Testy penetracyjne aplikacji webowej
Najbliższe terminy tego szkolenia
Standardy JSystems
- Wszyscy nasi trenerzy muszą być praktykami i osiągać średnią z ankiet minimum 4.75 na 5. Nie ma wśród nas trenerów-teoretyków. Każdy trener JSystems ma bogate doświadczenie komercyjne w zakresie tematów z których prowadzi szkolenia.
- Wszystkie szkolenia mają format warszatowy. Każde zagadnienie teoretyczne jest poparte rzędem warsztatów w ściśle określonym formacie.
- Terminy gwarantowane na 100%. Jeśli jakiś termin jest oznaczony jako gwarantowany, oznacza to że odbędzie się nawet jeśli część grupy wycofa się z udziału. Ryzyko ponosimy my jako organizator.
- Do każdego szkolenia które wymaga jakiegokolwiek oprogramowania dostarczamy skonfigurowane, gotowe hosty w chmurze. Dzięki temu uczestnik nie musi nic instalować na swoim komputerze (i bić się z blokadami korporacyjnymi). Połączenie następuje przez zdalny pulpit lub SSH - w zależności od szkolenia.
Program szkolenia
1 dzień
- Wprowadzenie
- Pentester, red teamer a może hacker?
- Kto to jest pentester?
- Kto to jest red teamer?
- Kto to jest hacker?
- Czym różnią się ich profesje?
- Czym są testy penetracyjne?
- Omówienie czym są testy penetracyjne
- Rodzaje testów penetracyjnych
- White Box
- Gray Box
- Black Box
- Dlaczego testy penetracyjne aplikacji webowych są tak istotne?
- Omówienie zagadnienia
- Cyberataki
- Definicja cyberataku.
- Definicja podatności.
- Najpopularniejsze zagrożenia
- OWASP TOP 10
- CWE TOP 25
- Pentester, red teamer a może hacker?
- Standardy przeprowadzania testów penetracyjnych web aplikacji (i nie tylko)
- Czym jest standard bezpieczeństwa?
- Omówienie zagadnienia
- Omówienie różnic pomiędzy poszczególnymi standardami
- NIST
- OWASPASVS
- CIS
- PCI
- ISO
- Inne
- Który standard jest najlepszy i dlaczego?
- Otwarta dyskusja
- Który standard wybrać i dlaczego?
- Otwarta dyskusja
- Czym jest standard bezpieczeństwa?
- Narzędzia wykorzystywane podczas testów penetracyjnych web aplikacji
- Omówienie popularnych narzędzi i ich zastosowania:
- Burp Suite / ZAP
- NMAP
- Nessus / Tenable / GVM
- Wireshark
- Sqlmap
- Metasploit
- Hydra
- John the Ripper
- Inne
- Omówienie dystrybucji Linuxa przeznaczonych do testów penetracyjnych (i nie tylko):
- Kali Linux
- ParrotOS
- BlackArche
- Omówienie dodatków do przeglądarek internetowych wykorzystywanych przy testach penetracyjnych:
- OWASPPenetration Testing KIT
- Instant Data Scraper
- EditThisCookie
- Wappalyzer
- Shodan
- FoxyProxy
- Hack-Bar
- HackTouls
- DotGit
- Omówienie popularnych narzędzi i ich zastosowania:
- Podsumowanie zagadnień teoretycznych
- Krótkie podsumowanie zdobytej wiedzy
- Pytania i odpowiedzi
2 dzień
- Warsztaty praktyczne
- Jak w bezpieczny sposób można nauczyć się testów penetracyjnych web aplikacji?
- Omówienie poszczególnych zestawów oprogramowania, które można wykorzystać do nauki testów penetracyjnych:
- DVWA
- DVNA
- WebGoat
- Vulnerable-AD
- OWASPVulnerable Web Application
- Prezentacja zestawu wykorzystywanego podczas szkulenia;
- Pierwsze próby połączenia do maszyn szkuleniowych.
