Websecurity master #2: problemy bezpieczeństwa JWT (JSON Web Token) - jak im zaradzić?

O szkoleniu

JSON Web Token - mechanizm niezmiernie popularny w kontekście zabezpieczenia rozmaitych mechanizmów API (ale nie tylko). Na przestrzeni lat zlokalizowano w nim (zarówno w specyfikacji jak i w implementacjach) sporo rozmaitych problemów bezpieczeństwa.

Szkolenie idealne dla programistów / testerów / architektów aplikacji czy osoby zajmujące się bezpieczeństwem IT. 

Termin

Rozpoczęcie: 13.05.2021r., godzina 13:00. Zakończenie - około 15:00. Miejsce: on-line (pełne informacje wysyłane są dzień przed wydarzeniem). Kontroluj od czasu do czasu spam. Jeśli ktoś nie zdąży, lub akurat nie będzie mógł dołączyć - film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia (również dla tych, którzy normalnie wzięli udział).
 

Agenda wydarzenia

Wprowadzenie do JWT

  • Jak wygląda token?
  • Jak działają podpisy tokenów i do czego służą?
  • Czy istnieją tokeny w pełni "szyfrowane"? (JWE)

Przykłady omijania zabezpieczeń oferowanych przez JWT (oraz metody zapobiegania tym podanościom)

  • Słaba parametryzacja bibliotek JWT
  • Wykorzystanie słabych algorytmów
  • Proste i (niestety) skuteczne metody omijania podpisów JWT

Przykłady błędów bezpieczeństwa w samych bibliotekach JWT

  • Omówienie realnych podatności w różnych technologiach

Przykłady poważnych błędów bezpieczeństwa w aplikacjach wykorzystujących JWT (case studies)

Podsumowanie

  • Lista dobrych praktyk w kontekście bezpiecznego użycia JWT
  • Czy istnieje jakaś bezpieczna alternatywa do JWT?

Szkolenie ma formę pokazów praktycznych, dodatkowo uczestnicy otrzymują dostęp do aplikacji treningowej (dostęp na rok), na której mogą po szkoleniu przetestować oraz utrwalić zdobytą wiedzę. 

Prowadzący szkolenie

Kurs prowadzony przez Michała Sajdaka, założyciela sekuraka. Michał 15 lat temu zaczynał swoją karierę w bezpieczeństwie IT właśnie od analizowania problemów bezpieczeństwa aplikacji webowych. Posiadacz certyfikatów: CISSP oraz CEH (Certified Ethical Hacker). Prelegent na konferencjach: Mega SHP, PWNing, WTH, Confidence, Secure, SEMAFOR, Securitybsides, PLNOG, Infoshare, OWASP Day, oraz wielu innych. Pomysłodawca, redaktor główny oraz współautor bestsellerowej książki "Bezpieczeństwo aplikacji WWW".

Kilka świeżych recenzji innego szkolenia prowadzonego przez tego samego szkoleniowca:

  • „3 godziny po szkoleniu wskazałem podatności które trzeba załatać. Dzięki czemu przytuliłem skrzynkę […]  :)”
  • Polecam dla początkujących i zaawansowanych. Jeśli ktoś dopiero zaczyna swoją przygodę w reconie to jest to najlepsze i najbardziej przystępne źródło wiedzy jakie kiedykolwiek widziałem.
  • Bardzo fajne szkolenie, duzo przydatnych informacji, super prowadzacy.
  • Super dawka wiedzy, przekazana w super formie. Czekam na więcej :)
  • Jestem pod wrażeniem ilości wiedzy, jaką człowiek jest w stanie zmieścić w 4h szkolenia. Piszę to ledwo widząc na oczy i podejrzewam że jeszcze parę dni minie zanim się całkowicie zrestartuje [Error 404]
  • Świetne szkolenie: dobrze uporządkowane, bez skakania po tematach, dużo treści merytorycznej, wszystko na bieżąco tłumaczone, bez niewyjaśnionej "magii" w terminalu prowadzącego. Wiedza przekazana bardzo przystępnie nawet dla osób z bardzo podstawową znajomością tematu :)
  • Mr Michał ;) to urodzony nauczyciel, jedno z lepszych treningow jakie widzialem. Na bank bede wracal na kolejne
  • Materiału tyle, że starczy na długi czas tylko aby wytrwałości do pracy nad nim starczyło. Polecam i chętnie wezmę znowu udział w następnym szkoleniu.

Data dodania: 1 gru 2020
Ostatnia aktualizacja: 24 lut 2021