Bezpieczeństwo w Testach Oprogramowania (szkolenie dla QA)

qa-web-security-bezpieczenstwo-szkolenie

Dzięki temu szkoleniu…

  • Dowiesz się w jaki sposób możesz użyć znanych Ci narzędzi i frameworków do wykonywania testów bezpieczeństwa
  • Pokażemy Ci triki, które pozwolą na uproszczenie lub automatyzację twojej pracy w obszarze bezpieczeństwa aplikacji
  • Otrzymasz możliwość podniesienia swoich kwalifikacji niskim kosztem (20% wysiłku/80% skuteczności)
  • Wykonasz dziesiątki praktycznych ćwiczeń na realnych aplikacjach
  • Nauczysz się korzystać z alternatywnych (do znanych Ci już narzędzi) rozwiązań, służących przede wszystkim do wykonywania testów bezpieczeństwa
  • Poznasz kulisy prawdziwych przypadków błędów bezpieczeństwa (dziur) z jakimi spotkali się eksperci ds. zapewniania jakości w swojej pracy.
  • Nauczymy Cię patrzeć na aplikację oczami włamywacza, tak abyś lepiej wczuł się w rolę atakującego i mógł zostać bohaterem w swojej firmie, chroniąc ją przed atakami “hackerów”

Szkolenie “Bezpieczeństwo w Testach Oprogramowania (dla QA)” zostało przygotowane przede wszystkim z myślą o osobach odpowiedzialnych za testowanie oraz zapewnianie jakości aplikacji webowych (tzw. QA). Wiemy o tym, że to właśnie QA zazwyczaj podejmują ostateczną decyzję, czy dana funkcjonalność powinna zostać przekazana klientowi i chcielibyśmy pomóc dokonywaniu odpowiednich wyborów, które uwzględniają także coraz ważniejszy aspekt bezpieczeństwa akceptowanego oprogramowania (webaplikacji).

Głównym celem szkolenia jest pokazanie w jaki sposób – niewielkim nakładem pracy – możesz do testowania zabezpieczeń użyć narzędzi, z którymi obecnie pracujesz podczas wykonywania testów funkcjonalnych oraz niefunkcjonalnych.

W przeciwieństwie do innych szkoleń dla testerów, nasze szkolenie jest do bólu praktyczne, tak abyś jako jego uczestnik, był w stanie na własnej skórze przekonać się, jak niewiele wystarczy, aby testy które wykonujesz na co dzień były jeszcze lepsze. Do każdego ze znanych Ci narzędzi zostanie przez nas zaprezentowane alternatywne, używane profesjonalnie przez pentesterów narzędzie, wraz z szczegółowym omówieniem jego działania oraz przećwiczeniem w formie laboratorium. Pokażemy ci również, jak napisać profesjonalny raport z testów bezpieczeństwa!

Po 2 dniach naszego szkolenia, aplikacje które przejdą przez twoje ręce będą nie tylko świetnie działać, ale także zapewniać poufność, integralność i dostępność przetwarzanych przez nie danych użytkowników. Po twojej stronie pozostawimy decyzję, czy w tym celu wygodniej będzie ci używać narzędzi, które już znasz (pokażemy jak je odpowiednio skonfigurować do “ataków”), czy też naszych propozycji alternatywnych rozwiązań (pokażemy, jak szybko można je dostosować do twojej codziennej pracy). Jedno jest pewne – po tym szkoleniu, testując kolejną funkcjonalność oprogramowania, już nigdy nie spojrzysz na nią w taki sposób jak dotychczas! Będziesz myślał jak włamywacz, dzięki czemu nawet z pozoru niezwiązana z bezpieczeństwem funkcja testowanego oprogramowania zostanie przez Ciebie szczegółowo przeanalizowana.

Jeżeli Twoim celem jest doskonalenie swoich umiejętności oraz dostarczanie aplikacji o jak najwyższej jakości, także pod kątem bezpieczeństwa, to nasze szkolenie “Bezpieczeństwo w Testach Oprogramowania (dla QA)” jest stworzone właśnie dla Ciebie.

Do kogo jest kierowane szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca związana jest z zapewnieniem jakości oraz testowaniem oprogramowania, a więc:

  • Testerów (manualnych oraz automatyzujących) i Inżynierów ds. zapewniania jakości
  • Audytorów i pentesterów

…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie testów bezpieczeństwa – dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że poznane ataki i narzędzia będzie wykorzystywał wyłącznie w celu testowania bezpieczeństwa aplikacji własnych lub aplikacji klientów firmy w której pracuje.

