9:28
10/6/2010

Szkolenie z atakowania (i ochrony) aplikacji WWW

Zapraszamy na pierwsze, organizowane i prowadzone przez ekipę Niebezpiecznika szkolenie z technik penetracji i ochrony serwisów internetowych. Uwaga! Liczba miejsc ograniczona!

O naszym szkoleniu

Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy wystarczającym do zrozumienia problemu teoretycznym wstępem oraz demonstracją ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników szkolenia.

Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami).

Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie po prostu nie wystarcza.

powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedzę.

Dzięki naszemu szkoleniu…

  • poznasz techniki ataków i programy wykorzystywane przez współczesnych włamywaczy
  • nauczysz się korzystać z kilkudziesięciu narzędzi do testowania bezpieczeństwa webaplikacji
  • dowiesz się w jaki sposób można zabezpieczyć aplikacje webowe przed atakami
  • własnoręcznie przeprowadzisz skuteczne ataki na webaplikacje
  • sam wykonasz test aplikacji webowej (od analizy ryzyka poprzez identyfikację podatności aż do raportu)

Do kogo kierowane jest to szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca ociera się o aplikacje webowe, a więc:

  • programistów i testerów,
  • audytorów i pentesterów,
  • architektów i projektantów systemów komputerowych
  • oficerów zespołów bezpieczeństwa

…ale tak naprawdę, każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie bezpieczeństwa aplikacji internetowych powitamy z otwartymi ramionami — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Od uczestników wymagamy jedynie podstawowej znajomości protokołu HTTP i dowolnego języka programowania.

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że z poznane ataki i narzędzia będzie wykorzystywał zgodnie z prawem, wyłącznie w celu testowania bezpieczeństwa swoich własnych sieci i webaplikacji.

Termin szkolenia

Szkolenie jest 2-dniowe. Startujemy 9 sierpnia 2010 o 10:00, a kończymy 10 sierpnia 2010, w momencie w którym z sił opadnie ostatnia osoba :-)

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z krakowskich pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonywanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia

  • Ataki na aplikacje webowe
    • Brak obsługi błędów
    • Manipulacje parametrami (metody GET, POST)
    • Techniki podsłuchu i manipulowania transmisją
    • Atak Forcefull Browsing
    • Atak Path Traversal
    • Technika Google Hacking
    • Wstrzyknięcie kodu (PHP shell) i komend systemowych
    • Ataki XSS (persistent, reflected, etc)
    • Problem filtrowania danych wejściowych
    • Omijanie filtrowania danych wejściowych i wyjściowych
    • Ataki na sesję aplikacji webowej
    • Podsłuchiwanie sesji i kradzież ciasteczek HTTP
    • Ataki session fixation i session adoption
    • Ataki CSRF
    • Jak poprawnie zarządzać sesją w webapikacji?
    • Szyfrowanie danych w webaplikacji
    • Ataki na bazy danych
    • Ataki SQL injection i Blind SQL injection
    • cechy charakterystyczne środowisk Oracle, Microsoft SQL, MySQL i PostgreSQL
    • ochrona przed atakami SQL injection
    • Szyfrowanie połączenia i ataki na SSL
    • Podsumowanie zagrożeń i przegląd OWASP TOP10
  • Współczesne problemy bezpieczeństwa aplikacji webowych
    • zagrożenia wynikające z architektury webaplikacji (CGI, SSI, etc.)
    • zagrożenia wynikające z języków programowania (PHP, ASP, JSP, JS, etc.)
    • problem styku webaplikacji z bazą danych
    • interfejsy zewnętrzne webaplikacji
    • zagrożenia po stronie serwera a zagrożenia po stronie klienta
  • Problemy przeglądarek
    • Same Orgin Policy
    • Rich Internet Applications
    • Dziury w przeglądarkach
    • Ataki DNS-Rebinding
    • Wtyczki i pluginy podnoszące bezpieczeństwo i pomagające w testowaniu aplikacji webowych
  • Ochrona
    • pozaprogramistyczne środki ochrony (systemy IDS/IPS, WAF)
    • ochrona przed spamem
    • bezpieczeństwo webserwera
    • szyfrowanie połączeń do webserwera (SSL)
  • Przegląd narzędzi automatyzujących wykrywanie podatności
Każdy z podpunktów związany jest z praktycznym ćwiczeniem. Podczas omawiania konkretnego ataku, zawsze pokazujemy jak się przed nim obronić. Dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.

