Szkolenie z atakowania (i ochrony) aplikacji WWW

Opis:

Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy wystarczającym do zrozumienia problemu teoretycznym wstępem oraz demonstracją ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników szkolenia.

Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami).

Dzięki naszemu szkoleniu…
poznasz techniki ataków i programy wykorzystywane przez współczesnych włamywaczy, nauczysz się korzystać z kilkudziesięciu narzędzi do testowania bezpieczeństwa webaplikacji, dowiesz się w jaki sposób można zabezpieczyć aplikacje webowe przed atakami, własnoręcznie przeprowadzisz skuteczne ataki na webaplikacje, sam wykonasz test aplikacji webowej (od analizy ryzyka poprzez identyfikację podatności aż do raportu)
Do kogo kierowane jest to szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca ociera się o aplikacje webowe, a więc:
programistów i testerów,
audytorów i pentesterów,
architektów i projektantów systemów komputerowych
oficerów zespołów bezpieczeństwa

Tematyka szkolenia
Ataki na aplikacje webowe
Brak obsługi błędów
Manipulacje parametrami (metody GET, POST)
Techniki podsłuchu i manipulowania transmisją
Atak Forcefull Browsing
Atak Path Traversal
Technika Google Hacking
Wstrzyknięcie kodu (PHP shell) i komend systemowych
Ataki XSS (persistent, reflected, etc)
Problem filtrowania danych wejściowych
Omijanie filtrowania danych wejściowych i wyjściowych
Ataki na sesję aplikacji webowej
Podsłuchiwanie sesji i kradzież ciasteczek HTTP
Ataki session fixation i session adoption
Ataki CSRF
Jak poprawnie zarządzać sesją w webapikacji?
Szyfrowanie danych w webaplikacji
Ataki na bazy danych
Ataki SQL injection i Blind SQL injection
cechy charakterystyczne środowisk Oracle, Microsoft SQL, MySQL i PostgreSQL
ochrona przed atakami SQL injection
Szyfrowanie połączenia i ataki na SSL
Podsumowanie zagrożeń i przegląd OWASP TOP10
Współczesne problemy bezpieczeństwa aplikacji webowych
zagrożenia wynikające z architektury webaplikacji (CGI, SSI, etc.)
zagrożenia wynikające z języków programowania (PHP, ASP, JSP, JS, etc.)
problem styku webaplikacji z bazą danych
interfejsy zewnętrzne webaplikacji
zagrożenia po stronie serwera a zagrożenia po stronie klienta
Problemy przeglądarek
Same Orgin Policy
Rich Internet Applications
Dziury w przeglądarkach
Ataki DNS-Rebinding
Wtyczki i pluginy podnoszące bezpieczeństwo i pomagające w testowaniu aplikacji webowych
Ochrona
pozaprogramistyczne środki ochrony (systemy IDS/IPS, WAF)
ochrona przed spamem
bezpieczeństwo webserwera
szyfrowanie połączeń do webserwera (SSL)
Przegląd narzędzi automatyzujących wykrywanie podatności

Cena:
1800 PLN brutto (szkolenia są zwolnione z podatku VAT)
Cena obejmuje:
2 dni szkoleniowe,
2 dwudaniowe obiady w pobliskiej restauracji,
catering w przerwach (kawa, herbata, soki, ciasteczka),
materiały szkoleniowe (podręcznik, zapis prezentacji, plus płyta CD z oprogramowaniem do przeprowadzania testów penetracyjnych aplikacji webowych),
certyfikat ukończenia szkolenia
gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu do 10 osób. Kto pierwszy, ten lepszy.