 

Wymagania wstępne

Aby w pełni skorzystać ze szkolenia, warto posiadać wymienione poniżej umiejętności w podstawowym zakresie — coś co każda osoba pracująca na stanowisku testera/QA na pewno zna. Jako podstawową znajomość definiujemy „wiem do czego służy/widziałem przynajmniej raz”.

  • Podstawowa znajomość narzędzia jMeter
  • Podstawowa znajomość dowolnego języka programowania, oraz frameworku Selenium Webdriver
  • Podstawowa znajomość zagadnień związanych z testowaniem oprogramowania (np. Test Plan, przypadek testowy, testowanie użyteczności itp.)

Jeżeli jednak nie posiadasz umiejętności wymaganych do uczestnictwa w tym szkoleniu, to nie przejmuj się! Z przyjemnością dostarczymy Ci materiały PRZED STARTEM SZKOLENIA, które pozwolą ci przygotować się do niego w ciągu 2 godzin samodzielnej pracy.

Czas trwania szkolenia

Szkolenie “Bezpieczeństwo w Testach Oprogramowania (dla QA)” trwa 2 dni. Pierwszego dnia zaczynamy o 10:00, a szkolenie kończymy w momencie, w którym z sił opadnie ostatnia osoba ☺

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości. Czasem uczestnicy organizują nieoficjalne wieczorne afterparty w jednym z pobliskich pubów. W luźnej atmosferze wymieniają się ciekawymi historiami z wykonanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia, wybrane zagadnienia

  • Narzędzia deweloperskie przeglądarki oraz narzędzia typu lokalnego Proxy i ich wykorzystanie podczas testów bezpieczeństwa
    • Narzędzia deweloperskie przeglądarki w kontekście testów bezpieczeństwa
    • Instalacja i konfiguracja Burp Suite i OWASP ZAP
    • Przechwytywanie i modyfikacja żądań
    • Podmiana nagłówków żądania pozwalająca np. na podszywanie się pod Googlebot lub na omijanie WAF
  • Omówienie zakresu podstawowych testów bezpieczeństwa aplikacji webowych i web serwisów, najczęstszych podatności i sposobów ich wykrywania (z wykorzystaniem Burp Suite)
    • Testy pod kątem najczęściej występujących podatności aplikacji webowych m. in. SQL Injection, XSS, CSRF
    • Testy walidacji po stronie serwera poprzez próbę ominięcia walidacji zapewnianej przez GUI
    • Testy dostępu do danych i plików bez zalogowania lub przez użytkowników z innym zakresem uprawnień
    • Testy poprawnego zarządzania sesją użytkownika
    • Testy wymagające dobrej znajomości logiki biznesowej aplikacji
    • Zagrożenia związane z przekazywaniem loginów/haseł/danych osobowych w URL i ich cachowaniem
    • Jakie dane nie powinny być zapisywane w logach?
    • Testy pod kątem najczęściej występujących podatności web serwisów m. in. XXE, Billion Laughs, CDATA Injection
    • proxy narzędzia do testów bezpieczeństwa
    • Najczęstsze błędy konfiguracyjne np. braki nagłówków, ich nieprawidłowa konfiguracja, stacktrace, słabe algorytmy SSL/TLS
    • Omówienie motywacji stojącej za wykonywaniem takich testów na wczesnych etapach projektu
    • Jak rozszerzyć testy funkcjonalne aby znajdować błędy bezpieczeństwa?
  • Bezpieczeństwo i użyteczność
    • Jak powinny wyglądać czytelne komunikaty w zakresie bezpieczeństwa i prywatności użytkownika?
    • Użyteczność haseł i jak przekonać użytkownika do korzystania z bezpiecznego hasła?
    • Jak ograniczać czasu trwania sesji i dozwoloną liczbę sesji? Przykładowe rozwiązania z serwisów społecznościowych i stron banków.
    • Case study na przykładzie konfiguracji ustawień prywatności użytkownika
    • Case study na przykładzie komunikatów przeglądarek informujących o ostrzeżeniach dotyczących certyfikatów SSL/TLS
    • Dlaczego trzeba zwrócić uwagę na Privacy by Design i Privacy by Default?
  • Testy wydajnościowe z użyciem narzędzia JMeter w kontekście bezpieczeństwa
    • Testy obciążeniowe, przeciążeniowe i ataki DoS
    • Rodzaje ataków DoS
    • JMeter i proxy narzędzia do testów bezpieczeństwa
    • Symulacja ataków z różnych adresów IP poprzez IP Spoofing
    • Wykorzystanie skryptów JMetera do automatycznego skanowania bezpieczeństwa
    • Automatyczne testy bezpieczeństwa z wykorzystaniem JMtera
    • Inne narzędzia do testów DoS
    • Fuzzing z wykorzystaniem JMetera
  • Automatyzacja testów bezpieczeństwa (z wykorzystaniem OWASP ZAP, Selenium Webdriver i Pythona)

    • Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source
    • Omówienie skanerów Burp Suite Professional oraz OWASP ZAP
    • Omówienie często występujących błędów łatwych do wykrycia za pomocą testów automatycznych
    • Automatyczne testy bezpieczeństwa jako element procesów CI/CD
    • Omówienie możliwości OWASP ZAP API i konfiguracja automatycznego skanowania
    • Wykorzystanie testów automatycznych w Selenium do przeprowadzenia testów bezpieczeństwa
    • Automatyczne zgłaszanie błędów lub aktualizacja ich statusu z wykorzystaniem JIRA REST API
    • Automatyczne generowanie raportu z testów
    • Weryfikacja raportów z testów pod kątem wyników fałszywie pozytywnych
  • Testy bezpieczeństwa jako element testów akceptacyjnych
    • Jak przygotować plany i scenariusze testów bezpieczeństwa i na jakie dokumenty i metodyki warto się powoływać?
    • Przykładowe dokumenty OPZ i SIWZ zawierające wymagania na testy
    • bezpieczeństwa/penetracyjne
    • Przykładowe wymagania pozafunkcjonalne w zakresie bezpieczeństwa do uwzględnienia w dokumentacji testowej
    • Praktyczne przykłady pokrycia wymagań bezpieczeństwa w przypadkach testowych
    • Jak dzięki niewielkim modyfikacjom można dostosować istniejący przypadek testowy, aby zapewniał pokrycie testami bezpieczeństwa?
    • Wskazówki dotyczące przygotowania raportu z testów bezpieczeństwa
    • Przykłady wymaganych kompetencji m. in. w zakresie certyfikacji
  • Od testera do pentestera
    • Jak pokierować karierą aby zdobyć większe doświadczenie w zakresie testów bezpieczeństwa?
    • Wskazówki dotyczące dalszej nauki, dokumenty, książki i metodyki, które warto poznać oraz certyfikacja w zakresie bezpieczeństwa
  • Omówienie dokumentów:
    • OWASP Testing Guides
    • OWASP ASVS
    • OWASP TOP10
  • Podstawowe certyfikaty z zakresu testów bezpieczeństwa:
    • CEH
    • CompTIA Security+
    • ISTQB Security Tester
Każdy z podpunktów związany jest z praktycznym ćwiczeniem. Podczas omawiania konkretnego ataku albo podatności lub narzędzia, które je wykorzystują, zawsze pokazujemy jak zabezpieczyć aplikację przed tym problemem. Dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.
Szkolenie odbywa się w formule BYOL (Bring Your Own Laptop). Wymagania: 8GB RAM, 5GB HDD oraz prawa admina! Laptop najlepiej by miał zainstalowane darmowe i dostępne na każdy system operacyjny programy: Burp Suite Community, Java 11, OWASP ZAP, JMeter, przeglądarki (polecamy Firefox i Chrome, tak, mogą przydać się obie, choć nieraz wystarczy jedna). Dla chętnych proponujemy VirtualBox z maszyną wirtualną z Kali Linuxem. Najistotniejsze są programy, z ich pomocą realizujemy laboratoria.

Trener

Szkolenie prowadzi Tomasz, koder, dumny z takich projektów jak SCKRK oraz GeeCON. Tomek pomaga też przy polskim JUGu i krakowskiej Loży Lambda. Na co dzień programuje w kilku językach, pomaga poprawiać i testować i zabezpieczać API oraz szkoli (nie tylko z bezpieczeństwa).

Opinie o szkoleniach Niebezpiecznik.pl

Niebezpiecznik od wielu lat realizuje praktyczne do bólu szkolenia z obszaru bezpieczeństwa IT. Nasi trenerzy to praktycy, na co dzień realizujący się w tematach, z których szkolą. Wierzymy, że tylko i wyłącznie takie podejście pozwala przekazać uczestnikom szkoleń maksimum wiedzy i rzeczywiście wykorzystywanych w praktyce umiejętności, których próżno szukać w branżowych podręcznikach.

Wiedza i doświadczenie naszych trenerów doceniane jest nie tylko w trakcie szkoleń — dbamy o to, aby trenerzy udzielali się na branżowych konferencjach. W ostatnich latach wiele z naszych prelekcji uczestnicy poszczególnych konferencji ocenili jako najlepsze w ramach całego wydarzenia.

Przez nasze sale szkoleniowe przeszły już dziesiątki tysięcy osób. Poniżej kilka opinii z ankiet uczestników:

Wśród różnych szkoleń w jakich uczestniczyli pracownicy naszej firmy, szkolenia z Niebezpiecznik.pl są przez nich najwyżej oceniane.

