Websecurity master #3: jak stosować nowoczesne mechanizmy przeglądarkowe w celu zabezpieczenia aplikacji webowej?

O szkoleniu

W ostatnich latach twórcy najpopularniejszych przeglądarek webowych wprowadzili szereg mechanizmów, których celem jest zwiększenie bezpieczeństwa aplikacji www oraz ich użytkowników. Praktyka pokazuje, że wiele z nich nie jest jednak zbyt powszechnie używanych w dzisiejszych aplikacjach. Może pora to zmienić? Na tym szkoleniu pokażemy jak działają te mechanizmy oraz przed jakimi konkretnie atakami chronią.

Szkolenie idealne dla programistów / testerów / architektów aplikacji czy osoby zajmujące się bezpieczeństwem IT. 

Termin

Rozpoczęcie: 23.07.2021r., godzina 09:00. Zakończenie - około 12:30. Miejsce: on-line (pełne informacje wysyłane są dzień przed wydarzeniem). Kontroluj od czasu do czasu spam. Jeśli ktoś nie zdąży, lub akurat nie będzie mógł dołączyć - film (z zapisem chatu) będzie dostępny przez miesiąc po zakończeniu wydarzenia (również dla tych, którzy normalnie wzięli udział).
 

Agenda wydarzenia

Wprowadzenie

  • Omówienie podstawowych ataków przeglądarkowych na aplikację webowe (XSS, CSRF, eksfiltracja danych)
  • Omówienie problemów, z jakimi borykają się twórcy przeglądarek w świecie po ujawnieniu podatności Spectre

Content Security Policy (CSP)

  • Omówienie podstaw działania mechanizmu CSP,
  • Omówienie problemów przy wdrazaniu CSP,
  • Przedstawienie kilku przykładowych polityk CSP wraz z ich przypadkami użycia

Flagi i atrybuty Cookies

  • Omówienie działania flag HttpOnly i Secure
  • Dlaczego atrybut SameSite stanowi dobrą ochroną przed atakiem CSRF?
  • Omówienie prefiksów ciasteczek (__Secure i __Host),

Fetch Metadata

  • Wykorzystanie danych z Fetch Metadata do lepszego podejmowania decyzji na temat treści zwracanej użytkownikowi

Pomniejsze mechanizmy bezpieczeństwa:

  • Clear-Site-Data - skuteczne czyszczenie wszystkich danych aplikacji,
  • Cross-Origin-Opener-Policy
  • Cross-Origin-Embedder-Policy i Cross-Origin-Resource-Policy
  • Feature-Policy / Permissions-Policy

Szkolenie ma formę pokazów praktycznych, dodatkowo uczestnicy otrzymują dostęp do aplikacji treningowej (dostęp na rok), na której mogą po szkoleniu przetestować oraz utrwalić zdobytą wiedzę. 

Prowadzący szkolenie

Kurs prowadzony przez Michała Bentkowskiego. Michał specjalizuje się w bezpieczeństwie aplikacji webowych ze szczególnym naciskiem na frontend. Ma w swoim dorobku wiele błędów bezpieczeństwa znajdowanych w ramach programów bug bounty zarówno w aplikacjach webowych, jak i przeglądarkach. Posiadacz certyfikatów: CISSP oraz CEH (Certified Ethical Hacker). Prelegent na konferencjach: Mega SHP, WTH, OMH, Confidence, Secure, SEMAFOR, OWASP Day, oraz wielu innych. Jeden ze współautorów książki "Bezpieczeństwo aplikacji WWW".


Data dodania: 10 wrz 2021
Ostatnia aktualizacja: 10 wrz 2021