HTML5 Hacking

HTML5 Hacking - szkolenie

HTML 5 zyskuje coraz większą popularność. Już teraz korzysta z niego Facebook, YouTube, a niebawem także Microsoft wprowadzi go do Bing.com. Również w Polsce obserwujemy wzrost webaplikacji tworzonych przy pomocy HTML 5… niestety, HTML 5 jak każda nowa technologia, oprócz możliwości niesie za sobą sporo pułapek… Poniższe, dwudniowe szkolenie ukazuje problemy związane z HTML 5, demonstruje ataki na webaplikacje napisane w tym języku oraz metody ochrony przed nimi.

Dzięki temu szkoleniu

  • poznasz techniki ataków i programy wykorzystywane przez współczesnych włamywaczy
  • nauczysz się korzystać z narzędzi do testowania bezpieczeństwa webaplikacji HTML 5
  • dowiesz się w jaki sposób można zabezpieczyć aplikacje webowe przed atakami
  • własnoręcznie przeprowadzisz skuteczne ataki na webaplikacje
  • dogłębnie poznasz problemy bezpieczeństwa związane z językiem HTML 5

Do kogo skierowane jest to szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca ociera się o aplikacje webowe, a więc:

  • programistów i testerów,
  • administratorów oraz architektów i projektantów systemów komputerowych
  • audytorów i pentesterów,
  • oficerów zespołów bezpieczeństwa

…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie bezpieczeństwa aplikacji internetowych — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że z poznane ataki i narzędzia będzie wykorzystywał wyłącznie w celu testowania bezpieczeństwa swoich własnych sieci i webaplikacji.

Termin i czas trwania szkolenia

Szkolenie “Hacking HTML5″ trwa 2 dni, najbliższy termin to 17-18 października 2013, na który jest jeszcze 8 wolnych miejsc. Ostatnia osoba zarejestrowała się 17 września 2013r.

Zaczynamy o 9:00, a kończymy w momencie, w którym z sił opadnie ostatnia osoba :-)

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z krakowskich pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia:

  1. HTML 5 – wstęp
  2. Same origin policy – założenia i szczegóły techniczne
  3. XSS
    • – nowe wektory ataków w HTML5
      – ataki przy zablokowanym JavaScript
      – nowe możliwości ukrywania ataków
      – omijanie zabezpieczeń filtrów
  4. Cross document messaging
    • – możliwości technologii
      – ataki i obrona
  5. Cross Origin Resource Sharing
    • – zmiany w same origin policy i konsekwencie
      – przykład włamania do aplikacji HTML4 dzięki HTML5
      – jak zabezpieczyć aplikację
  6. Offline Web Applications, przechowywanie danych po stronie klienta
    • – możliwości
      – implementacja
      – wykorzystanie w atakach (sidejacking i cache poisoning)
      – evercookie
  7. Web SQL
    • – możliwości
      – atakowanie i zabezpieczanie
  8. Web Sockets
    • – możliwości
      – architektura
      – tworzenie i atakowanie aplikacji opartych o WebSockets
      – jak poprawnie implementować serwer WebSockets
  9. Web Workers
    • – możliwości API
      – bezpieczne użycie Web Workers
      – ataki z użyciem Web Workers
  10. Filtry Anti-XSS w przelgądarkach
    • – zasada działania
      – skuteczne omijanie filtrów
  11. IFrame w HTML5
    • – nowe funkcjonalności i sandboxing
      – nowe podatności
      – next generation clickjacking
      – nowe możliwości ataków clickjacking, również na aplikacje HTML4
      – jak zabezpieczyć aplikację
  12. Geolokalizacja
    • – zasada działania geolokalizacji
  13. Canvas – omówienie kwestii bezpieczeństwa
  14. Atakowanie przy użyciu SVG
  15. Ataki E4X
  16. Narzędzia do przeprowadzania ataków HTML5
  17. Podsumowanie
Każdy z podpunktów związany jest z praktycznym ćwiczeniem. Podczas omawiania konkretnego ataku, zawsze pokazujemy jak się przed nim obronić. Dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.

Trener

Szkolenie poprowadzi Krzysiek Kotowicz, security researcher i webdeveloper z wieloletnim doświadczeniem w projektowaniu i wdrażaniu aplikacji intra- i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w PHP.

Obecnie interesuje się bezpieczeństwem HTML5 i innymi technologiami wbudowanymi w najnowsze browsery. Na swoim blogu prezentuje nowe narzędzia, techniki ataków i przemyślenia związane z branżą webappsec.

Lokalizacja

Warszawa, rzut beretem od Dworca Centralnego. Szczegółowe dane wysyłane są uczestnikom po rejestracji na szkolenie.

Nasza sala szkoleniowa jest klimatyzowana. Programy, z których będziemy korzystać podczas szkolenia otrzymacie od nas na własność na płytach CD. Szkolenie odbywa się w formule BYOL (Bring Your Own Laptop) — wymagane jest posiadanie darmowego, dostępnego na każdy system operacyjny, programu VirtualBox, trener przed szkolenie udostępni obraz wirtualnej maszyny, na której będą odbywały się laboratoria.

Cena:

2199 PLN netto +VAT

    Cena obejmuje:
    • 2 dni szkoleniowe,
    • 2 obiady w pobliskiej restauracji,
    • catering w przerwach (kawa, herbata, soki, ciasteczka),
    • materiały szkoleniowe (podręcznik, wieczysty, nielimitowany, dostęp do FTP z na bieżąco aktualizowanymi materiałami dodatkowymi i oprogramowaniem wspomagającym przeprowadzanie testów penetracyjnych aplikacji webowych),
    • certyfikat ukończenia szkolenia
    • gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu. Kto pierwszy, ten lepszy.

Pozostało 8 wolnych miejsc. Ostatnia osoba zarejestrowała się 17 września 2013.

Brzmi świetnie, chce się zapisać!

Jeśli chcesz wziąc udział w szkoleniu zarejestruj się telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

Na które szkolenie chcesz się zarejestrować? (wybierz)

Imię i nazwisko (wymagane)

Adres e-mail (wymagane)

Numer telefonu: (oddzwonimy)

Stanowisko:

Tematykę szkolenia znam:

Dane Firmy (do faktury):
Nazwa firmy:

Adres firmy (miasto, kod, ulica, numer):

NIP firmy:

Uwagi? Pytania?

Akceptuje regulamin szkolenia

Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.

O szkoleniach Niebezpiecznika

Nasze szkolenia posiadają unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.

Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami).

Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.

powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.

Dobra, przekonaliście mnie, chcę się zapisać!