Dzięki temu szkoleniu…

  • poznasz techniki ataków i programy wykorzystywane przEz współczesnych włamywaczy
  • nauczysz się korzystać z kilkudziesięciu narzędzi do testowania bezpieczeństwa webaplikacji
  • dowiesz się w jaki sposób można zabezpieczyć aplikacje webowe przed atakami
  • własnoręcznie przeprowadzisz skuteczne ataki na webaplikacje
  • sam wykonasz test aplikacji webowej (od analizy ryzyka przez identyfikację podatności aż do raportu)

Do kogo jest kierowane szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca ociera się o aplikacje webowe, a więc:

  • programistów i testerów,
  • administratorów oraz architektów i projektantów systemów komputerowych
  • audytorów i pentesterów,

…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie bezpieczeństwa aplikacji internetowych — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że poznane ataki i narzędzia będzie wykorzystywał wyłącznie w celu testowania bezpieczeństwa swoich własnych sieci i webaplikacji.

Czas trwania szkolenia

Szkolenie “Atakowanie i Ochrona Webaplikacji” trwa 2 dni, najbliższe terminy zostały opisane na tej stronie. Z reguły zaczynamy o 10:00, a kończymy w momencie, w którym z sił opadnie ostatnia osoba :-)

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć czasem pojawia się pomysł na spontaniczne popołudniowe afterparty. W luźnej atmosferze uczestnicy wymieniają się wtedy ciekawymi historiami z wykonanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). To jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia, wybrane zagadnienia

  • Współczesne problemy bezpieczeństwa aplikacji webowych
    • zagrożenia wynikające z architektury webaplikacji (np. CGI, SSI, etc.)
    • zagrożenia wynikające z języków programowania (PHP, JS, etc.) i technologi, np. ASP, JSP
    • problem styku webaplikacji z bazą danych
    • interfejsy zewnętrzne webaplikacji
    • zagrożenia po stronie serwera, środowiska, sieci, a zagrożenia po stronie klienta
    • zagrożenia stron tworzonych pod urządzenia mobilne (telefony, tablety)
  • Ataki na aplikacje webowe
    • Wyszukiwanie adresów serwerów deweloperskich
    • Bezpieczeństwo hostingu i webserwera
    • Brak obsługi błędów
    • Manipulacje parametrami (metody GET, POST)
    • Techniki podsłuchu i manipulowania transmisją
    • Atak Forcefull browsing
    • Atak Path Traversal
    • Technika Google Hacking
    • Wstrzyknięcie kodu (PHP shell) i komend systemowych do webaplikacji
    • Problem filtrowania danych wejściowych
    • Ataki XSS (persistent, reflected)
    • Omijanie filtrowania danych wejściowych i encodingu wyjściowych
    • Ataki na sesję aplikacji webowej
    • Podsłuchiwanie sesji i kradzież ciasteczek HTTP
    • Jak poprawnie zarządzać sesją w webapikacji?
    • Ataki CSRF/XSRF
    • Bezpieczny upload plików
    • Metody ułatwiające przetrwanie ataków DoS/DDoS
    • Ataki Clickjacking
    • Ataki na bazy danych
    • Ataki SQL injection i Blind SQL injection
    • Ochrona przed atakami SQL injection
    • Szyfrowanie połączenia i ataki na SSL
    • Szyfrowanie danych w webaplikacji
    • Ochrona przed spamem i enumeracją zasobów oraz haseł
    • Podsumowanie zagrożeń i przegląd OWASP TOP10
    • Pozaprogramistyczne środki ochrony (systemy IDS/IPS, WAF)
    • Omijanie detekcji przez systemy WAF/IDS/IPS
  • Problemy przeglądarek
    • Same Orgin Policy
    • Rich Internet Applications
    • Dziury w przeglądarkach
    • Ataki DNS-Rebinding
    • Narzędzia podnoszące bezpieczeństwo i pomagające w testowaniu aplikacji webowych
  • Przegląd narzędzi automatyzujących wykrywanie podatności
Każdy z podpunktów związany jest z praktycznym ćwiczeniem. Podczas omawiania konkretnego ataku, zawsze pokazujemy jak się przed nim obronić. Dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.

Trenerzy

Szkolenie poprowadzi kilku trenerów. Jednym z nich jest Jakub, który swoją karierę rozpoczynał jako programista w jednym z największych portali internetowych w Polsce, Interia.pl, a następnie swoje umiejętności w zakresie zarządzania systemami Linux wykorzystywał do ochrony 30% światowego ruchu internetowego w ramach pracy w międzynarodowej korporacji Akamai. Obecnie całkowicie oddany bezpieczeństwu IT realizuje swoje pasje zarówno jako tester penetracyjny w Niebezpieczniku. Drugim trenerem jest Tomasz, koder, dumny z takich projektów jak SCKRK oraz GeeCON. Tomek pomaga też przy polskim JUGu i krakowskiej Loży Lambda. Na co dzień programuje w kilku językach, pomaga poprawiać i testować i zabezpieczać API oraz szkoli (nie tylko z bezpieczeństwa). Aby zapoznać się z opiniami uczestników tego szkolenia, kliknij tutaj, poniżej prezentujemy tylko kilka opinii z ostatnich terminów szkolenia:

Wśród różnych szkoleń w jakich uczestniczyli pracownicy naszej firmy, szkolenia z Niebezpiecznik.pl są przez nich najwyżej oceniane.

