Informujemy, że w związku z ciągłym podnoszeniem jakości naszych szkoleń i związanymi z tym kosztami, w dniu 06.09.2024 ceny wybranych szkoleń wzrosną. Aktualny cennik obowiązuje do 05.09.2024 włącznie.


Testy penetracyjne aplikacji webowej

by:
Czas trwania 2 dni

Najbliższe terminy tego szkolenia

09.09 10.09 Termin gwarantowany Szkolenie online Ostatnie miejsca!
Zapisz się
18.11 19.11 Termin gwarantowany Szkolenie online Ostatnie miejsca!
Zapisz się

Szkolenie
dedykowane
dla Twojego
zespołu

Cena szkolenia 1600 PLN (netto)

Standardy JSystems

  1. Wszyscy nasi trenerzy muszą być praktykami i osiągać średnią z ankiet minimum 4.75 na 5. Nie ma wśród nas trenerów-teoretyków. Każdy trener JSystems ma bogate doświadczenie komercyjne w zakresie tematów z których prowadzi szkolenia.
  2. Wszystkie szkolenia mają format warszatowy. Każde zagadnienie teoretyczne jest poparte rzędem warsztatów w ściśle określonym formacie.
  3. Terminy gwarantowane na 100%. Jeśli jakiś termin jest oznaczony jako gwarantowany, oznacza to że odbędzie się nawet jeśli część grupy wycofa się z udziału. Ryzyko ponosimy my jako organizator.
  4. Do każdego szkolenia które wymaga jakiegokolwiek oprogramowania dostarczamy skonfigurowane, gotowe hosty w chmurze. Dzięki temu uczestnik nie musi nic instalować na swoim komputerze (i bić się z blokadami korporacyjnymi). Połączenie następuje przez zdalny pulpit lub SSH - w zależności od szkolenia.
Zapisz się
Program szkolenia

1 dzień

  1. Wprowadzenie
    • Pentester, red teamer a może hacker?
      • Kto to jest pentester?
      • Kto to jest red teamer?
      • Kto to jest hacker?
      • Czym różnią się ich profesje?
    • Czym są testy penetracyjne?
      • Omówienie czym są testy penetracyjne
      • Rodzaje testów penetracyjnych
        • White Box
        • Gray Box
        • Black Box
    • Dlaczego testy penetracyjne aplikacji webowych są tak istotne?
      • Omówienie zagadnienia
      • Cyberataki
        • Definicja cyberataku.
        • Definicja podatności.
      • Najpopularniejsze zagrożenia
        • OWASP TOP 10
        • CWE TOP 25
  2. Standardy przeprowadzania testów penetracyjnych web aplikacji (i nie tylko)
    • Czym jest standard bezpieczeństwa?
      • Omówienie zagadnienia
    • Omówienie różnic pomiędzy poszczególnymi standardami
      • NIST
      • OWASPASVS
      • CIS
      • PCI
      • ISO
      • Inne
      • Który standard jest najlepszy i dlaczego?
        • Otwarta dyskusja
      • Który standard wybrać i dlaczego?
        • Otwarta dyskusja
  3. Narzędzia wykorzystywane podczas testów penetracyjnych web aplikacji
    • Omówienie popularnych narzędzi i ich zastosowania:
      • Burp Suite / ZAP
      • NMAP
      • Nessus / Tenable / GVM
      • Wireshark
      • Sqlmap
      • Metasploit
      • Hydra
      • John the Ripper
      • Inne
    • Omówienie dystrybucji Linuxa przeznaczonych do testów penetracyjnych (i nie tylko):
      • Kali Linux
      • ParrotOS
      • BlackArche
    • Omówienie dodatków do przeglądarek internetowych wykorzystywanych przy testach penetracyjnych:
      • OWASPPenetration Testing KIT
      • Instant Data Scraper
      • EditThisCookie
      • Wappalyzer
      • Shodan
      • FoxyProxy
      • Hack-Bar
      • HackTouls
      • DotGit
  4. Podsumowanie zagadnień teoretycznych
    • Krótkie podsumowanie zdobytej wiedzy
    • Pytania i odpowiedzi


