Testy bezpieczeństwa nowoczesnych aplikacji internetowych

Czas trwania szkolenia:3 dni (24h)

Kod kursu:SEC/WEB

Poziom zaawansowania:
owasp

Szkolenie na zamówienie

Szkolenie dostosowane do potrzeb Twojego zespołu. Dostępne wyłącznie na zamówienie.

  • Dostosowany program
  • Indywidualna wycena
  • Dowolny termin
Icon with laptop

O szkoleniu Testy bezpieczeństwa nowoczesnych aplikacji internetowych

W cenie otrzymasz:

  • Materiały szkoleniowe
  • Certyfikat ukończenia szkolenia
  • W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki

Dla kogo?

  • Szkolenie jest kierowane do testerów, programistów, administratorów aplikacji, audytorów oraz fascynatów bezpieczeństwa pragnących zdobyć całościową wiedzę z zakresu prowadzenia testów penetracyjnych oraz wykorzystania jej do weryfikacji bezpieczeństwa złożonych systemów informatycznych

Wymagania

  • Od uczestników wymagane jest doświadczenie w pracy z aplikacjami internetowymi - najlepiej jako programista lub wdrożeniowiec albo doświadczenie z dziedziny bezpieczeństwa takich rozwiązań
  • Znajomość podstaw Java oraz .NET a także podstaw administracji w systemach Windows i Linux pozwoli bezboleśnie przejść przez wszystkie laboratoria
  • Oprogramowanie można uruchomić jako kontenery Docker lub w maszynie wirtualnej VirtualBox

Zalety

  • Mocną stroną szkolenia są przykłady dla aplikacji .NET (stack Microsoft) i Java (Spring Boot i Docker)
  • Uczestnicy wykonują zadania związane z projektem testów penetracyjnych na laboratorium w formie zwirtualizowanego środowiska symulującego typowej problemy złożonej infrastruktury
  • Praktyka przed teorią - wszystkie szkolenia technologiczne prowadzone są w formie warsztatowej. Konieczna teoria jest wyjaśniana na przykładzie praktycznych zadań
  • Nauka z praktykami - wszyscy trenerzy na co dzień pracują w projektach, gwarantuje to dostęp do eksperckiej wiedzy i praktycznego know-how
  • Wykorzystanie narzędzi OWASP ZAP (szkolenia otwarte) i Burp Suite (dedykowane, jeśli klient jest zainteresowany i posiada licencję)

Cele szkolenia

  • Przekazanie wiedzy, która uczyni z uczestnika nie tylko weryfikatora bezpieczeństwa na podstawie baz wiedzy i gotowych exploitów ale da podstawy do zostania researcherem bezpieczeństwa zdolnym do pracy z nieznanymi aplikacjami i protokołami oraz wyszukiwania nowych podatności w nich

Program

Rodzaje testów penetracyjnych

  • Metodyki, typy i fazy testów penetracyjnych
  • Checklisty w testach penetracyjnych, standardy kodowania: CIS, CERT

Rodzaje podatności, typy podatności według różnych klasyfikacji

  • Klasyfikacja podatności według OWASP i CWE
  • baza podatności CVE
  • metody szacowania ryzyka, modelowanie zagrożeń

Narzędzia do rekonesansu

  • Amass, subfinder, Foca
  • MassDNS
  • Google dorks
  • Shodan

Narzędzia do rozponania aplikacji

  • nmap, skrypty nmap-a
  • Fingerprinting za pomocą komunikatów błędów
  • Użycie narzędzi ffuf i dirb oraz baz FuzzDB i Directory List do odkrywania ukrytych zasobów
  • Użycie kiterunner do odkrywania ukrytych API
  • Użycie Param Miner lub Arjun do odkrywania ukrytych parametrów
  • Użycie JSMiner do odkrywania zasobów i danych ukrytych w plikach Javascript

Ataki na aplikacje webowe

  • Wykorzystanie funkcjonalności debug
  • Problem z uwierzytelnianiem i autoryzacją np zarządzanie sesją, ataki na JWT
  • Ataki na fukcjonalności logowania, rejestracji użytkowników i odzyskiwanie hasła
  • SQL/HQL Injection z wykorzystaniem SQLMap
  • Podatności typu (XPath, XML, Command, Script, LDAP)-Injection
  • Niebezpieczna deserializacja w Javie i .NET
  • Wykonanie kodu przez funkcjonalność uploadu plików
  • Mass assignment
  • Ataki na usługi REST JAX-RS
  • Wstrzykiwanie kodu Javascript: XSS
  • Wykonanie akcji w uwierzytelnionej sesji użytkownika: CSRF
  • Bezpośredni dostęp do danych i obiektów (IDOR)
  • Path Traversal, nieuprawnione pobieranie lokalnych i zdalnych plików
  • Ataki związane z przetwarzaniem XML: XXE
  • Spring EL Injection, ataki na Spring Framework
  • Template Injection
  • OGNL Injection
  • HTTP Request Smuggling
  • Ataki na systemy backendowe przez błędy w aplikacjach frontowych

Narzędzia do testów manualnych typu proxy

  • Wykorzystanie Burp Suite, OWASP ZAP

Automatyczne skanery bezpieczeństwa

  • Wykorzystanie OWASP ZAP, Burp Suite Scan, OpenVAS
  • Rozbudowa skanera o własne reguły z pomocą Burp Bounty (Burp Suite)
  • Narzędzia zapewniające bezpieczeństwo w trakcie developmentu: OWASP Dependency Check, Retire.js, Find-Sec-Bugs, Semgrep

Zbiory exploitów

  • Wykorzystanie Metasploit

Skrypty i automatyzacja testów bezpieczeństwa

  • Wykorzystanie ZAP i Mozilla ZEST
  • Integracja OWASP ZAP z Jenkins
  • Wykrywanie dziurawych komponentów z OWASP Dependency Check w CI

Testowanie WebServices

  • XXE
  • SOAP
  • XSLT
  • BPEL

Kryptografia

  • Weryfikacja poprawnej konfiguracji SSL
  • Ataki Man-in-the-middle
  • Słabości w implementacji kryptografii

Ataki DoS i DDoS

  • Ataki na logikę aplikacji: ReDOS, XML Bomb, Flood

Cloud

  • Specyficzne zagadnienia dla cloud: AWS
  • Narzędzie ScoutSuite

Zarządzanie informacją w trakcie testu penetracyjnego

  • Budowanie bazy wiedzy i bazy ataków
  • Dradis Framework, Faraday IDE, Magic Tree

Tworzenie raportu

  • Co powinien zawierać dobry raport z testów penetracyjnych?
  • Jak formułować zalecenia i obejścia?
  • Jak bezpiecznie dostarczyć raport do klienta?
  • Jak opisać podatność i uzyskać CVE?

Podobne szkolenia