Rewelacyjne, praktyczne podejście do zagadnienia. Ogromna wiedza i doświadczenie prowadzących.

Mogę szczerze polecić Niebezpiecznikowe szkolenie na temat bezpieczeństwa sieci komputerowych, szczególnie dla programistów i testerów aplikacji. Inaczej jest słyszeć o pewnych lukach w teorii lub gdzieś tam czytac niż zobaczyć problemy te na żywo i próbować im przeciwdziałać – część praktyczna jest sprawnie rozwiązana i dobrze poprowadzona. Całe szkolenie ma bardzo ciekawą formę (teoria przeplatana praktyką, a między to wszystko wrzucone ciekawostki) – nie sposób się nudzić.

Pomijając naprawdę dużą wartość rzeczywistej wiedzy i umiejętności, jakie można wynieść z tych dwóch dni z Niebezpiecznikiem, szkolenie z zakresu bezpieczeństwa webaplikacji posiada szereg atutów, z jakimi ciężko spotkać się na innych tego typu kursach. Przede wszystkim forma całego spotkania, opierająca się na łączeniu teorii (w postaci wiadomości oraz przykładów z życia) z praktyką pozwala na łatwe i przyjemne przyswajanie oraz utrwalanie nowych tematów. Pomaga w tym też dobrze dobrany zestaw narzędzi oraz specjalnie przygotowany system jak cel ataków. Wszystko powyższe w połączeniu z ogromną wiedzą prowadzącego oraz jego zdolnością do ciekawego przedstawienia tematu tworzy mieszankę naprawdę Niebezpieczną.

Bardzo dobre szkolenie. W bardzo przystępny sposób omawia szeroki temat związany z bezpieczeństwem aplikacji. Wiele przykładów, świetna luźna atmosfera i duży nacisk na praktyczne wykonywanie ataków. Bardzo duża wiedza i doświadczenie prowadzącego, nastawienie na to co faktycznie się w świecie dzieje w temacie bezpieczeństwa a nie suche informacje “książkowe”. Polecam każdemu!

Lokalizacje

Kraków, rzut pakietem od Dworca Głównego ;-)
Warszawa, 10 min. spacerem od Dworca Centralnego :-)
Dokładny adres szkolenia przesyłamy pocztą elektroniczną w odpowiedzi na zgłoszenie rejestracyjne.

Szkolenie odbywa się w formule BYOL (Bring Your Own Laptop). Wymagania: 2GB RAM, 5GB HDD oraz zainstalowany darmowy i dostępny na każdy system operacyjny program VirtualBox — trener przed startem szkolenia udostępni obraz maszyny wirtualnej na której będą odbywały się laboratoria.

Cena:

Najbliższe terminy to:

 

Lublin: 15-16 kwietnia 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 08 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 22 marca)
    2699 PLN netto (od 23 marca)

Wrocław: 15-16 kwietnia 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 15 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 22 marca)
    2699 PLN netto (od 23 marca)

ZDALNIE: 20-21 kwietnia 2024r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 11 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 22 marca)
    2699 PLN netto (od 23 marca)

Szczecin: 29-30 kwietnia 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 11 grudnia 2023r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 22 marca)
    2699 PLN netto (od 23 marca)

Kraków: 20-21 maja 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 15 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

Warszawa: 27-28 maja 2024r. — zostało 8 wolnych miejsc
Ostatnio ktoś zarejestrował się 19 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

Poznań: 12-13 czerwca 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 19 marca 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

Gdańsk: 17-18 czerwca 2024r. — zostało 9 wolnych miejsc
Ostatnio ktoś zarejestrował się 29 lutego 2024r. → zarejestruj się na to szkolenie

    2399 PLN netto (do 29 marca)
    2699 PLN netto (od 30 marca)

    Cena obejmuje:

    • 2 dni szkoleniowe,
    • materiały szkoleniowe,
    • certyfikat ukończenia szkolenia
    • gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)
    • nielimitowany, wieczysty dostęp do serwera na którym znajdują się stale aktualizowane, przydatne informacje i narzędzia dotyczące bezpieczeństwa webaplikacji
    • [w przypadku szkoleń stacjonarnych] 2 obiady i catering w przerwach (kawa, herbata, soki, ciasteczka),

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu. Kto pierwszy, ten lepszy.

Brzmi świetnie, chce się zapisać!

Jeśli chcesz wziąć udział w szkoleniu zarejestruj się telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

Jeśli chcesz wziąć udział w naszych szkoleniach, zarejestruj się telefonicznie pod numerem 12-44-202-44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły.

Na które szkolenie chcesz się zarejestrować? (wybierz)

Imię i nazwisko (wymagane)

Adres e-mail (wymagane)

Numer telefonu (wymagane):

Tematykę szkolenia znam (wymagane):

Dane Firmy (do faktury):
(Opłacasz samodzielnie? Wpisz: "OSOBA PRYWATNA")

Uwagi (np. dane osoby zgłaszającej, pytania)?

Rozwiąż proszę równanie (zabezpieczenie przed botami):
3+7 =



Możesz taże pobrać powyższy formularz zgłoszeniowy gotowy do druku (PDF) i przedstawić swojemu przełożonemu lub działowi HR.

Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.

Nasi klienci

Zaufali nam...

O szkoleniach Niebezpiecznika

Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.

Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami).

Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.

powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.

Dobra, przekonaliście mnie, chcę się zapisać!