    2 dzień

  5. Warsztaty praktyczne
    • Jak w bezpieczny sposób można nauczyć się testów penetracyjnych web aplikacji?
      • Omówienie poszczególnych zestawów oprogramowania, które można wykorzystać do nauki testów penetracyjnych:
        • DVWA
        • DVNA
        • WebGoat
        • Vulnerable-AD
        • OWASPVulnerable Web Application
      • Prezentacja zestawu wykorzystywanego podczas szkulenia;
      • Pierwsze próby połączenia do maszyn szkuleniowych.
    • Testowanie penetracyjne web aplikacji w praktyce w oparciu o najpopularniejsze podatności
      • Wykorzystanie w praktyce “podstawowych” funkcjonalności narzędzi;
      • Wykorzystanie w praktyce “zaawansowanych” funkcjonalności narzędzi.
    • Tworzenie raportu po wykonanych testach penetracyjnych web aplikacji
      • Elementy niezbędne do stworzenia poprawnego raportu z testów penetracyjnych web aplikacji:
        • Tytuł
        • Opis
        • Komponent, którego dotyczy podatność.
        • Potencjalna liczba użytkowników objętych podatnością.
        • Krytyczność
        • Wpływ
        • Prawdopodobieństwo wystąpienia
        • Pełne wyjaśnienie
        • Ocena wskali Common Vulnerability Scoring System
        • Narzędzia użyte do wywołania podatności
        • Kroki niezbędne do reprodukcji błędu.
        • Sugerowane rozwiązanie
        • Inne (CWE)
    • Propozycje poprawek.
      • Omówienie zagadnienia
        • Otwarta dyskusja
    • Podsumowanie szkulenia
      • Pytania i odpowiedzi

Opis szkolenia

Szkolenie odbywa się na żywo z udziałem trenera. Nie jest to forma kursu video!


Tworzysz aplikacje webowe? A może takimi zarządzasz? Twój szef wymaga od Ciebie rekomendacji pod kątem bezpieczeństwa aplikacji webowej a Ty nie wiesz co zrobić? A może sam chciałbyś zmienić swoją ścieżkę zawodową i zostać pentesterem albo red teamerem?
Jeżeli odpowiedź na jedno z powyższych pytań brzmi - "TAK" - To szkolenie jest dla Ciebie!

Czy zastanawiałeś / zastanawiałaś się kiedyś w jaki sposób można przetestować aplikację webową a następnie zarekomendować czynności poprawiające jej bezpieczeństwo?
Musimy być bowiem świadomi, że każda aplikacja webowa dostępna z poziomu sieci Internet może być narażona na działania niepożądane ze strony "hackerów".

Na tym szkoleniu uczestnicy dowiedzą się:

  • W jaki sposób przetestować aplikację webową;
  • W jaki sposób wykonać raport z tak przeprowadzonego testu;
  • Jakie rekomendacje, które poprawią bezpieczeństwo badanej aplikacji webowej mogą zostać wydane w ramach określonych podatności;
  • Jakie są najpopularniejsze typy ataków, które mogą spotkać naszą aplikację webową.

Po szkoleniu, każdy uczestnik będzie posiadał fundamentalną wiedzę z zakresu wykonywania testów penetracyjnych web aplikacji dzięki czemu będzie mógł rekomendować lub/i wdrożyć niezbędne poprawki bezpieczeństwa w organizacji i nie tylko.

Wymagania wstępne:

Aby w pełni zrozumieć prezentowany podczas szkolenia materiał wymagana jest:

  • Podstawowa znajomość działania aplikacji webowych;
  • Podstawowa znajomość działania silników witryn internetowych;
  • Podstawowa znajomość działania serwerów WWW (Apache, NGINX, IIS);
  • Podstawowa umiejętność obsługi systemów operacyjnych z rodziny Linux.

Zachęcamy do zapoznania się z naszą ofertą szkoleniową celem uzupełnienia wiedzy z wyżej wymienionych zagadnień.



Prowadzący szkolenie: Adrian Chaber



Inżynier informatyki zawodowo związany z SALESManago, gdzie jako Head of IT Security stawia czoła wyzwaniom związanym z bezpieczeństwem tworzonego przez firmę oprogramowania oraz zgodnością z normami i standardami bezpieczeństwa informatycznego w ramach całej organizacji. Doświadczenie zdobywał między innymi u takich organizacji jak IBM, ING czy Akamai. Pasjonat informatyki i szeroko pojętej wiedzy. Na zadawane pytania, na które nie zna odpowiedź zawsze odpowiada "jeszcze tego nie wiem, ale na pewno się dowiem".


