HTML 5 zyskuje coraz większą popularność. Już teraz korzysta z niego Facebook, YouTube, a niebawem także Microsoft wprowadzi go do Bing.com. Również w Polsce obserwujemy wzrost webaplikacji tworzonych przy pomocy HTML 5… niestety, HTML 5 jak każda nowa technologia, oprócz możliwości niesie za sobą sporo pułapek… Poniższe, dwudniowe szkolenie ukazuje problemy związane z HTML 5, demonstruje ataki na webaplikacje napisane w tym języku oraz metody ochrony przed nimi.
Dzięki temu szkoleniu
- poznasz techniki ataków i programy wykorzystywane przez współczesnych włamywaczy
- nauczysz się korzystać z narzędzi do testowania bezpieczeństwa webaplikacji HTML 5
- dowiesz się w jaki sposób można zabezpieczyć aplikacje webowe przed atakami
- własnoręcznie przeprowadzisz skuteczne ataki na webaplikacje
- dogłębnie poznasz problemy bezpieczeństwa związane z językiem HTML 5
Do kogo skierowane jest to szkolenie?
Szkolenie kierujemy przede wszystkim do osób, których praca ociera się o aplikacje webowe, a więc:
- programistów i testerów,
- administratorów oraz architektów i projektantów systemów komputerowych
- audytorów i pentesterów,
- oficerów zespołów bezpieczeństwa
…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie bezpieczeństwa aplikacji internetowych — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)
Termin i czas trwania szkolenia
Szkolenie “Hacking HTML5” trwa 2 dni, najbliższy termin to 17-18 października 2013, na który jest jeszcze 8 wolnych miejsc. Ostatnia osoba zarejestrowała się 17 września 2013r.
Zaczynamy o 9:00, a kończymy w momencie, w którym z sił opadnie ostatnia osoba :-)
Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z krakowskich pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…
Tematyka szkolenia:
- HTML 5 – wstęp
- Same origin policy – założenia i szczegóły techniczne
- XSS
- Cross document messaging
- Cross Origin Resource Sharing
- Offline Web Applications, przechowywanie danych po stronie klienta
- Web SQL
- Web Sockets
- Web Workers
- Filtry Anti-XSS w przelgądarkach
- IFrame w HTML5
- Geolokalizacja
- Canvas – omówienie kwestii bezpieczeństwa
- Atakowanie przy użyciu SVG
- Ataki E4X
- Narzędzia do przeprowadzania ataków HTML5
- Podsumowanie
-
— nowe wektory ataków w HTML5
— ataki przy zablokowanym JavaScript
— nowe możliwości ukrywania ataków
— omijanie zabezpieczeń filtrów
-
— możliwości technologii
— ataki i obrona
-
— zmiany w same origin policy i konsekwencie
— przykład włamania do aplikacji HTML4 dzięki HTML5
— jak zabezpieczyć aplikację
-
— możliwości
— implementacja
— wykorzystanie w atakach (sidejacking i cache poisoning)
— evercookie
-
— możliwości
— atakowanie i zabezpieczanie
-
— możliwości
— architektura
— tworzenie i atakowanie aplikacji opartych o WebSockets
— jak poprawnie implementować serwer WebSockets
-
— możliwości API
— bezpieczne użycie Web Workers
— ataki z użyciem Web Workers
-
— zasada działania
— skuteczne omijanie filtrów
-
— nowe funkcjonalności i sandboxing
— nowe podatności
— next generation clickjacking
— nowe możliwości ataków clickjacking, również na aplikacje HTML4
— jak zabezpieczyć aplikację
-
— zasada działania geolokalizacji
Lokalizacja
Warszawa, rzut beretem od Dworca Centralnego. Szczegółowe dane wysyłane są uczestnikom po rejestracji na szkolenie.
Cena:
2199 PLN netto +VAT
-
Cena obejmuje:
- 2 dni szkoleniowe,
- 2 obiady w pobliskiej restauracji,
- catering w przerwach (kawa, herbata, soki, ciasteczka),
- materiały szkoleniowe (podręcznik, wieczysty, nielimitowany, dostęp do FTP z na bieżąco aktualizowanymi materiałami dodatkowymi i oprogramowaniem wspomagającym przeprowadzanie testów penetracyjnych aplikacji webowych),
- certyfikat ukończenia szkolenia
- gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)
Pozostało 8 wolnych miejsc. Ostatnia osoba zarejestrowała się 17 września 2013.
Brzmi świetnie, chce się zapisać!
Jeśli chcesz wziąc udział w szkoleniu zarejestruj się telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:
Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.
O szkoleniach Niebezpiecznika
Nasze szkolenia posiadają unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.
Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami).
Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.
powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!
Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.
Dobra, przekonaliście mnie, chcę się zapisać!