qa-web-security-bezpieczenstwo-szkolenie

Dzięki temu szkoleniu…

  • Dowiesz się w jaki sposób możesz użyć znanych Ci narzędzi i frameworków (jMeter, Firebug, Selenium, itp…) do wykonywania testów bezpieczeństwa
  • Pokażemy Ci triki, które pozwolą na uproszczenie lub automatyzację twojej pracy w obszarze bezpieczeństwa aplikacji
  • Otrzymasz możliwość podniesienia swoich kwalifikacji niskim kosztem (20% wysiłku/80% skuteczności)
  • Wykonasz dziesiątki praktycznych ćwiczeń na realnych aplikacjach
  • Nauczysz się korzystać z alternatywnych (do znanych Ci już narzędzi) rozwiązań, służących przede wszystkim do wykonywania testów bezpieczeństwa
  • Poznasz kulisy prawdziwych przypadków błędów bezpieczeństwa (dziur) z jakimi spotkali się eksperci ds. zapewniania jakości w swojej pracy.
  • Nauczymy Cię patrzeć na aplikację oczami włamywacza, tak abyś lepiej wczuł się w rolę atakującego i mógł zostać bohaterem w swojej firmie, chroniąc ją przed atakami “hackerów”

Szkolenie “Tester bezpieczeństwa webaplikacji” zostało przygotowane przede wszystkim z myślą o osobach odpowiedzialnych za testowanie oraz zapewnianie jakości aplikacji webowych (tzw. QA). Wiemy o tym, że to właśnie QA zazwyczaj podejmują ostateczną decyzję, czy dana funkcjonalność powinna zostać przekazana klientowi i chcielibyśmy pomóc dokonywaniu odpowiednich wyborów, które uwzględniają także coraz ważniejszy aspekt bezpieczeństwa akceptowanego oprogramowania (webaplikacji).

Głównym celem szkolenia jest pokazanie w jaki sposób – niewielkim nakładem pracy – możesz do testowania zabezpieczeń użyć narzędzi, z którymi obecnie pracujesz podczas wykonywania testów funkcjonalnych oraz niefunkcjonalnych. W przeciwieństwie do innych szkoleń dla testerów, nasze szkolenie jest do bólu praktyczne, tak abyś jako jego uczestnik, był w stanie na własnej skórze przekonać się, jak niewiele wystarczy, aby testy które wykonujesz na co dzień były jeszcze lepsze. Do każdego ze znanych Ci narzędzi zostanie przez nas zaprezentowane alternatywne, używane profesjonalnie przez pentesterów narzędzie, wraz z szczegółowym omówieniem jego działania oraz przećwiczeniem w formie laboratorium. Pokażemy ci również, jak napisać profesjonalny raport z testów bezpieczeństwa! Sprawimy, że po 2 dniach naszego szkolenia, aplikacje które przejdą przez twoje ręce będą nie tylko świetnie działać, ale także zapewniać poufność, integralność i dostępność przetwarzanych przez nie danych użytkowników. Po twojej stronie pozostawimy decyzję, czy w tym celu wygodniej będzie ci używać narzędzi, które już znasz (pokażemy jak je odpowiednio skonfigurować do “ataków”), czy też naszych propozycji alternatywnych rozwiązań (pokażemy, jak szybko można je dostosować do twojej codziennej pracy). Jedno jest pewne – po tym szkoleniu, testując kolejną funkcjonalność oprogramowania, już nigdy nie spojrzysz na nią w taki sposób jak dotychczas! Będziesz myślał jak włamywacz, dzięki czemu nawet z pozoru niezwiązana z bezpieczeństwem funkcja testowanego oprogramowania zostanie przez Ciebie szczegółowo przeanalizowana.

Jeżeli Twoim celem jest doskonalenie swoich umiejętności oraz dostarczanie aplikacji o jak najwyższej jakości, także pod kątem bezpieczeństwa, to szkolenie “Tester bezpieczeństwa webaplikacji” jest stworzone właśnie dla Ciebie.

Do kogo jest kierowane szkolenie?

Szkolenie kierujemy przede wszystkim do osób, których praca związana jest z zapewnianiem jakości oraz testowaniem oprogramowania, a więc:

  • Testerów (manualnych oraz automatyzujących) i Inżynierów ds. zapewniania jakości
  • Audytorów i pentesterów

…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie testów bezpieczeństwa – dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że poznane ataki i narzędzia będzie wykorzystywał wyłącznie w celu testowania bezpieczeństwa aplikacji własnych lub aplikacji klientów firmy w której pracuje.

Wymagania wstępne

Aby w pełni skorzystać ze szkolenia, warto posiadań wymienione poniżej umiejętności w podstawowym zakresie — coś co każda osoba pracująca na stanowisku testera/QA na pewno zna. Jako podstawową znajomość definiujemy „wiem do czego służy/widziałem przynajmniej raz”.

