Websecurity master #1: uwierzytelnianie / autoryzacja - jak to zrobić bezpiecznie?

O szkoleniu

Problemy z uwierzytelnianiem czy autoryzacją - posiada je niemal każda nowa, duża aplikacja webowa:

  • wadliwe mechanizmy resetu hasła,
  • źle zaimplementowana matryca uprawnień,
  • użycie niepoprawnych algorytmów do przechowywania haseł,
  • pewne "ukryte" zasoby wystawione świadomie bądź nie do Internetu, a nie wymagające logowania,
  • niepoprawnie wykonane wdrożenie na produkcję które... niweluję warstwę uwierzytelnienia.

Jak w sposób zorganizowany wykrywać takie problemy? Jak ich unikać? Szkolenie w kompleksowy sposób omawia możliwe problemy z uwierzytelnianiem i autoryzacją w aplikacjach webowych. Zobaczycie na nim dziesiątki, aktualnych realnych przykładów z życia wziętych. Będziecie mieli również okazję zobaczyć na żywo sporą liczbę prezentowanych przypadków, a po szkoleniu na spokojnie je przećwiczyć we własnym tempie. Oczywiście dowiecie się także jak zabezpieczyć swoje aplikacje webowe.

Szkolenie idealne dla programistów / testerów / architektów aplikacji czy osoby zajmujące się bezpieczeństwem IT. Kurs to również świetna okazja na gładkie wejście w tematykę bezpieczeństwa aplikacji WWW.

Termin

Rozpoczęcie: 24.02.2021r., godzina 13:00. Zakończenie - około 17:00. Miejsce: on-line (pełne informacje wysyłane są dzień przed wydarzeniem). Kontroluj od czasu do czasu spam. Jeśli ktoś nie zdąży, lub akurat nie będzie mógł dołączyć - film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia (również dla tych, którzy normalnie wzięli udział).

Agenda wydarzenia

Podstawowe definicje

  • Uwierzytelnianie/autoryzacja - na jakie problemy możemy się natknąć? Najlepiej uczyć się na (cudzych) błędach - zaczynamy zatem od kilku prostych, realnych przykładów podatności z polskiego oraz światowego podwórka. W trakcie ich prezentowania wprowadzimy definicję uwierzytelnienia oraz autoryzacji.

A może da się prościej? Zupełny brak uwierzytelniania / autoryzacji.

  • Prezentacja kolejnych realnych przykładów z życia wziętych. 
  • Nietypowe techniki omijania uwierzytelnienia.

Jak działa 2FA (dwuczynnikowe uwierzytelnienie) oraz przed czym chroni?

  • Czy da się ominąć 2FA? (SMSy, Klucze sprzętowe, ...)

Techniki bruteforce w służbie... omijania uwierzytelnienia / autoryzacji. Jak temu zapobiec?

  • Kiedy identyfikatory nie są losowe...
  • Jak brak ograniczenia na liczbę żądań może doprowadzić do katastrofy

Problemy z resetem hasła

  • Jak można było w banalny sposób zresetować hasło dowolnemu użytkownikowi w pewnej znanej aplikacji? 
  • Jak otrzymać email z resetem hasła ofiary?
  • Jak temu wszystkiemu zapobiec?

Jak bezpiecznie przechowywać hasła w bazie danych?

  • Które algorytmy najbardziej opierają się łamaniu? (pokazy na żywo)
  • Co daje, a czego nie daje sól?

Problemy bezpieczeństwa OAuth 2.0 oraz jak im zapobiec?

  • Łagodny wstęp do OAuth 2.0
  • Przegląd kilku ciekawych / częstych podatności w implementacji / konfiguracji OAuth 2.0
  • Unikanie problemów bezpieczeństwa

Kilka dodatkowych, wybranych podatności technicznych, które często prowadzą do ominięcia uwierzytelnienia czy autoryzacji

Szkolenie ma formę pokazów praktycznych.

Prowadzący szkolenie

Kurs prowadzony przez Michała Sajdaka, założyciela sekuraka. Michał 15 lat temu zaczynał swoją karierę w bezpieczeństwie IT właśnie od analizowania problemów bezpieczeństwa aplikacji webowych. Posiadacz certyfikatów: CISSP oraz CEH (Certified Ethical Hacker). Prelegent na konferencjach: Mega SHP, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW".

Kilka świeżych recenzji innego szkolenia prowadzonego przez tego samego szkoleniowca:

  • „3 godziny po szkoleniu wskazałem podatności które trzeba załatać. Dzięki czemu przytuliłem skrzynkę […]  :)”
  • Polecam dla początkujących i zaawansowanych. Jeśli ktoś dopiero zaczyna swoją przygodę w reconie to jest to najlepsze i najbardziej przystępne źródło wiedzy jakie kiedykolwiek widziałem.
  • Bardzo fajne szkolenie, duzo przydatnych informacji, super prowadzacy.
  • Super dawka wiedzy, przekazana w super formie. Czekam na więcej :)
  • Jestem pod wrażeniem ilości wiedzy, jaką człowiek jest w stanie zmieścić w 4h szkolenia. Piszę to ledwo widząc na oczy i podejrzewam że jeszcze parę dni minie zanim się całkowicie zrestartuje [Error 404]
  • Świetne szkolenie: dobrze uporządkowane, bez skakania po tematach, dużo treści merytorycznej, wszystko na bieżąco tłumaczone, bez niewyjaśnionej "magii" w terminalu prowadzącego. Wiedza przekazana bardzo przystępnie nawet dla osób z bardzo podstawową znajomością tematu :)
  • Mr Michał ;) to urodzony nauczyciel, jedno z lepszych treningow jakie widzialem. Na bank bede wracal na kolejne
  • Materiału tyle, że starczy na długi czas tylko aby wytrwałości do pracy nad nim starczyło. Polecam i chętnie wezmę znowu udział w następnym szkoleniu.

Data dodania: 7 lis 2020
Ostatnia aktualizacja: 21 sty 2021