- Omówienie poszczególnych zestawów oprogramowania, które można wykorzystać do nauki testów penetracyjnych:
- Testowanie penetracyjne web aplikacji w praktyce w oparciu o najpopularniejsze podatności
- Wykorzystanie w praktyce “podstawowych” funkcjonalności narzędzi;
- Wykorzystanie w praktyce “zaawansowanych” funkcjonalności narzędzi.
- Tworzenie raportu po wykonanych testach penetracyjnych web aplikacji
- Elementy niezbędne do stworzenia poprawnego raportu z testów penetracyjnych web aplikacji:
- Tytuł
- Opis
- Komponent, którego dotyczy podatność.
- Potencjalna liczba użytkowników objętych podatnością.
- Krytyczność
- Wpływ
- Prawdopodobieństwo wystąpienia
- Pełne wyjaśnienie
- Ocena wskali Common Vulnerability Scoring System
- Narzędzia użyte do wywołania podatności
- Kroki niezbędne do reprodukcji błędu.
- Sugerowane rozwiązanie
- Inne (CWE)
- Elementy niezbędne do stworzenia poprawnego raportu z testów penetracyjnych web aplikacji:
- Propozycje poprawek.
- Omówienie zagadnienia
- Otwarta dyskusja
- Omówienie zagadnienia
- Podsumowanie szkulenia
- Pytania i odpowiedzi
- Jak w bezpieczny sposób można nauczyć się testów penetracyjnych web aplikacji?
Opis szkolenia
Szkolenie odbywa się na żywo z udziałem trenera. Nie jest to forma kursu video!Tworzysz aplikacje webowe? A może takimi zarządzasz? Twój szef wymaga od Ciebie rekomendacji pod kątem bezpieczeństwa aplikacji webowej a Ty nie wiesz co zrobić? A może sam chciałbyś zmienić swoją ścieżkę zawodową i zostać pentesterem albo red teamerem?
Jeżeli odpowiedź na jedno z powyższych pytań brzmi - "TAK" - To szkolenie jest dla Ciebie!
Czy zastanawiałeś / zastanawiałaś się kiedyś w jaki sposób można przetestować aplikację webową a następnie zarekomendować czynności poprawiające jej bezpieczeństwo?
Musimy być bowiem świadomi, że każda aplikacja webowa dostępna z poziomu sieci Internet może być narażona na działania niepożądane ze strony "hackerów".
Na tym szkoleniu uczestnicy dowiedzą się:
- W jaki sposób przetestować aplikację webową;
- W jaki sposób wykonać raport z tak przeprowadzonego testu;
- Jakie rekomendacje, które poprawią bezpieczeństwo badanej aplikacji webowej mogą zostać wydane w ramach określonych podatności;
- Jakie są najpopularniejsze typy ataków, które mogą spotkać naszą aplikację webową.
Po szkoleniu, każdy uczestnik będzie posiadał fundamentalną wiedzę z zakresu wykonywania testów penetracyjnych web aplikacji dzięki czemu będzie mógł rekomendować lub/i wdrożyć niezbędne poprawki bezpieczeństwa w organizacji i nie tylko.
Wymagania wstępne:
Aby w pełni zrozumieć prezentowany podczas szkolenia materiał wymagana jest:
- Podstawowa znajomość działania aplikacji webowych;
- Podstawowa znajomość działania silników witryn internetowych;
- Podstawowa znajomość działania serwerów WWW (Apache, NGINX, IIS);
- Podstawowa umiejętność obsługi systemów operacyjnych z rodziny Linux.
Zachęcamy do zapoznania się z naszą ofertą szkoleniową celem uzupełnienia wiedzy z wyżej wymienionych zagadnień.
Prowadzący szkolenie: Adrian Chaber
Inżynier informatyki zawodowo związany z SALESManago, gdzie jako Head of IT Security stawia czoła wyzwaniom związanym z bezpieczeństwem tworzonego przez firmę oprogramowania oraz zgodnością z normami i standardami bezpieczeństwa informatycznego w ramach całej organizacji. Doświadczenie zdobywał między innymi u takich organizacji jak IBM, ING czy Akamai. Pasjonat informatyki i szeroko pojętej wiedzy. Na zadawane pytania, na które nie zna odpowiedź zawsze odpowiada "jeszcze tego nie wiem, ale na pewno się dowiem".
Stanowisko robocze
Do tego szkolenia każdy uczestnik otrzymuje dostęp do indywidualnej wirtualnej maszyny w chmurze. Ma ona zainstalowane i skonfigurowane wszystko co potrzebne do realizacji szkolenia. Maszyna będzie dostępna przez cały okres szkolenia.
Gdy na jakiś termin zgłosi się minimalna liczba osób, termin oznaczamy jako gwarantowany.
Jeśli jakiś termin oznaczony jest jako gwarantowany to oznacza to, że na 100% się odbędzie we wskazanym czasie i miejscu.
Nawet gdyby część takiej grupy zrezygnowała lub przeniosła się na inny termin, raz ustalony termin gwarantowany takim pozostaje.
Ewentualne ryzyko ponosimy my jako organizator.
Przejdź do terminów tego szkolenia
Sprawdź, co mówią o nas ci, którzy nam zaufali
Trenerzy kategorii Cyberbezpieczeństwo
Z wykształcenia matematyk, absolwent Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej, certyfikowany CISSP, ISSAP oraz audytor wiodący ISO27001. Z zawodu i zainteresowań specjalista ds. bezpieczeństwa systemów informatycznych.
Współtworzył i wdrażał rozwiązania zabezpieczające jedne z największych systemów ochrony informacji niejawnych w Polsce, m.in. Policyjną Sieć Transmisji Danych Niejawnych i systemy Straży Granicznej. Brał udział w projektach naukowo badawczych z zakresu bezpieczeństwa teleinformatycznego. Uczestniczył w międzynarodowych Ćwiczeniach NATO CWIX (Coalition Warrior Interoperability eXercise) oraz w konferencjach organizowanych przez Agencja NATO ds. Łączności i Informatyki (NCIA). Prelegent na konferencjach z zakresu Security, m.in The Hack Summit oraz Semafor.
Przewodził pracy zespołowi badawczo-rozwojowego projektującemu nowe rozwiązania do ochrony systemów IT/ICS, bierze udział w pracach nad opracowaniem inteligentnego systemy zarządzania energią elektryczną. Od wielu lat związany z firmą KRYPTON Polska. Sp. z o. o., polskim liderem certyfikowanych rozwiązań kryptograficznych, aktualnie na stanowisku Architekta Systemowego ds. cyberbezpieczeństwa.
Dzieli się swoją wiedzą prowadząc szkolenia z zakresu bezpieczeństwa przez firmę JSystems sp. z o. o. Członek stowarzyszeń ISSA Polska, (ISC)2 oraz (ISC)2 Poland Chapter. Aktywnie działa w celu poszerzania świadomości otocznia na zagrożenia związane z systemami informatycznymi i koniecznością ich odpowiedzialnego rozwoju.
W ciągu ostatnich 6 lat przeszkolił:
- ponad 3900 osób z zakresu zagrożeń cybernetycznych,
- ponad 1500 dzieci z zakresu zagrożeń internetowych, kariery w IT, poznawania technologii,
- 40 działów IT z zakresu budowania świadomości cyberzagrożeń oraz cyberbezpieczeństwa w organizacji,
- 160 trenerów cyberbezpieczeństwa.
- Cyber Security Consultant w Trecom Group – doradztwo w zakresie rozwiązań, konsultacje, inicjator, konsultant i koordynator projektów związanych z bezpieczeństwem.
- Pomysłodawca, trener, szkoleniowiec, właściciel projektu „cyberkurs.online szkolenia, cyberbezpieczeństwo”.
- Członek ISSA Polska: Stowarzyszenie do spraw Bezpieczeństwa Systemów Informacyjnych.
- Konsultant w: Miękko o it – wykorzystanie miękkich umiejętności w projektach it
- Dyrektor ds. Projektu Cyfrowy Skaut ISSA Polska, lider projektu Cyfrowy Skaut.
- Twórca lokalnej społeczności ISSA Polska Poznań .local #ISSAPolskaPoznań.local