  • Podstawowa znajomość narzędzia jMeter
  • Podstawowa znajomość dowolnego języka programowania, oraz frameworku Selenium Webdriver
  • Podstawowa znajomość zagadnień związanych z testowaniem oprogramowania (np. Test Plan, przypadek testowy, testowanie użyteczności itp.)

Jeżeli jednak nie posiadasz umiejętności wymaganych do uczestnictwa w tym szkoleniu, to nie przejmuj się! Z przyjemnością dostarczymy Ci materiały PRZED STARTEM SZKOLENIA, które pozwolą ci przygotować się do niego w ciągu 2 godzin samodzielnej pracy.

Czas trwania szkolenia

Szkolenie “Tester bezpiezeństwa webaplikacji” trwa 2 dni, najbliższe terminy zostały opisane tej stronie. Pierwszego dnia zaczynamy o 10:00, a szkolenie kończymy w momencie, w którym z sił opadnie ostatnia osoba ☺

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonanych testów penetracyjnych (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia, wybrane zagadnienia

  • Testy wydajnościowe z użyciem narzędzia jMeter w kontekście bezpieczeństwa
    • Słabości i silne strony
      Automatyzacja testów bezpieczeństwa
      Filozofia testów obciążeniowych (DDoS)
      Ataki typu DoS
      Spoofing IP
      Realne przypadki użycia jMeter’a jako narzędzia do wykonywania testów bezpieczeństwa
  • Testy automatyczne po złej stronie mocy (z użyciem Selenium WebDriver)
    • Wykorzystanie Selenium WebDriver do przeprowadzania testów bezpieczeństwa
      Testowanie mechanizmów CAPTCHA
      Omówienie często występujących błędów – wykrywanie ich za pomocą testów automatycznych
      Automatyczne badanie losowości
      Stworzenie własnego crawlera
      Omówienie ataków typu brute force
  • Web Developer Tools jako niepozorne narzędzie, o ogromnym potencjale
    • Wykorzystanie Firebuga w testach bezpieczeństwa
      Analiza i metody modyfikacji ciasteczek
      Gdzie szukać ukrytych elementów i które z nich są najbardziej interesujące
      Możliwości debuggera JavaScript
      XPath Injection
  • Praktyczne zastosowanie Proxy (z użyciem pluginów do przeglądarek lub specjalistycznych narzędzi)
    • Modyfikacja requestów
      HTML Injection
      XSS Injection
      Burp – praktyczne zastosowanie
  • Testowanie użyteczności i wymagań pod kątem bezpieczeństwa
    • Przedstawienie technik stosowanych przez pentesterów
      Omówienie realnych przypadków pominięcia kwestii testowania użyteczności i wymagań pod kątem bezpieczeństwa wraz z ich konsekwencjami
      Na jakie słowa kluczowe należy zwracać uwagę, podczas testowania wymagań
  • Dokumentacja testowa
    • Wskazanie miejsc w dokumentacji testowej, które zostaną wzbogacone o dodatkowe informacje dotyczące zabezpieczeń
      Jak dzięki niewielkim modyfikacjom można dostosować istniejący przypadek testowy, aby zapewniał pokrycie testami bezpieczeństwa
      Analiza ryzyka w kontekście testów bezpieczeństwa
      Jak przygotować dobry security report
      Metryki
  • Pozostałe istotne tematy, które pomogą Ci zostać pentesterem:
    • Fuzzing oraz metody automatyzacji fuzzy testingu
      Corner cases
      Testowanie wersji responsywnych pod kątem zabezpieczeń (realne przypadki)
      Podrabianie User Agenta
      OWASP Testing Guides
      OWASP ASVS
      OWASP TOP10
      Microsoft Security Development Lifecycle (MS DLC)
      STRIDE + DREAD
      Analizy API pod kątem bezpieczeństwa (oraz narzędzia, które pozwolą zautomatyzować część pracy)
      Case studies oparte na prawdziwych przypadkach
Każdy z podpunktów związany jest z praktycznym ćwiczeniem. Podczas omawiania konkretnego ataku albo podatności lub narzędzia, które je wykorzystują, zawsze pokazujemy jak zabezpieczyć aplikację przed tym problemem. Dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.
Szkolenie odbywa się w formule BYOL (Bring Your Own Laptop). Wymagania: 2GB RAM, 5GB HDD oraz zainstalowany darmowy i dostępny na każdy system operacyjny program VirtualBox — trener przed startem szkolenia udostępni obraz maszyny wirtualnej na której będą odbywały się laboratoria.

Opinie o szkoleniach Niebezpiecznik.pl

Niebezpiecznik od wielu lat realizuje praktyczne do bólu szkolenia z obszaru bezpieczeństwa IT. Nasi trenerzy to praktycy, na co dzień realizujący się w tematach, z których szkolą. Wierzymy, że tylko i wyłącznie takie podejście pozwala przekazać uczestnikom szkoleń maksimum wiedzy i rzeczywiście wykorzystywanych w praktyce umiejętności, których próżno szukać w branżowych podręcznikach.

