Program
Szkolenie „Testy penetracyjne aplikacji WWW” zostało przygotowane z myślą o osobach, które chcą nauczyć się jak przeprowadzać testy bezpieczeństwa (penetracyjne) aplikacji WWW oraz jak zabezpieczać aplikacje WWW przed atakami.
Szkolenie w znacznej części oparte jest o wytyczne OWASP ASVS, które współcześnie są jednym z najbardziej popularnych standardów wykorzystywanych przy realizacji testów penetracyjnych aplikacji WWW.
Agenda
Część Pierwsza
Program pierwszej części szkolenia skoncentrowany jest na ćwiczeniach z identyfikacji podatności związanych z manipulacją parametrami pod kątem przekazywania w nich znaków specjalnych. Szkolenie szczegółowo omawia następujące podatności:
Cross-Site Scripting
SQL Injection
File Inclusion
Path Traversal
Remote Command Injection
Remote Code Execution
LDAP Injection
XML Injection
XPath Injection
SSI Injection
Drugim elementem części pierwszej
są ćwiczenia związane z zabezpieczaniem aplikacji WWW na poziomie rozwiązań programistycznych, konfiguracji serwera oraz za pomocą rozwiązań typu WAF/IPS.
Program szkolenia
Wprowadzenie do testów penetracyjnych
Wykład teoretyczny omawiający zagadnienia związane z realizacją testów penetracyjnych., standard OWASP ASVS oraz przedstawione zostaną podstawowe koncepcje i definicje używane w testach penetracyjnych aplikacji WWW. Wykład uzupełniają ćwiczenia praktyczne z wykorzystaniem narzędzi używanych w dalszej części szkolenia.
Czas trwania: 2h
Testy bezpieczeństwa aplikacji WWW cz. 1
Warsztaty związane z atakami opartymi o nieodpowiednią weryfikację parametrów wejściowych do aplikacji. Omówione zostaną m. in. następujące podatności:
Cross-Site Scripting
SQL Injection
Path Traversal
File Inclusion
Remote Command Injection
Remote Code Execution
XML Injection
XPath Injection
LDAP Injection
SSI Injection
Przykłady zrealizowane są w oparciu o specjalnie przygotowane środowisko oraz aplikacje, które naśladują rzeczywiście występujące podatności oraz warunki testów penetracyjnych. Dla każdej podatności zostaną zaprezentowane metody zabezpieczenia z wykorzystaniem:
Funkcji na poziomie języka programowania
Rozwiązania Web Application Firewall (mod_security)
Konfiguracji serwera Apache wraz z modułem PHP
Podczas szkolenia omówione oraz wykorzystane zostaną narzędzia:
BurpSuite
Plugin WebDeveloper dla aplikacji FireFox
ModSecurity dla serwera Apache
Rozszerzenie Suhosin dla technologii PHP
SQLMap
Bezpieczna konfiguracja serwera Apache wraz z modułami
Beef Framework
Niektóre polecenia powłoki systemu Linux
Inne narzędzia wykorzystywane w testach penetracyjnych
Czas trwania: 15h
Raportowanie rezultatów testów penetracyjnych, podsumowanie
Ostatnim elementem programu szkoleniowego jest omówienie oraz zaprezentowanie na przykładach różnych sposobów szacowania i klasyfikacji podatności (CIA, STRIDE, DREAD) oraz przedstawienie rzeczywistej metodyki i szablonów raportowania.
Czas trwania: 90 min.
Szkolenie „Testy penetracyjne aplikacji WWW” zostało przygotowane z myślą o osobach, które chcą nauczyć się jak przeprowadzać testy bezpieczeństwa (penetracyjne) aplikacji WWW oraz jak zabezpieczać aplikacje WWW przed atakami.
Szkolenie w znacznej części oparte jest o wytyczne OWASP ASVS, które współcześnie są jednym z najbardziej popularnych standardów wykorzystywanych przy realizacji testów penetracyjnych aplikacji WWW.
Agenda
Część Pierwsza
Program pierwszej części szkolenia skoncentrowany jest na ćwiczeniach z identyfikacji podatności związanych z m...
Rozwiń program
Terminy
Rozpoczęcie | Trwa | Plan zajęć | Miejsc | Lokalizacja |
---|
dowolny termin | 2 dni | | 15 | Warszawa |
Cena
4290 zł brutto/ całość (3490 zł netto)
Miejsce szkolenia
Warszawa
Płocka 5A
01-231 Warszawa
Polska
Tagi: testy penetracyjne, bezpieczeństwo, aplikacje www, testy bezpieczeństwa, programowanie
Ostatnia aktualizacja: 4 luty 2016