16/12/2010
HTML 5 zyskuje coraz większą popularność. Już teraz korzysta z niego Facebook, YouTube, a niebawem także Microsoft wprowadzi go do Bing.com. Również w Polsce obserwujemy wzrost webaplikacji tworzonych przy pomocy HTML 5… niestety, HTML 5 jak
każda nowa technologia, oprócz możliwości niesie za sobą sporo pułapek…
Poniżej przedstawiamy nowe, jednodniowe szkolenie, które ukazuje problemy związane z HTML 5, demonstrując ataki na webaplikacje napisane w tym języku oraz metody ochrony przed nimi.
O Szkoleniu Hacking HTML 5
Szkolenie skierowane jest przede wszystkim do programistów, którzy chcą tworzyć bezpieczne webaplikacje w HTML 5. Na pewno przyda się również pentesterom i osobom z działów bezpieczeństwa.
Szkolenie przeprowadzane jest w unikalnej formule: maksimum praktyki przy minimum teoretyzowania. Po każdym zagadnieniu uczestnicy wykonają praktyczne ćwiczenia polegające na przeprowadzeniu ataku i implementacji odpowiedniej ochrony przed nim. Uczestnikom do dyspozycji oddana zostanie specjalnie przygotowana webaplikacja, ukazująca wszystkie omawiane na szkoleniu problemy języka HTML 5. To właśnie na jej przykładzie zaprezentowane zostaną narzędzia służące do przeprowadzania ataków i ochrony przed nimi.
Program szkolenia:
- HTML 5 – wstęp
- Same origin policy – założenia i szczegóły techniczne
- XSS
- Cross document messaging
- Cross Origin Resource Sharing
- Offline cache i przechowywanie danych po stronie klienta
- Web SQL
- Web sockets
- IFrame w HTML5
- Geolokalizacja
- Canvas – omówienie kwestii bezpieczeństwa
- Atakowanie przy użyciu SVG
- Ataki E4X
- Podsumowanie
-
— nowe wektory ataków w HTML5
— ataki przy zablokowanym JavaScript
— nowe możliwości ukrywania ataków
-
— możliwości technologii
— ataki i obrona
-
— zmiany w same origin policy i konsekwencie
— przykład włamania do aplikacji HTML4 dzięki HTML5
— jak zabezpieczyć aplikację
-
— możliwości
— implementacja
— wykorzystanie w atakach (sidejacking i cache poisoning)
— evercookie
-
— możliwości
— atakowanie i zabezpieczanie
-
— możliwości
— architektura
— tworzenie i atakowanie aplikacji opartych o WebSockets
— jak poprawnie implementować serwer WebSockets
-
— nowe funkcjonalności i sandboxing
— nowe podatności
— nowe możliwości ataków clickjacking, również na aplikacje HTML4
— jak zabezpieczyć aplikację
-
— zasada działania geolokalizacji
— ataki timingowe na geolokalizację
Prowadzący
Szkolenie poprowadzi Krzysiek Kotowicz, security researcher i webdeveloper z wieloletnim doświadczeniem w projektowaniu i wdrażaniu aplikacji intra- i internetowych. Mogliście go już poznać na spotkaniach OWASP, gdzie prezentował techniki tworzenia i analizy malware’u w Javascript oraz metody zabezpieczenia przed SQL injection. Zaproponował również bezpieczną metodę podpisywania kodu w PHP.
Obecnie interesuje się bezpieczeństwem HTML5 i innymi technologiami wbudowanymi w najnowsze browsery. Na swoim blogu prezentuje nowe narzędzia, techniki ataków i przemyślenia związane z branżą webappsec.
Termin szkolenia / Cena
Cena: 999 PLN netto za osobę (w cenie: catering (obiad, przerwy kawowe), materiały szkoleniowe oraz certyfikat ukończenia szkolenia.
Zarejestruj się na to szkolenie
Gdyby ktoś z Was musiał wydać środki budżetowe jeszcze w tym roku kalendarzowym, dajcie znać tutaj — zobaczymy co da się zrobić.
O szkoleniach Niebezpiecznika…
Opinie na temat prowadzonych przez nas szkoleń możecie poczytać tutaj. Najlepszą rekomendacją będzie jednak fakt, że od sierpnia 2010 do grudnia 2010 przeszkoliliśmy już ponad 120 osób i wszystkie z nich w ankietach poszkoleniowych wykazały średnio 41% wzrost swojej wiedzy, a średnia ocena naszego szkolenia wystawiona przez uczestników to 9.1 w 10 stopniowej skali. Liczby nie kłamią, jesteśmy nieźli! Pohackuj z nami!
P.S. po szkoleniach gwarantujemy całkiem niezłe imprezy w pobliskim shisha pubie ;)
A szkolenie z RE kiedy? Jakieś poważniejsze plany są?
Pozdrawiam,
Paweł
Paweł, powoli rozbudowujemy ofertę. RE niebawem :)
trochę drogo, ale przydatna wiedza, na pewno!
Czemu pięść w logo ma 6 palców?
Boddah: 6? Jest pięć. Programiści liczą od zera ;)
Na pewno fajne i ciekawe szkolenie.
Nie rozumiem jedynie punktu 7. Po co omawiać coś, co nie żyje?
http://www.w3.org/TR/webdatabase/
” Beware. This specification is no longer in active maintenance and the Web Applications Working Group does not intend to maintain it further. “
@Piotr: Tak? Zależy w jakim języku programują :P
Paweł: Jak to już koto wspomniał na fb: there are 1 kind of people. Those who start indexing from 0 and those who are off-by-one ;)
Programiści paskala albo wymarli, albo się przerzucili na inne języki.
Męczy mnie jedna kwestia: czy istnieje taki plain text (a-f 0-9 len 32) dla którego md5 jest taki sam jak plain ?
@Kamil
O, zdecydowanie żyje – Chrome, Safari i Opera wspierają to już. Specyfikacja Web SQLa została zatrzymana z powodów “politycznych” przez MS i Mozillę, Mozilla promuje tutaj Indexed DB, ale jak sprawa się rozwinie – zobaczymy. Na razie masz w kilku przeglądarkach już działającą implementację, a skoro to już jest, to zajmiemy się tego bezpieczeństwem.
@Krzysztof: to trochę takie kopanie leżącego, taka była moja pierwsza myśl :D Tak czy siak szkolenie na pewno będzie ciekawe i jeśli uda mi się wygospodarzyć taką kwotę to zawitam na szkoleniu. Powodzenia! :)
Co ma sql do html bo troche nie lapie
[…] jeszcze 2 miejsca na poniedziałkowe szkolenie z atakowania i ochrony webaplikacji napisanych w HTML5. Jest okazja, żeby zgarnąć je po sporo obniżonej cenie […]