Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych?

Tylko aktualna wiedza, liczne pokazy na żywo, elementy umożliwiające natychmiastowe przekucie wiedzy na praktykę, angażujące prowadzenie szkolenia oraz dodatkowe materiały dla uczestników - staramy się aby te elementy towarzyszyły wszystkim szkoleniom organizowanym przez sekuraka - tak jest i tym razem :-)  

Dla kogo szkolenie?

Jeśli jesteś administratorem systemów/sieci czy opiekujesz się bezpieczeństwiem części lub całości firmy (niezależnie od wielkości) - a nigdy nie chciałeś lub nie miałeś okazji wejść nieco głębiej  w bezpieczeństwo aplikacji webowych lub myślałeś, że jest to zbyt skomplikowane - to szkolenie jest dla Ciebie!

Architekci pracujący z aplikacjami webowymi czy sieciami, managerowie technicznych zespołów, audytorzy, pasjonaci bezpieczeństwa czy osoby ciekawe aktualnych trendów w bezpieczeństwie aplikacji webowych  - jeśli jesteś w jednej z tych grup, szkolenie powinno Ci się spodobać.

Po kursie będziesz wiedział:

  • Na jakie zagrożenia dotyczące bezpieczeństwa zwracać przede wszystkim uwagę w aplikacjach webowych.
  • Jak najczęściej dochodzi do wycieków danych przez aplikacje webowe oraz jak temu zapobiec.
  • Jak postępować z dowolnymi urządzeniami sieciowymi (w kontekście bezpieczeństwa ich paneli webowych).
  • Co robić jeśli wykryjesz włamanie przez aplikację webową na Twój serwer.
  • Gdzie szukać dalszej wiedzy.
  • Jak "zagiąć" niejednego programistę czy architekta - w kontekście bezpieczeństwa aplikacji webowych.

Termin

Rozpoczęcie: 15.12.2020r., godzina 12:30. Zakończenie - około 17:15. Miejsce: on-line (pełne informacje wysyłane są dzień przed wydarzeniem). Kontroluj od czasu do czasu spam. Jeśli ktoś nie zdąży, lub akurat nie będzie mógł dołączyć - film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia (również dla tych, którzy normalnie wzięli udział).

Potrzebujesz faktury pro-forma? Napisz na szkolenia@securitum.pl (w samym sklepie faktura VAT generowana jest automatycznie, po dokonaniu płatności).

Agenda wydarzenia

0. Krótkie wprowadzenie do tematyki aplikacji WWW [ materiał przesłany będzie przed szkoleniem ] 

  • Podstawy protokołu HTTP
  • Podstawy narzędzi używanych do testowania bezpieczeństwa aplikacji WWW

1. Przegląd aktualnych / świeżych podatności w panelach webowych urządzeń sieciowych. [ ~30 minut ]  

  • Przykłady: SSL VPN, firewall, load balancer, system MDM (Mobile Devices Management) - omówienie na przykładzie wybranych urządzeń: Fortigate, Cisco ASA, F5 BIGIP, Sonicwall, Palo Alto
  • W każdym omawianym przypadku - wskazanie istoty problemu
  • Wskazanie zalecanych metod ochrony paneli webowych urządzeń

2. "Jesteśmy bezpieczni bo mamy SSL-a" - prawda czy fałsz?

  • Obalenie popularnych mitów
  • Przed czym HTTPS/TLS chroni a przed czym nie?
  • Jak w 5 minut sprawdzić poprawność swojej konfiguracji (od strony Internetu oraz lokalnie) [ live demo ] 
  • Czy podatności w samym HTTPS/TLS mogą być groźne? [ live demo ]

3. Aplikacja webowa jako szeroka brama do naszej infrastruktury IT dla: ransomware / malware / koparek kryptowalut czy atakujących chcących wykraść nasze dane [ ~80 minut ]  

  • Zdalny shell przez aplikację webową - to proste :(
    • Przegląd kilku aktualnych sposobów uzyskania dostępu na shell na systemie operacyjnym - przez aplikację webową [ kilka live demo ]
    • Wskazanie metod ochrony.
  • W jaki sposób najczęściej wyciekają dane przez aplikacje webowe oraz... jak się ochronić przed takimi wyciekami? [ live demo ]
  • W jaki sposób hardening systemu może ograniczyć skutki ataku bądź całkiem zniwelować atak?

4. Wykryłem atak na moją aplikację webową - co robić? [ ~40 minut ]

  • Prezentacja pełnego przykładowego ataku [ live demo ]
  • Analiza logów: systemu operacyjnego, web/application serwera pod kątem:
    • rekonesansu oraz samego ataku
    • aktywności backdoora / webshella
  • Rekomendacje dalszych działań po ataku

5. Podstawy bezpiecznej architektury sieciowej aplikacji webowych [ ~15 minut ]

  • Kilka realnych przykładów złych oraz dobrych praktyk

6. Web Application Firewall (WAF) - marketing czy skuteczna ochrona? [ ~20 minut ]

  • Wyjaśnienie metod działania
  • Wskazanie w jaki sposób WAF chroni przed realnym atakiem [ live demo ] 
  • Prezentacja kilku standardowych metod obejścia WAF-ów

Prowadzący szkolenie

Kurs prowadzony przez Michała Sajdaka, założyciela sekuraka. Szkoli w mniej lub bardziej technicznych aspektach związanych z bezpieczeństwem IT (autor szkoleń: bezpieczeństwo sieci/testy penetracyjne, bezpieczeństwo aplikacji WWW, bezpieczeństwo API REST). Współautor oraz redaktor prowadzący bestsellerowej książki: bezpieczeństwo aplikacji WWW. Posiadacz certyfikatów: CISSP oraz CEH (Certified Ethical Hacker). Prelegent na konferencjach: Mega Sekurak Hacking Party, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. 

Kilka realnych opinii uczestników o szkoleniach sekuraka

  • Bardzo dużo ciekawych informacji. Od samego początku widać, że prowadzący ma bardzo duże doświadczenie w temacie. Kompleksowe zebranie narzędzi i technik [...] poparte demonstracjami działania. Bardzo dużo się z tego dowiedziałem!
  • uper dawka wiedzy, przekazana w super formie. Czekam na więcej
  • Czysta praktyka, zero bullshit.
  • Szkolenie nie za długie, materiał w fajnej cenie, informacje podane w przystępnej formie. Moje pierwsze szkolenie od Sekuraka i myślę, że nie ostatnie.
  • Bardzo przyjemne szkolenie, oby więcej takich szkoleń [...]
  • Jestem pod wrażeniem ilości wiedzy, jaką człowiek jest w stanie zmieścić w 4h szkolenia. 
  • Bardzo fajne szkolenie, dużo przydatnych informacji, super prowadzący.
  • Polecam, fajnie, dynamicznie przeprowadzone.

Data dodania: 21 paź 2020
Ostatnia aktualizacja: 4 lis 2020