Rewelacyjne, praktyczne podejście do zagadnienia. Ogromna wiedza i doświadczenie prowadzących.

Mogę szczerze polecić Niebezpiecznikowe szkolenie na temat bezpieczeństwa sieci komputerowych, szczególnie dla programistów i testerów aplikacji. Inaczej jest słyszeć o pewnych lukach w teorii lub gdzieś tam czytać niż zobaczyć problemy te na żywo i próbować im przeciwdziałać – część praktyczna jest sprawnie rozwiązana i dobrze poprowadzona. Całe szkolenie ma bardzo ciekawą formę (teoria przeplatana praktyką, a między to wszystko wrzucone ciekawostki) – nie sposób się nudzić.

Pomijając naprawdę dużą wartość rzeczywistej wiedzy i umiejętności, jakie można wynieść z tych dwóch dni z Niebezpiecznikiem, szkolenie z zakresu bezpieczeństwa webaplikacji posiada szereg atutów, z jakimi ciężko spotkać się na innych tego typu kursach. Przede wszystkim forma całego spotkania, opierająca się na łączeniu teorii (w postaci wiadomości oraz przykładów z życia) z praktyką pozwala na łatwe i przyjemne przyswajanie oraz utrwalanie nowych tematów. Pomaga w tym też dobrze dobrany zestaw narzędzi oraz specjalnie przygotowany system jak cel ataków. Wszystko powyższe w połączeniu z ogromną wiedzą prowadzącego oraz jego zdolnością do ciekawego przedstawienia tematu tworzy mieszankę naprawdę Niebezpieczną.

Bardzo dobre szkolenie. W bardzo przystępny sposób omawia szeroki temat związany z bezpieczeństwem aplikacji. Wiele przykładów, świetna luźna atmosfera i duży nacisk na praktyczne wykonywanie ataków. Bardzo duża wiedza i doświadczenie prowadzącego, nastawienie na to co faktycznie się w świecie dzieje w temacie bezpieczeństwa a nie suche informacje “książkowe”. Polecam każdemu!

Cena:

Najbliższe terminy to:

Wrocław: 09-10 maja 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 15 kwietnia 2024r. → zarejestruj się na to szkolenie

    2299 PLN netto (do 19 kwietnia)
    2499 PLN netto (od 20 kwietnia)

Poznań: 17-18 czerwca 2024r. — UWAGA: zostały tylko 4 wolne miejsca
Ostatnio ktoś zarejestrował się 12 kwietnia 2024r. → zarejestruj się na to szkolenie

    2299 PLN netto (do 19 kwietnia)
    2499 PLN netto (od 20 kwietnia)

Warszawa: 25-26 czerwca 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 16 kwietnia 2024r. → zarejestruj się na to szkolenie

    2299 PLN netto (do 26 kwietnia)
    2499 PLN netto (od 27 kwietnia)

Kraków: 08-09 lipca 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 04 kwietnia 2024r. → zarejestruj się na to szkolenie

    2299 PLN netto (do 26 kwietnia)
    2499 PLN netto (od 27 kwietnia)
    Cena obejmuje:

    • 2 dni szkoleniowe,
    • materiały szkoleniowe,
    • certyfikat ukończenia szkolenia
    • gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z
      bezpieczeństwem :-)
    • [w przypadku szkoleń stacjonarnych] 2 obiady i catering w przerwach (kawa, herbata, soki, ciasteczka),

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu. Kto pierwszy, ten lepszy.

Brzmi świetnie, chce się zapisać!

Jeśli chcesz wziąć udział w szkoleniu zarejestruj się telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

Jeśli chcesz wziąć udział w naszych szkoleniach, zarejestruj się telefonicznie pod numerem 12-44-202-44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły.

Na które szkolenie chcesz się zarejestrować? (wybierz)

Imię i nazwisko (wymagane)

Adres e-mail (wymagane)

Numer telefonu (wymagane):

Tematykę szkolenia znam (wymagane):

Dane Firmy (do faktury):
(Opłacasz samodzielnie? Wpisz: "OSOBA PRYWATNA")

Uwagi (np. dane osoby zgłaszającej, pytania)?

Rozwiąż proszę równanie (zabezpieczenie przed botami):
5+1 =



Możesz także pobrać powyższy formularz zgłoszeniowy gotowy do druku (PDF) i przedstawić swojemu przełożonemu lub działowi HR.

Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.

Nasi klienci

Zaufali nam...

Podejście Niebezpiecznika do szkoleń

Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją podatności lub ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.

Ćwiczeniom praktycznym poświęcamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami/błędami).

Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.

powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedzę.

Dobra, przekonaliście mnie, chcę się zapisać!