi na żywo po Module II:
- Możliwość zadania dowolnego pytania związanego z bezpieczeństwem aplikacji webowych.
- Możliwość poproszenia o powtórzenia/podpowiedzi do dowolnego ćwiczenia z części praktycznej.
III. DEMO
Zapraszamy również do obejrzenia fragmentów z pierwszej edycji szkolenia. Przekonaj się, jak wyglądają sesje, o czym uczymy i w jaki sposób trenerzy prowadzą zajęcia.
Podatność XSS – fragmentu modułu II szkolenia Websecurity Master od sekuraka, sesji 4 – Podstawy bezpieczeństwa frontendu aplikacji webowych (część I – Podatność XSS)
Podatność RCE – fragment modułu I szkolenia Websecurity Master od sekuraka, sesji 4 – Przegląd częstych podatności w aplikacjach webowych (część I)
Reset hasła – fragment modułu I szkolenia Websecurity Master od sekuraka, sesji 3 – Podatności/problemy w mechanizmach uwierzytelnienia/autoryzacji
IV. KORZYŚCI I BONUSY – CO OTRZYMUJESZ W RAMACH UCZESTNICTWA W SZKOLENIU?
- Udział w szkoleniu na żywo. MODUŁ I (podstawowy) i/lub MODUŁ II (zaawansowany), dodatkowe sesje Q&A.
- Bezterminowy dostęp do e-booka (PDF/mobi/epub) książki Bezpieczeństwo aplikacji webowych od sekuraka.
- Dostęp do dedykowanej platformy Discord gromadzącej uczestników oraz trenerów.
- Dostęp do specjalnie przygotowanego LAB-u do ćwiczeń (przez czas trwania szkolenia i trzydzieści dni po jego zakończeniu).
- Możliwość obejrzenia nagrania sesji na żywo (przez sześć miesięcy od daty rozpoczęcia kursu).
- Opis rozwiązań każdego z LAB-ów.
- Onepager dotyczący każdej sesji szkoleniowej – najważniejsze informacje o prezentowanym materiale.
- Certyfikat ukończenia szkolenia (PDF), w językach polskim i angielskim.
V. SEKURAK ALL STAR – KTO PROWADZI TO SZKOLENIE
Prowadzenie kursu Websecurity Master od sekuraka powierzyliśmy naszym najbardziej doświadczonym i cenionym przez Was trenerom-praktykom. To sami pasjonaci, którzy nie tylko mają MEGA wiedzę i doświadczenie, ale, co ważne, potrafią j przekazać innym – w sposób przyjazny, praktyczny i zawsze na podstawie aktualnego stanu wiedzy 🙂
Marek Rzepecki
Zawodowy, etyczny hacker z zespołu Securitum i pasjonat tematyki ofensywnego cyberbezpieczeństwa. Przeprowadził setki niezależnych audytów bezpieczeństwa aplikacji webowych i mobilnych, infrastruktur sieciowych oraz testów odporności na ataki typu DDoS dla największych firm – zarówno polskich, jak i zagranicznych. Trener, który przeszkolił tysiące osób w Polsce i za granicą w zakresie bezpieczeństwa aplikacji i infrastruktury IT. Prelegent na konferencjach branżowych i autor materiałów edukacyjnych.
Kamil Jarosiński
Konsultant do spraw bezpieczeństwa IT w Securitum. Na co dzień testuje bezpieczeństwo aplikacji WWW, API, środowisk chmurowych, hardware’u w największych bankach, u operatorów telefonii komórkowej czy w branży e-commerce. Aktywny trener, prelegent na konferencjach branżowych. W wolnych chwilach uczestnik programów bug bounty ze zgłoszonymi podatnościami w Sony, HCL Software czy Telekom Deutschland.
Mateusz Lewczak
Doświadczony programista, zainteresowany niskopoziomowymi aspektami Security, w wolnym czasie wykorzystuje swoją kreatywność do tworzenia narzędzi hackerskich. Wielokrotnie nagradzany za wybitne osiągnięcia w nauce (w tym Stypendium Prezesa Rady Ministrów). Konsultant do spraw bezpieczeństwa IT w Securitum oraz członek międzynarodowego instytutu IEEE zrzeszającego ambitnych specjalistów ze świata IT.
Robert Kruczek
Pentester, socjotechnik, etyczny hacker z zespołu Securitum, w wolnych chwilach programista, gracz. Uczestnik programów bug bounty – miejsce w Hall of Fame OLX. Ma na swoim koncie zgłoszone błędy bezpieczeństwa między innymi dla: BlaBlaCar, OVH, ERCOM… Doświadczony pentester aplikacji desktopowych i webowych. Człowiek, który skutecznie przełamuje zabezpieczenia fizyczne (i nie tylko), weryfikując podczas testów socjotechnicznych bezpieczeństwo organizacji. Prelegent na konferencjach branżowych, autor tekstów na sekurak.pl.
VI. OPINIE O PIERWSZEJ EDYCJI SZKOLENIA
Jak napisaliśmy na wstępie, I edycja szkolenia realizowana w 2024 r. została przyjęta bardzo dobrze. Średnia ocen 4,9/5, motywuje nas do jeszcze większej pracy! Poniżej znajdziecie wybrane opinie 🙂
Wg mnie nie. Websec Master moze smialo na stałe zagościć w ofercie Securitum i jest to absolutna topka szkoleń. Być może nie jestem jeszcze starym wyjadaczem tego typu szkoleń, bo w ITsec dopiero przecieram szlaki, ale gdyby w tym kraju każde szkolenie tak wyglądało, to żyłoby się nam lepiej :)
Bardzo dziękuję za wysiłek włożony w staranne przygotowanie materiałów i labów, za wszystkie odpowiedzi na pytania mniej lub bardziej związane z zagadnieniami prezentowanymi na sesjach.
Dzięki za super spędzony czas! Poukładałem sobie w głowie kilka technik, jak zwykle merytoryczna petarda! Czekam na kolejną edycję, a być może WebSecurity Pro Master ^^
Tak, robocie dobrą robotę, czuć wiedzę i zaangażowanie. Fajnie się uzupełniacie. Macie dar przekazywania wiedzy (każdy z Was), a to jest dobra cecha, bo nie każdy się nadaje do prowadzenia szkoleń. Dodatkowe honorable mentions dla Krzysztofa aka Zygzak, bo spięcie pierwszej edycji dwuczęściowego szkolenia było pewnie wyzwaniem – i KAŻDEGO na backendzie w Securitum! Piona!
Chłopaki, zrobiliście kawał dobrej roboty!
Jesteście świetni. Przekazujecie wiedzę w sposób zachęcający do drążenia dalej. Jestem bardzo zadowolony.
Świetna robota. Ogromna dawka wiedzy, której jeszcze nie udało mi się do końca przetrawić. Przez laby mam trochę mniej włosów na głowie, koniec końców za satysfakcję po znalezieniu podatności – opłacało się.
Każdy z modułów był naprawdę super poprowadzony!
Dziękuję za szkolenia. Tak jak zawsze, klasa!!!!
Świetne szkolenie :)
W razie dodatkowych pytań zapraszamy do kontaktu pod adresem e-mail: szkolenia@securitum.pl
Ekipa sekurak.pl