Wiedza i doświadczenie naszych trenerów doceniane jest nie tylko w trakcie szkoleń — dbamy o to, aby trenerzy udzielali się na branżowych konferencjach. W ostatnich latach wiele z naszych prelekcji uczestnicy poszczególnych konferencji ocenili jako najlepsze w ramach całego wydarzenia.

Przez nasze sale szkoleniowe przeszły już dziesiątki tysięcy osób. Poniżej kilka opinii z ankiet uczestników:

Wśród różnych szkoleń w jakich uczestniczyli pracownicy naszej firmy, szkolenia z Niebezpiecznik.pl są przez nich najwyżej oceniane.

Rewelacyjne, praktyczne podejście do zagadnienia. Ogromna wiedza i doświadczenie prowadzących.

Mogę szczerze polecić Niebezpiecznikowe szkolenie na temat bezpieczeństwa sieci komputerowych, szczególnie dla programistów i testerów aplikacji. Inaczej jest słyszeć o pewnych lukach w teorii lub gdzieś tam czytac niż zobaczyć problemy te na żywo i próbować im przeciwdziałać – część praktyczna jest sprawnie rozwiązana i dobrze poprowadzona. Całe szkolenie ma bardzo ciekawą formę (teoria przeplatana praktyką, a między to wszystko wrzucone ciekawostki) – nie sposób się nudzić.

Pomijając naprawdę dużą wartość rzeczywistej wiedzy i umiejętności, jakie można wynieść z tych dwóch dni z Niebezpiecznikiem, szkolenie z zakresu bezpieczeństwa webaplikacji posiada szereg atutów, z jakimi ciężko spotkać się na innych tego typu kursach. Przede wszystkim forma całego spotkania, opierająca się na łączeniu teorii (w postaci wiadomości oraz przykładów z życia) z praktyką pozwala na łatwe i przyjemne przyswajanie oraz utrwalanie nowych tematów. Pomaga w tym też dobrze dobrany zestaw narzędzi oraz specjalnie przygotowany system jak cel ataków. Wszystko powyższe w połączeniu z ogromną wiedzą prowadzącego oraz jego zdolnością do ciekawego przedstawienia tematu tworzy mieszankę naprawdę Niebezpieczną.

Bardzo dobre szkolenie. W bardzo przystępny sposób omawia szeroki temat związany z bezpieczeństwem aplikacji. Wiele przykładów, świetna luźna atmosfera i duży nacisk na praktyczne wykonywanie ataków. Bardzo duża wiedza i doświadczenie prowadzącego, nastawienie na to co faktycznie się w świecie dzieje w temacie bezpieczeństwa a nie suche informacje “książkowe”. Polecam każdemu!

Cena:

Najbliższe terminy to:

WROCŁAW: 28-29 września 2017r. — zostały 2 wolne miejsca!
Ostatnio ktoś zarejestrował się 14 września 2017r. → zarejestruj się na to szkolenie

    2399 PLN netto

Chcesz zapłacić w Bitcoinach? Wpisz w polu “Uwagi” w trakcie rejestracji BTC a otrzymasz dedykowany adres do transakcji

    Cena obejmuje:

    • 2 dni szkoleniowe,
    • 2 dwudaniowe obiady w pobliskiej restauracji,
    • catering w przerwach (kawa, herbata, soki, ciasteczka),
    • materiały szkoleniowe (podręcznik)
    • certyfikat ukończenia szkolenia
    • gadżety-niespodzianki rozdawane pod koniec szkolenia, a związane z bezpieczeństwem :-)

UWAGA!!! Dla waszej wygody i komfortu ograniczamy liczbę osób, która może brać udział w szkoleniu. Kto pierwszy, ten lepszy.

Brzmi świetnie, chce się zapisać!

Jeśli chcesz wziąć udział w szkoleniu zarejestruj się telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

Na które szkolenie chcesz się zarejestrować? (wybierz)

Imię i nazwisko (wymagane)

Adres e-mail (wymagane)

Numer telefonu (wymagane):

Stanowisko:

Tematykę szkolenia znam:

Dane Firmy (do faktury):
Nazwa, adres i NIP:

Uwagi? Pytania?

Akceptuje regulamin szkolenia

Pobierz powyższy opis gotowy do druku (DOC) i przedstaw swojemu przełożonemu lub działowi HR.

Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.

Nasi klienci

Zaufali nam...

Podejście Niebezpiecznika do szkoleń

Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją podatności lub ataku w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.

Ćwiczeniom praktycznym poświecamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie przeprowadzić omawiany atak. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane webaplikacje, wykorzystujące spotykane w rzeczywistym świecie oprogramowanie (wraz z występującymi w nim dziurami/błędami).

Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.

powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.

Dobra, przekonaliście mnie, chcę się zapisać!