Stanowisko robocze


Do tego szkolenia każdy uczestnik otrzymuje dostęp do indywidualnej wirtualnej maszyny w chmurze. Ma ona zainstalowane i skonfigurowane wszystko co potrzebne do realizacji szkolenia. Maszyna będzie dostępna przez cały okres szkolenia.
Zapisz się
Terminy gwarantowane

Gdy na jakiś termin zgłosi się minimalna liczba osób, termin oznaczamy jako gwarantowany.

Jeśli jakiś termin oznaczony jest jako gwarantowany to oznacza to, że na 100% się odbędzie we wskazanym czasie i miejscu.

Nawet gdyby część takiej grupy zrezygnowała lub przeniosła się na inny termin, raz ustalony termin gwarantowany takim pozostaje. Ewentualne ryzyko ponosimy my jako organizator.

Przejdź do terminów tego szkolenia

Szkolenia online Szkolenia online odbywają się na żywo z udziałem trenera. Uczestniczy łączą się na szkolenie za pomocą platfomy ZOOM. Informacje o wymaganym niezbędnym oprogramowaniu oraz informacje organizacyjne uczestnicy otrzymują na 7 dni przed datą rozpoczęcia szkolenia.
Inne szkolenia tej kategorii Sprawdź pozostałe    szkolenia Cyberbezpieczeństwo!
Zapisz się

Sprawdź, co mówią o nas ci, którzy nam zaufali

  • 5.0/5

    Podstawy zapytań SQL w bazach danych Microsoft SQL Server

    18-07-2024 Trzy dni szkolenia szczelnie wypełnione wiedzą, bardzo dobra organizacja szkolenia - od podstaw do bardziej skomplikowanych kodów, bardzo profesjonalny prowadzący. Polecam każdemu, kto chce rozpocząć naukę SQL! Marta Fujarska, Ornsson Solutions Sp. z o.o.
  • 5.0/5

    Programowanie w języku Python

    12-07-2024 Bardzo dobre szkolenie, świetny prowadzący. Tempo szkolenia dostosowane do uczestników. Szczerze polecam! Maciej Kijewski, Volkswagen Poznań Sp. z o.o.
  • 5.0/5

    Terraform i Infrastruktura jako Kod (IaC) - szkolenie kompleksowe

    12-07-2024 Szkolenie bardzo dobrze przeprowadzone, na temat, wyjaśnione wszystkie aspekty. Marcin Suchodolski, Grupa VAT Pekao
  • 5.0/5

    Podstawy Oracle SQL

    11-07-2024 Zdecydowanie polecam, właśnie takiej dawki wiedzy oczekuję od firm oferujących szkolenia. Anna Popik-Mazur, Ministerstwo Finansów
  • 5.0/5

    Tuning baz danych i SQL w PostgreSQL

    10-07-2024 Wyjaśnione w prosty sposób mechanizmy, których używa się na codzien lecz niekoniecznie poprawnie Łukasz Brzeziński, Business Online Services sp. z o.o.
  • 5.0/5

    Kompleksowe szkolenie Power BI - Desktop, Dax i Online – 5 dni

    05-07-2024 Profesjonalnie przygotowany prowadzący, z olbrzymią wiedzą i doświadczeniem, historycznie znający oprogramowanie z którego szkoli, od najstarszych możliwych wersji. Wybitny bazodanowiec, z olbrzymim doświadczeniem i wiedzą praktyczną zastosowania rozwiązań Tomasz Wieczorek, SOFTCONTROLS Sp. z o.o.
  • 4.81/5

    Kompleksowe szkolenie Power BI - Desktop, Dax i Online – 5 dni

    05-07-2024 Szkolenie jest bardzo praktyczne, a zdobyta wiedza pomaga w codziennej pracy. Na pewno polecę to szkolenie w mojej firmie. Magdalena Szczypek, Polski Światłowód Otwarty Sp. z o.o.
  • 5.0/5

