Cena Netto:
12 000.00 PLN
Brutto: 14 760.00 PLN
Nadchodzące szkolenia:
Generuj PDF

Zapisz się

Opis

Szkolenie oparte jest o laboratorium wykorzystujące aplikacje w technologiach PHP, Java i ASP.NET.
W trakcie zajęć przeprowadzona zostanie analiza środowiska sieciowego i usług oraz testy penetracyjne.
Stworzony zostanie raport z przeprowadzonych testów.
Zostaną również wdrożone zabezpieczenia eliminujące podatności i luki w aplikacjach WWW.

Cel

Celem szkolenia jest zapoznanie uczestników z następującymi zagadnieniami:

  • Bezpieczeństwo aplikacji WWW
  • Zagrożenia związane z zastosowaniem określonych technologii przy budowie aplikacji
  • Narzędzia wykorzystywane przy audytach bezpieczeństwa i testach penetracyjnych WWW
  • Rodzaje audytów (white box, black box)
  • Metody zabezpieczania aplikacji

Grupa docelowa:

Na szkolenie zapraszamy:

  • Administratorów web
  • Audytorów i pentesterów
  • Osoby zajmujące się bezpieczeństwem zasobów IT w organizacjach/przedsiębiorstwach
  • Osoby chcące poznać zagrożenia, metody ochrony i sposoby testowania zabezpieczeń. 

Uwagi:

Szkolenie trwa 3 dni.

Oferta szkoleniowa dotyczy naszych ośrodków w Warszawie, Wrocławiu, Krakowie.
Możliwa jest także ich realizacja w lokalizacjach wskazanych przez klienta.
W sprawie terminów oraz innych pytań prosimy o kontakt:

Dział Handlowy OSEC:

  • e-mail: osec@osec.pl
  • tel: +48 22 861 96 04

Wymagania:

Wymagana jest podstawowa znajomość tematyki sieci.
Na szkoleniach wiedza będzie poszerzana, ale bazowe informacje będą przydatne, a nawet konieczne.

Konspekt

  1. Audyt konfiguracji usług WWW
    • Testy konfiguracji i implementacji protokołów HTTP/SSL/TLS
      • dozwolone metody HTTP
      • akceptowalne zestawy kryptograficzne
    • Sprawdzenie konfiguracji serwera WWW/kontenera aplikacji, etc.
      • kontrola pozostawionych ustawień domyślnych
      • używane moduły/rozszerzenia serwera
  2. Audyt i testy penetracyjne aplikacji
    • Zabezpieczenia sesji użytkownika
      • możliwość przejęcia uwierzytelnionej sesji
      • poprawność wylogowywania użytkownika
    • Testy zabezpieczeń przed logowaniem brute force
    • Identyfikacja tzw. punktów wejścia – miejsc w aplikacji gdzie możliwa jest interakcja z aplikacją (formularze, sparametryzowane zapytania GET, nagłówki HTTP, etc.)
    • Testy walidacji danych wejściowych w punktach wejścia
    • Fuzzing danych w punktach wejścia
    • SQL Injection
    • Spidering aplikacji i próba pozyskania istniejących nielinkowanych,
    • ukrytych oraz nieprzewidzianych w aplikacji URL
    • Cross Site Scripting
    • Testy bezpieczeństwa javascript
    • Directory Traversal – nieuprawnionego dostępu do systemu plików na serwerach
    • Command Injection
    • HTML Injection, XPath Injection
  3. Sprawdzenie usług towarzyszących
    • Audyt konfiguracji bazy danych
    • Audyt konfiguracji innych komponentów (SOAP, webserwisy, etc.)
    • Analiza mocy kryptograficznej bazy haseł
  4.  Analiza logiczna aplikacji
    • Sprawdzenie możliwości wykorzystania formularzy w sposób nieautoryzowany, np. do wysyłania poczty, pozyskania informacji, etc.
    • Proces rejestracji użytkowników, procesu odzyskiwania, resetu haseł
    • Zasady ustalania haseł użytkowników
    • Badanie dodatkowych zabezpieczeń (captcha, upload plików na serwer, etc)