Bezpieczeństwo Aplikacji WWW

ITSEC2

Opis

Szkolenie oparte jest o laboratorium wykorzystujące aplikacje w technologiach PHP, Java i ASP.NET. W trakcie zajęć przeprowadzona zostanie analiza środowiska sieciowego i usług oraz testy penetracyjne. Stworzony zostanie raport z przeprowadzonych testów. Zostaną również wdrożone zabezpieczenia eliminujące podatności i luki w aplikacjach WWW.

Cel

Celem szkolenia jest zapoznanie uczestników z następującymi zagadnieniami:

Bezpieczeństwo aplikacji WWW
Zagrożenia związane z zastosowaniem określonych technologii przy budowie aplikacji
Narzędzia wykorzystywane przy audytach bezpieczeństwa i testach penetracyjnych WWW
Rodzaje audytów (white box, black box)
Metody zabezpieczania aplikacji

Grupa docelowa

Na szkolenie zapraszamy:

Administratorów web
Audytorów i pentesterów
Osoby zajmujące się bezpieczeństwem zasobów IT w organizacjach/przedsiębiorstwach
Osoby chcące poznać zagrożenia, metody ochrony i sposoby testowania zabezpieczeń.

Wymagania

Wymagana jest podstawowa znajomość tematyki sieci.
Na szkoleniach wiedza będzie poszerzana, ale bazowe informacje będą przydatne, a nawet konieczne.

Konspekt

Audyt konfiguracji usług WWW
- Testy konfiguracji i implementacji protokołów HTTP/SSL/TLS
  - dozwolone metody HTTP
  - akceptowalne zestawy kryptograficzne
- Sprawdzenie konfiguracji serwera WWW/kontenera aplikacji, etc.
  - kontrola pozostawionych ustawień domyślnych
  - używane moduły/rozszerzenia serwera
Audyt i testy penetracyjne aplikacji
- Zabezpieczenia sesji użytkownika
  - możliwość przejęcia uwierzytelnionej sesji
  - poprawność wylogowywania użytkownika
- Testy zabezpieczeń przed logowaniem brute force
- Identyfikacja tzw. punktów wejścia – miejsc w aplikacji gdzie możliwa jest interakcja z aplikacją (formularze, sparametryzowane zapytania GET, nagłówki HTTP, etc.)
- Testy walidacji danych wejściowych w punktach wejścia
- Fuzzing danych w punktach wejścia
- SQL Injection
- Spidering aplikacji i próba pozyskania istniejących nielinkowanych,
- ukrytych oraz nieprzewidzianych w aplikacji URL
- Cross Site Scripting
- Testy bezpieczeństwa javascript
- Directory Traversal – nieuprawnionego dostępu do systemu plików na serwerach
- Command Injection
- HTML Injection, XPath Injection
Sprawdzenie usług towarzyszących
- Audyt konfiguracji bazy danych
- Audyt konfiguracji innych komponentów (SOAP, webserwisy, etc.)
- Analiza mocy kryptograficznej bazy haseł
Analiza logiczna aplikacji
- Sprawdzenie możliwości wykorzystania formularzy w sposób nieautoryzowany, np. do wysyłania poczty, pozyskania informacji, etc.
- Proces rejestracji użytkowników, procesu odzyskiwania, resetu haseł
- Zasady ustalania haseł użytkowników
- Badanie dodatkowych zabezpieczeń (captcha, upload plików na serwer, etc)

Uwagi

Szkolenie trwa 3 dni.

Oferta szkoleniowa dotyczy naszych ośrodków w Warszawie, Wrocławiu, Krakowie.
Możliwa jest także ich realizacja w lokalizacjach wskazanych przez klienta.
W sprawie terminów oraz innych pytań prosimy o kontakt:

Dział Handlowy OSEC:

e-mail: osec@osec.pl
tel: +48 22 861 96 04

For more details, please contact us at osec@osec.pl

Note: The course outline is subject to change as technology advances and the underlying job evolves. For questions or confirmation on a specific objective or topic, please contact us at osec@osec.pl

Cena netto:13200 PLNCena brutto:16236 PLNOpis

Kurs przyjęty do powyższej kalkulacji 1 EUR = 4.386 PLN – tabela nr. 226/C/NBP/2024, z dnia 2024-11-20. Obowiązująca od: 2024-11-21. Cena w PLN jest orientacyjna (wyliczana z EUR/USD wg kursu sprzedaży NBP z dnia wystawienia faktury). Przyjmujemy wpłaty w PLN lub EURO.

Uwaga

Oferujemy szkolenia wirtualne, self-paced oraz stacjonarne (w Warszawie i w lokalizacjach klienta).
W celu ustalenia szczegółów prosimy o kontakt na osec@osec.pl

Opis:

– Termin gwarantowany (GTR)

Terminy

Generuj PDF

Dodaj do koszyka

Formularz kontaktowy

Szkolenie

Osoba zgłaszająca