    Administracja bazami danych Oracle

    28-06-2024 - Naprawdę warto. Adam Przywarty, Samodzielny Publiczny Szpital Kliniczny Nr.1 im.prof. Tadeusza Sokołowskiego Pomorskiego Uniwersytetu Medycznego
  • 5.0/5

    Kompleksowe wprowadzenie do Big Data - szkolenie w formie warsztatowej

    28-06-2024 Polecam , szkolenie przeprowadzone przez osobe z duza wiedza i bogatym doswiadczeniem , ciekawe zagadnienia i rozwiazania Arlan Akhmet, Ornsson Solutions Sp. z o.o.
  • 5.0/5

    Administracja serwerem baz danych Microsoft SQL Server + High Availability

    28-06-2024 Bardzo ciekawe szkolenie, dużo praktyki. Trener o niesamowitej wiedzy. Krzysztof Kania, EduBroker Sp. z o.o.
  • 5.0/5

    Administracja bazami danych Oracle

    28-06-2024 Zdecydowanie polecam ! Dariusz Drywulski, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Bielsku Podlaskim
  • 5.0/5

    Kubernetes: orkiestracja kontenerów - szkolenie kompleksowe

    28-06-2024 rewelacyjne szkolenie i jeszcze lepszy prowadzacy Robert Cok, Powszechny Zakład Ubezpieczeń Spółka Akcyjna
  • 5.0/5

    Kompleksowe szkolenie: Modelowanie w notacjach UML i BPMN z wykorzystaniem narzędzia Enterprise Architect

    28-06-2024 Bardzo dziękuję za merytoryczne i praktyczne szkolenie z modelowania w notacjach UML i BPMN :) Przyjemna atmosfera, konkretna wiedza przedstawiona w bardzo przystępny sposób. Łucja Pałkus, Asseco Poland S.A.
  • 4.9/5

    Zaawansowany SQL w PostgreSQL

    28-06-2024 Polecam. Katarzyna Cholewińska, Główny Urząd Geodezji i Kartografii
  • 5.0/5

    Administracja bazami danych Oracle

    28-06-2024 Szkolenie merytoryczne, sprawne, profesjonalne i w miłej atmosferze. Piotr Kuźniewski, Symatic Sp. z o.o.
  • 5.0/5

    Clean Code i dobre praktyki programowania obiektowego w Javie

    28-06-2024 Przystępnie podana porcja wiedzy, która z pewnością przyda się w codziennej praktyce deweloperskiej. Dużo trafnych przykładów, znalazło się też nieco czasu na indywidualne ćwiczenia praktyczne. Dodatkowym plusem było zaangażowanie prowadzącego i możliwość swobodnej dyskusji nad proponowanymi rozwiązaniami. Kamil Ćwintal, Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy
  • 5.0/5

    Kubernetes: orkiestracja kontenerów - szkolenie kompleksowe

    28-06-2024 Super szkolenie Piotr Dziubek, Bank Pekao S.A.
  • 5.0/5

    Administracja serwerem baz danych Microsoft SQL Server + High Availability

    28-06-2024 Bardzo wartościowe szkolenie! Michał Marszałek, Edubroker Sp. z o.o.
  • 4.9/5

    Administracja serwerem baz danych Microsoft SQL Server + High Availability

    28-06-2024 Konkretne, merytoryczne szkolenie z dużą ilością części praktycznej Marcin Najdek, SYNERGII IT - Paweł Rożko
  • 5.0/5

    SQL dla średnio zaawansowanych

    27-06-2024 Z przyjemnością dzielę się moimi wrażeniami po szkoleniu z Oracle poziom średniozaawansowany, w którym miałem okazję uczestniczyć. Szkolenie było doskonale zorganizowane, a prowadzący wykazali się ogromną wiedzą i umiejętnością jej przekazywania w przystępny sposób. Materiały szkoleniowe były szczegółowe i dobrze przygotowane, co umożliwiło mi szybkie zrozumienie kluczowych koncepcji oraz praktyczne ich zastosowanie. Ćwiczenia praktyczne, które były integralną częścią kursu, pozwoliły mi na zdobycie cennych umiejętności, które z pewnością wykorzystam w mojej dalszej pracy zawodowej. Gorąco polecam to szkolenie każdemu, kto chce zdobyć solidną porcję wiedzy z Oracle! Andrzej Gajewski, ​PKP Informatyka spółka z o.o.
  • 5.0/5

    Uczenie maszynowe w Pythonie

    27-06-2024 Bardzo fajne szkolenie, trener cierpliwy, wykazujący się bardzo dużą wiedzą, temat przedstawiony w sposób prosty ale rzeczowy i profesjonalny. Krzysztof Gołda, Tenneco Automotive Eastern Europe
  • 5.0/5

    Szkolenie kompleksowe: Tuning wydajności SQL w bazach danych Oracle 12c - 21c

    27-06-2024 Szkolenie wartościowe, duży zasób informacji i ciekawych rozwiązań. Dominik Rus, Centrum Informatyki Resortu Finansów
  • 5.0/5

    SQL dla średnio zaawansowanych

    27-06-2024 Praktyczne podejście, bez zbędnych teoretycznych slajdów i prezentacji. Nauka poprzez praktyke Tytus Pogorzelski, Silky Coders Sp. z o.o.
  • 5.0/5

    Tuning baz danych i SQL w PostgreSQL

    26-06-2024 Dobrze i konkretnie wyłożony materiał :) Krzysztof Kozicki, PZU SA/PZU ŻYCIE SA
  • 5.0/5

    Tuning baz danych i SQL w PostgreSQL

    26-06-2024 Świetne szkolenie! Mateusz Maciejczak, PZU S.A / PZU Życie S.A.
  • 5.0/5

    Tuning baz danych i SQL w PostgreSQL

    26-06-2024 bez zastrzeżeń Sławomir Zych, EduBroker Sp. z o.o.
  • 5.0/5

    Kompleksowe szkolenie SQL w Microsoft SQL Server

    21-06-2024 Szkolenie jest kompleksowe, bardzo przystępne i przeprowadzone w świetnej atmosferze! Krzysztof Kusiak, OSOBA PRYWATNA
  • 4.81/5

    Programowanie w języku C#

    21-06-2024 Fajne szkolenie, z kompetentnym ternerem Andrzej Krukowski, Consultronix S.A.
  • 5.0/5

    Kompleksowe szkolenie programowanie w PL/SQL w Oracle

    21-06-2024 Bardzo duża dawka wiedzy, przedstawiona w przystępny sposób. Trener z dużą wiedzą praktyczną i w każdym temacie podrzucał ciekawe protipy. Dawid Kalinowski, Rohlig Suus Logistics SA
  • 5.0/5

    Kompleksowe szkolenie - Konteneryzacja Docker i Kubernetes: od zera do bohatera

    21-06-2024 Bardzo dobre szkolenie, intensywne, praktyczne. Prowadzący nie pozostawia żadnego pytania bez odpowiedzi. Szkolenie jest bardzo dobrze przygotowane, można je wykonywać na każdym OSie. Maksym Zawrotny, PZU SA/PZU ŻYCIE SA
Sprawdź wszystkie opinie

Sprawdź nasze opinie w Google

Trenerzy kategorii Cyberbezpieczeństwo

Adrian Chaber
Adrian Chaber Inżynier informatyki zawodowo związany z SALESManago, gdzie jako Head of IT Security stawia czoła wyzwaniom związanym z bezpieczeństwem tworzonego przez firmę oprogramowania oraz zgodnością z normami i standardami bezpieczeństwa informatycznego w ramach całej organizacji. Doświadczenie zdobywał między innymi u takich organizacji jak IBM, ING czy Akamai. Pasjonat informatyki i szeroko pojętej wiedzy. Na zadawane pytania, na które nie zna odpowiedź zawsze odpowiada "jeszcze tego nie wiem, ale na pewno się dowiem".
Artur Zięba-Kozarzewski
Artur Zięba-Kozarzewski Z wykształcenia matematyk, absolwent Wydziału Matematyki i Nauk Informacyjnych Politechniki Warszawskiej, z zawodu i zainteresowań specjalista ds. bezpieczeństwa systemów informatycznych. Szeroki zakres wiedzy w tym obszarze potwierdził uzyskaniem certyfikatu CISSP. Współtworzył i wdrażał rozwiązania zabezpieczające jedne z największych systemów ochrony informacji niejawnych w Polsce, m.in. Policyjną Sieć Transmisji Danych Niejawnych i systemy Straży Granicznej. Brał udział w projektach naukowo badawczych z zakresu bezpieczeństwa teleinformatycznego. Uczestniczył w międzynarodowych Ćwiczeniach NATO CWIX (Coalition Warrior Interoperability eXercise) oraz w konferencjach organizowanych przez Agencja NATO ds. Łączności i Informatyki (NCIA). Prelegent na konferencjach z zakresu Security, m.in The Hack Summit oraz Semafor. Przewodził pracy zespołowi badawczo-rozwojowego projektującemu nowe rozwiązania do ochrony systemów IT/ICS. Aktualnie związany z firmą KRYPTON Polska. Sp. z o.o. na stanowisku architekta ds. cyberbezpieczeństwa. Członek stowarzyszeń ISSA Polska oraz ISC2. Aktywnie działa w celu poszerzania świadomości otocznia na zagrożenia związane z systemami informatycznymi.
Artur Markiewicz
Artur Markiewicz Ma ponad 20-letnie doświadczenie w koordynowaniu i realizowaniu projektów z obszarów bezpieczeństwa, infrastruktury, sieci, urządzeń klienckich, systemów szpitalnych, serwerowni, oprogramowania użytkowego i do bezpieczeństwa, szkoleń z cyberbezpieczeństwa dla działów IT i nie tylko.

W ciągu ostatnich 6 lat przeszkolił:

  • ponad 3900 osób z zakresu zagrożeń cybernetycznych,
  • ponad 1500 dzieci z zakresu zagrożeń internetowych, kariery w IT, poznawania technologii,
  • 40 działów IT z zakresu budowania świadomości cyberzagrożeń oraz cyberbezpieczeństwa w organizacji,
  • 160 trenerów cyberbezpieczeństwa.

  • Cyber Security Consultant w Trecom Group – doradztwo w zakresie rozwiązań, konsultacje, inicjator, konsultant i koordynator projektów związanych z bezpieczeństwem.
  • Pomysłodawca, trener, szkoleniowiec, właściciel projektu „cyberkurs.online szkolenia, cyberbezpieczeństwo”.
  • Członek ISSA Polska: Stowarzyszenie do spraw Bezpieczeństwa Systemów Informacyjnych.
  • Konsultant w: Miękko o it – wykorzystanie miękkich umiejętności w projektach it
  • Dyrektor ds. Projektu Cyfrowy Skaut ISSA Polska, lider projektu Cyfrowy Skaut.
  • Twórca lokalnej społeczności ISSA Polska Poznań .local #ISSAPolskaPoznań.local

Bartosz Świekatowski
Bartosz Świekatowski Ood 2015 r. zajmuje się tematyką bezpieczeństwa informacji, ochrony danych osobowych, a w ostatnim czasie również stricte cyberbezpieczeństwem. Senior Consultant w jednej z wiodących firm konsultingowych, gdzie zajmuje się cyber ryzykiem, IT governance, jak również kwestiami zgodności ze standardami cyberbezpieczeństwa. Doświadczenie z zakresu bezpieczeństwa informacji zdobywał w sektorze publicznym oraz prywatnym, w branży przemysłowej, budowlanej, leasingowej i ochrony zdrowia. Posiadacz certyfikatów CISA oraz Oracle Cloud Infrastructure Foundations. W wolnych chwilach czyta, jeździ na rowerze i trenuje karate.
Zapisz się

Masz jakieś pytania? Skontaktuj się z nami!

Odpowiadamy na telefony i maile w godzinach 9:00-17:00 od poniedziałku do piątku.

Telefon 22 299 53 69
E-mail biuro@jsystems.pl
Napisz do nas

Potrzebujesz więcej informacji?

Wiadomość wysłana

Przyjęliśmy Twoją wiadomość i skontaktujemy się z Tobą w tej sprawie

Klikając OK wrócisz do formularza

Nasza strona korzysta z plików cookie. Możesz zmienić zasady ich używania lub zablokować pliki cookie w ustawieniach przeglądarki. Więcej informacji można znaleźć w Polityce prywatności. Kontynuując korzystanie ze strony, wyrażasz zgodę na używanie plików cookie.