Jak w prosty sposób zwiększyć bezpieczeństwo aplikacji webowej?
Warsztat odbywa się w formie zdalnej za pośrednictwem platformy/komunikatora online, z wykorzystaniem dźwięku, obrazu z kamery, udostępniania ekranu komputera prowadzącego i uczestników.
🟢 Warsztat weekendowy w godz. 9:00-17:00 (8h) 🟢
Czego się nauczysz?
Podczas warsztatu omówimy wymagania bezpieczeństwa, które powinna spełniać każda aplikacja webowa i źródła takich wymagań. Następnie przejdziemy do zagrożeń wynikających z wykorzystania nieaktualnych i podatnych wersji zależności. Omówimy nagłówki bezpieczeństwa i ich poprawną konfigurację. Na koniec poznamy automatyczne skanery bezpieczeństwa.
Dla kogo jest ten warsztat?
Warsztaty skierowane są do osób pracujących z aplikacjami webowymi m. in. programistów, analityków i testerów, którzy chcieliby poznać proste sposoby na zwiększenie bezpieczeństwa swoich aplikacji.
Analityków może szczególnie zainteresować część dotycząca źródeł wymagań bezpieczeństwa, które mogą służyć za wzór na etapie analizy. Programiści dowiedzą się jak łatwo zarządzać wersjami zależności i jak zapewniać bezpieczeństwo na poziomie konfiguracyjnym. Dla testerów przydatne będą informacje o sposobach wykrywania błędów bezpieczeństwa.
Prowadzący
Klara Trzcińska:
Testerka z doświadczeniem w testach bezpieczeństwa aplikacji webowych oraz infrastruktury. Pracuje jako Starszy Specjalista w Pentacomp Systemy Informatyczne, gdzie zajmuje się głównie testami bezpieczeństwa aplikacji webowych oraz testami automatycznymi. Wykonywała testy bezpieczeństwa w licznych projektach o dużej skali. Absolwentka Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego oraz studiów podyplomowych z zakresu bezpieczeństwa systemów informatycznych na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Posiada branżowe certyfikaty Certified Ethical Hacker oraz ISTQB FL.
Program warsztatów
Wprowadzenie
Statystyki dotyczące podatności aplikacji webowych i ich konsekwencji
Podstawowe wymagania bezpieczeństwa, które powinna spełniać każda aplikacja webowa
Źródła wymagań bezpieczeństwa na przykładzie OWASP ASVS
Podstawy korzystania z narzędzi Burp Suite oraz OWASP ZAP na potrzeby dalszych ćwiczeń praktycznych
Unikanie podatności wynikających z nieaktualnych wersji zależności
Bazy danych podatności
Przegląd narzędzi pozwalających na automatyczne przeszukiwanie bez danych podatności
Wykrywanie podatnych wersji zależności z wykorzystaniem OWASP Dependency Check, Snyk, Retire.js
Zabezpieczenia na poziomie konfiguracyjnym poprzez wykorzystanie najważniejszych nagłówków bezpieczeństwa oraz flag cookie m. in.:
Podatność Clickjacking, a nagłówek X-Frame-Options
Atak SSL Strip, a nagłówek Strict-Transport-Security i flaga cookie Secure
Podatność XSS, a nagłówek X-XSS-Protection i flaga cookie HttpOnly
Podatność CSRF, a flaga cookie SameSite
Zagrożenia związane ze zgadywaniem typu MIME strony, a nagłówek X-Content-Type-Options
Nagłówek Content-Security-Policy
Weryfikacja poprawności konfiguracji TLS
Skanery umożliwiające automatyczne testy bezpieczeństwa aplikacji webowej
Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source
Weryfikacja wyników automatycznego skanowania
Uwaga
Liczba miejsc ograniczona! Organizator zastrzega sobie prawo do odwołania wydarzenia w przypadku niezgłoszenia się minimalnej liczby uczestników.
Zakupione certyfikaty zostaną przesłane uczestnikom w formie elektronicznej po warsztacie. Jeśli chcesz otrzymać zakupiony certyfikat w formie papierowej, zgłoś to mailowo na adres kontakt@stacja.it.