#539

Jak w prosty sposób zwiększyć bezpieczeństwo aplikacji webowej?

Warsztat odbywa się w formie zdalnej za pośrednictwem platformy/komunikatora online, z wykorzystaniem dźwięku, obrazu z kamery, udostępniania ekranu komputera prowadzącego i uczestników.

🟢  Warsztat weekendowy w godz. 9:00-17:00 (8h) 🟢

Jeśli wasza aplikacja nie przechodziła (jeszcze) testów bezpieczeństwa i nie macie w zespole osoby odpowiedzialnej za tego typu testy warto poznać kilka prostych zasad na zwiększenie ogólnego poziomu bezpieczeństwa aplikacji webowej. Dzięki wprowadzeniu tych zasad wasza aplikacja będzie nie tylko lepiej przygotowana na przyszłe testy bezpieczeństwa, ale przede wszystkim bezpieczniejsza dla użytkowników.

Żarówka

Czego się nauczysz?

Podczas warsztatu omówimy wymagania bezpieczeństwa, które powinna spełniać każda aplikacja webowa i źródła takich wymagań. Następnie przejdziemy do zagrożeń wynikających z wykorzystania nieaktualnych i podatnych wersji zależności. Omówimy nagłówki bezpieczeństwa i ich poprawną konfigurację. Na koniec poznamy automatyczne skanery bezpieczeństwa.
Grupa

Dla kogo jest ten warsztat?

Warsztaty skierowane są do osób pracujących z aplikacjami webowymi m. in. programistów, analityków i testerów, którzy chcieliby poznać proste sposoby na zwiększenie bezpieczeństwa swoich aplikacji.
Analityków może szczególnie zainteresować część dotycząca źródeł wymagań bezpieczeństwa, które mogą służyć za wzór na etapie analizy. Programiści dowiedzą się jak łatwo zarządzać wersjami zależności i jak zapewniać bezpieczeństwo na poziomie konfiguracyjnym. Dla testerów przydatne będą informacje o sposobach wykrywania błędów bezpieczeństwa.

Prowadzący

Klara Trzcińska:

Testerka z doświadczeniem w testach bezpieczeństwa aplikacji webowych oraz infrastruktury. Pracuje jako Starszy Specjalista w Pentacomp Systemy Informatyczne, gdzie zajmuje się głównie testami bezpieczeństwa aplikacji webowych oraz testami automatycznymi. Wykonywała testy bezpieczeństwa w licznych projektach o dużej skali. Absolwentka Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego oraz studiów podyplomowych z zakresu bezpieczeństwa systemów informatycznych na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Posiada branżowe certyfikaty Certified Ethical Hacker oraz ISTQB FL.

Program warsztatów

  1. Wprowadzenie
    1. Statystyki dotyczące podatności aplikacji webowych i ich konsekwencji
    2. Podstawowe wymagania bezpieczeństwa, które powinna spełniać każda aplikacja webowa
    3. Źródła wymagań bezpieczeństwa na przykładzie OWASP ASVS
    4. Podstawy korzystania z narzędzi Burp Suite oraz OWASP ZAP na potrzeby dalszych ćwiczeń praktycznych
  2. Unikanie podatności wynikających z nieaktualnych wersji zależności 
    1. Bazy danych podatności
    2. Przegląd narzędzi pozwalających na automatyczne przeszukiwanie bez danych podatności
    3. Wykrywanie podatnych wersji zależności z wykorzystaniem OWASP Dependency Check, Snyk, Retire.js
  3. Zabezpieczenia na poziomie konfiguracyjnym poprzez wykorzystanie najważniejszych nagłówków bezpieczeństwa oraz flag cookie m. in.:
    1. Podatność Clickjacking, a nagłówek X-Frame-Options
    2. Atak SSL Strip, a nagłówek Strict-Transport-Security i flaga cookie Secure
    3. Podatność XSS, a nagłówek X-XSS-Protection i flaga cookie HttpOnly
    4. Podatność CSRF, a flaga cookie SameSite 
    5. Zagrożenia związane ze zgadywaniem typu MIME strony, a nagłówek X-Content-Type-Options
    6. Nagłówek Content-Security-Policy
  4. Weryfikacja poprawności konfiguracji TLS
  5. Skanery umożliwiające automatyczne testy bezpieczeństwa aplikacji webowej
    1. Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source
    2. Weryfikacja wyników automatycznego skanowania

Uwaga

Liczba miejsc ograniczona! Organizator zastrzega sobie prawo do odwołania wydarzenia w przypadku niezgłoszenia się minimalnej liczby uczestników.
Zakupione certyfikaty zostaną przesłane uczestnikom w formie elektronicznej po warsztacie. Jeśli chcesz otrzymać zakupiony certyfikat w formie papierowej, zgłoś to mailowo na adres kontakt@stacja.it.

Zapisy na wybrany warsztat zostały zakończone.