Trener

Szkolenie poprowadzi Piotrek Konieczny, założyciel Niebezpiecznika. Piotrek od 3 lat prowadzi szkolenia autorskie oraz warsztaty z bezpieczeństwa dla polskich i zagranicznych firm a także instytucji działających w sektorach takich jak: bankowość, telekomunikacja, wojsko i administracja rządowa. W szkoleniu z atakowania i ochrony webaplikacji uczestniczyło już ponad 250 osób, które swoje zadowolenie ze zdobytej wiedzy wyrażały w poszkoleniowych ankietach oraz w rekomendacjach na LinkedIn.

Lokalizacja

Kraków, Tatarska 5, czyli rzut pakietem od Wawelu ;-)

Nasza sala szkoleniowa jest klimatyzowana i w pełni wyposażona w sprzęt komputerowy. Każdy z Was będzie miał do dyspozycji swojego laptopa z systemam Windows oraz Linux, (pokażemy ataki specyficzne dla jednego i drugiego systemu). Programy, z których będziemy korzystać podczas szkolenia otrzymacie od nas na własność na płytach CD.

Istnieje możliwość zorganizowania szkolenia w innym mieście lub siedzibie klienta. W takim przypadku prosimy o podanie preferowanego miejsca w uwagach, w formularzu rejestracyjnym poniżej.

Cena:

1800 PLN brutto (szkolenia są zwolnione z podatku VAT)

    Cena obejmuje:

    • 2 dni szkoleniowe,
    • 2 dwudaniowe obiady w pobliskiej restauracji,
    • catering w przerwach (kawa, herbata, soki, ciasteczka),
    • materiały szkoleniowe (podręcznik, zapis prezentacji, plus płyta CD z oprogramowaniem do przeprowadzania testów penetracyjnych aplikacji webowych),
    • certyfikat ukończenia szkolenia
    • gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu do 10 osób. Kto pierwszy, ten lepszy. (Obecnie zostało jeszcze 53 wolnych miejsc)

Brzmi świetnie, chce się zapisać!

Jeśli chcesz wziąc udział w szkoleniu, wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

    Na które szkolenie chcesz się zarejestrować? (wybierz)

    Imię i nazwisko (wymagane)

    Adres e-mail (wymagane)

    Numer telefonu (wymagane):

    Stanowisko:

    Tematykę szkolenia znam:

    Dane Firmy (do faktury):

    Nazwa, adres i NIP:

    (Opłacasz samodzielnie? Wpisz: "OSOBA PRYWATNA")

    Uwagi? Pytania?

    Akceptuje regulamin szkolenia

    Pobierz powyższy post gotowy do druku (PDF) i przedstaw swojemu przełożonemu lub działowi HR.

    Przeczytaj także:


    Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

    Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

    Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

    22 komentarzy

    Dodaj komentarz
    1. Fajnie to brzmi, że każdy kto chce pogłębić kwalifikacje, ale co trzeba umieć?
      Rozumiem(domyślam się), że jak np ktoś pierwszy raz komputer widzi to może być trudno.

      • zzz1986: Dodałem informację o wymaganiach. Wystarczy podstawowa znajomość protokołu HTTP i dowolnego języka oprogramowania (o ile ma pętle i definiuje pojęcie zmiennych ;-).

    2. uch niema zniżki jak przy rejestracji poda się hasło “niebezpiecznik” ?! ;)

    3. Hmm… czyli BrainF**k odpada… ;P

      Mam nadzieje, że za kilka lat zrobicie coś podobnego ;)

      • @koziołek: tak, to wchodzi na stałe do naszej oferty.
        @Yaga: wierz mi, że z ceną zeszliśmy do minimum, ale specjalnie dla Ciebie na hasło niebezpiecznik dostaniesz darmowe piwo na afterparty ;)

    4. Samo szkolenie brzmi ciekawie,
      przy kolejnych szkleniach pomyślcie może nad innymi lokalizacjami niż Kraków – jeśli dla zamiejscowego doliczymy dojazd, zakwaterowanie to robi się 2,5k
      (opcja 3miasto mile widziana ;-)

      • @migro: jeśli zgłoszą się chętni na Warszawę (min. 10 osób), to zaproponujemy termin dla Warszawy. (Swoje preferowane miasto można dopisywać w polu Uwagi w formularzu rejestracyjnym)

    5. Bardzo kuszące, może nawet taki n00bek jak ja by się czegoś nauczył ;) Jeszcze jakby pracodawca dał na coś takiego kasę…
      Aha, pod koniec jest babol – “…Pobież powyższy post…”, powinno być pobierz.

      • @Sergi: może niebawem zorganizujemy krótkie warsztaty z Social Engineering, w którym motywem przewodnim będą techniki negocjacji w celu uzyskania zgody na finansowanie szkoleń z bezpieczeństwa ;)

    6. Moglibyście gdzieś pisać ile jeszcze wolnych miejsc zostało…

      • @Cyber Killer: Racja. Dorzuciłem informację. Szybko się zapełnia, ale jak się zapełni, to pomyślimy nad drugim terminem.

    7. @Piotr Konieczny
      Ad “krótkie warsztaty z Social Engineering” – i to jest biznesowe myślenie typu win-win ;)))))

    8. A może udało by się zorganizować coś w Warszawie?

    9. Fajna sprawa z tym szkoleniem. Szkoda, że termin urlopowy… aha… podaję moją propozycję miasta, w którym możecie zorganizować kiedyś szkolenie: Poznań ;-)

      • Grzegorz, KrisD — zarejstrujcie się proszę przez formularz, i dodajcie w polu na uwagi Wasze miasta. Z racji liczby zgłoszeń (miejsca są już praktycznie wyprzedane) niebawem ogłosimy kolejne terminy, im więcej osób z danego miasta, tym większe szanse na to, że się tam pojawimy :-)

    10. A wysyłacie jakieś potwierdzenia przyjęcia zgłoszenia? Bo nie wiem, czy mam jakoś głębiej po antyspamach szukać czy nie koniecznie.

      • Zibi: jutro w okolicach południa będziemy do Was oddzwaniać, aby ustalić wszystkie szczegóły :) Potwierdzenia e-mailowe wysyłamy za minut parę. Twoje zgłoszenie dotarło :)

    11. […] tym temacie pisaliśmy o problemach Wykopu. Programiści z AT&T chyba powinni się wybrać na nasze szkolenie […]

    12. Jak dogłębna ma być ta wiedza z programowania – jakiś zakres? Powiedzmy, że mówimy o C++ i pythonie? Nie chciałbym się pakować na takie szkolenie i siedzieć z rozdziawioną buzią jak jakaś blondi ;)

      • Szkolenie jest kierowane do osób początkujących i średnio zaawansowanych, chcących usystematyzować swoją wiedzę — a znajomość podstaw programowania wymagana, gdyż w kilku przypadkach analizować/modyfikować będziemy kod (PHP, HTML, JS, ASP, SQL, etc) i szkoda tracić przy takich ćwiczeniach czas na tłumaczenie jak działa pętla for albo instrukcja if ;-)

    13. Kusząca oferta:)No i dawno w Krakowie nie byłem.Warsztaty prowadzi tylko jedna osoba czy jeszcze ktoś? :)

    14. Chyba sobie na razie odpuszczę, trzeba najpierw na przyjemność zarobić :/. Ale za jakieś trzy miesiące, in Warschau, kto wie…

    Twój komentarz

    Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

    RSS dla komentarzy: