21:51
16/12/2010

HTML 5 zyskuje coraz większą popularność. Już teraz korzysta z niego Facebook, YouTube, a niebawem także Microsoft wprowadzi go do Bing.com. Również w Polsce obserwujemy wzrost webaplikacji tworzonych przy pomocy HTML 5… niestety, HTML 5 jak
każda nowa technologia, oprócz możliwości niesie za sobą sporo pułapek…
Poniżej przedstawiamy nowe, jednodniowe szkolenie, które ukazuje problemy związane z HTML 5, demonstrując ataki na webaplikacje napisane w tym języku oraz metody ochrony przed nimi.

HTML5 Hacking

HTML5 Hacking - szkolenie

O Szkoleniu Hacking HTML 5

Szkolenie skierowane jest przede wszystkim do programistów, którzy chcą tworzyć bezpieczne webaplikacje w HTML 5. Na pewno przyda się również pentesterom i osobom z działów bezpieczeństwa.

Szkolenie przeprowadzane jest w unikalnej formule: maksimum praktyki przy minimum teoretyzowania. Po każdym zagadnieniu uczestnicy wykonają praktyczne ćwiczenia polegające na przeprowadzeniu ataku i implementacji odpowiedniej ochrony przed nim. Uczestnikom do dyspozycji oddana zostanie specjalnie przygotowana webaplikacja, ukazująca wszystkie omawiane na szkoleniu problemy języka HTML 5. To właśnie na jej przykładzie zaprezentowane zostaną narzędzia służące do przeprowadzania ataków i ochrony przed nimi.

Program szkolenia:

  1. HTML 5 – wstęp
  2. Same origin policy – założenia i szczegóły techniczne
  3. XSS
    • — nowe wektory ataków w HTML5
      — ataki przy zablokowanym JavaScript
      — nowe możliwości ukrywania ataków
  4. Cross document messaging
    • — możliwości technologii
      — ataki i obrona
  5. Cross Origin Resource Sharing
    • — zmiany w same origin policy i konsekwencie
      — przykład włamania do aplikacji HTML4 dzięki HTML5
      — jak zabezpieczyć aplikację
  6. Offline cache i przechowywanie danych po stronie klienta
    • — możliwości
      — implementacja
      — wykorzystanie w atakach (sidejacking i cache poisoning)
      — evercookie
  7. Web SQL
    • — możliwości
      — atakowanie i zabezpieczanie
  8. Web sockets
    • — możliwości
      — architektura
      — tworzenie i atakowanie aplikacji opartych o WebSockets
      — jak poprawnie implementować serwer WebSockets
  9. IFrame w HTML5
    • — nowe funkcjonalności i sandboxing
      — nowe podatności
      — nowe możliwości ataków clickjacking, również na aplikacje HTML4
      — jak zabezpieczyć aplikację
  10. Geolokalizacja
    • — zasada działania geolokalizacji
      — ataki timingowe na geolokalizację
  11. Canvas – omówienie kwestii bezpieczeństwa
  12. Atakowanie przy użyciu SVG
  13. Ataki E4X
  14. Podsumowanie

 

Prowadzący

Szkolenie poprowadzi Krzysiek Kotowicz, security researcher i webdeveloper z wieloletnim doświadczeniem w projektowaniu i wdrażaniu aplikacji intra- i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w PHP

Obecnie interesuje się bezpieczeństwem HTML5 i innymi technologiami wbudowanymi w najnowsze browsery. Na swoim blogu prezentuje nowe narzędzia, techniki ataków i przemyślenia związane z branżą webappsec.

Termin szkolenia / Cena

Szkolenie odbędzie się w Krakowie, 24 stycznia 2011
Cena: 999 PLN netto za osobę (w cenie: catering (obiad, przerwy kawowe), materiały szkoleniowe oraz certyfikat ukończenia szkolenia.
Zarejestruj się na to szkolenie


Gdyby ktoś z Was musiał wydać środki budżetowe jeszcze w tym roku kalendarzowym, dajcie znać tutaj — zobaczymy co da się zrobić.

O szkoleniach Niebezpiecznika…

Opinie na temat prowadzonych przez nas szkoleń możecie poczytać tutaj. Najlepszą rekomendacją będzie jednak fakt, że od sierpnia 2010 do grudnia 2010 przeszkoliliśmy już ponad 120 osób i wszystkie z nich w ankietach poszkoleniowych wykazały średnio 41% wzrost swojej wiedzy, a średnia ocena naszego szkolenia wystawiona przez uczestników to  9.1 w 10 stopniowej skali. Liczby nie kłamią, jesteśmy nieźli! Pohackuj z nami!

P.S. po szkoleniach gwarantujemy całkiem niezłe imprezy w pobliskim shisha pubie ;)

Przeczytaj także:



14 komentarzy

Dodaj komentarz
  1. A szkolenie z RE kiedy? Jakieś poważniejsze plany są?

    Pozdrawiam,
    Paweł

    • Paweł, powoli rozbudowujemy ofertę. RE niebawem :)

  2. trochę drogo, ale przydatna wiedza, na pewno!

  3. Czemu pięść w logo ma 6 palców?

    • Boddah: 6? Jest pięć. Programiści liczą od zera ;)

  4. Na pewno fajne i ciekawe szkolenie.

    Nie rozumiem jedynie punktu 7. Po co omawiać coś, co nie żyje?
    http://www.w3.org/TR/webdatabase/

    ” Beware. This specification is no longer in active maintenance and the Web Applications Working Group does not intend to maintain it further. “

  5. @Piotr: Tak? Zależy w jakim języku programują :P

    • Paweł: Jak to już koto wspomniał na fb: there are 1 kind of people. Those who start indexing from 0 and those who are off-by-one ;)

  6. Programiści paskala albo wymarli, albo się przerzucili na inne języki.

  7. Męczy mnie jedna kwestia: czy istnieje taki plain text (a-f 0-9 len 32) dla którego md5 jest taki sam jak plain ?

  8. @Kamil

    O, zdecydowanie żyje – Chrome, Safari i Opera wspierają to już. Specyfikacja Web SQLa została zatrzymana z powodów “politycznych” przez MS i Mozillę, Mozilla promuje tutaj Indexed DB, ale jak sprawa się rozwinie – zobaczymy. Na razie masz w kilku przeglądarkach już działającą implementację, a skoro to już jest, to zajmiemy się tego bezpieczeństwem.

  9. @Krzysztof: to trochę takie kopanie leżącego, taka była moja pierwsza myśl :D Tak czy siak szkolenie na pewno będzie ciekawe i jeśli uda mi się wygospodarzyć taką kwotę to zawitam na szkoleniu. Powodzenia! :)

  10. Co ma sql do html bo troche nie lapie

  11. […] jeszcze 2 miejsca na poniedziałkowe szkolenie z atakowania i ochrony webaplikacji napisanych w HTML5. Jest okazja, żeby zgarnąć je po sporo obniżonej cenie […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: