Jak w prosty sposób zwiększyć bezpieczeństwo aplikacji webowej?
🟢 Warsztat weekendowy w godz. 9:00-17:00 (8h) 🟢
Jeśli wasza aplikacja nie przechodziła (jeszcze) testów bezpieczeństwa i nie macie w zespole osoby odpowiedzialnej za tego typu testy warto poznać kilka prostych zasad na zwiększenie ogólnego poziomu bezpieczeństwa aplikacji webowej. Dzięki wprowadzeniu tych zasad wasza aplikacja będzie nie tylko lepiej przygotowana na przyszłe testy bezpieczeństwa, ale przede wszystkim bezpieczniejsza dla użytkowników.
Czego się nauczysz?
Dla kogo jest ten warsztat?
Analityków może szczególnie zainteresować część dotycząca źródeł wymagań bezpieczeństwa, które mogą służyć za wzór na etapie analizy. Programiści dowiedzą się jak łatwo zarządzać wersjami zależności i jak zapewniać bezpieczeństwo na poziomie konfiguracyjnym. Dla testerów przydatne będą informacje o sposobach wykrywania błędów bezpieczeństwa.
Prowadzący
Testerka z doświadczeniem w testach bezpieczeństwa aplikacji webowych oraz infrastruktury. Pracuje jako Starszy Specjalista w Pentacomp Systemy Informatyczne, gdzie zajmuje się głównie testami bezpieczeństwa aplikacji webowych oraz testami automatycznymi. Wykonywała testy bezpieczeństwa w licznych projektach o dużej skali. Absolwentka Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego oraz studiów podyplomowych z zakresu bezpieczeństwa systemów informatycznych na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Posiada branżowe certyfikaty Certified Ethical Hacker oraz ISTQB FL.
Program warsztatów
- Wprowadzenie
- Statystyki dotyczące podatności aplikacji webowych i ich konsekwencji
- Podstawowe wymagania bezpieczeństwa, które powinna spełniać każda aplikacja webowa
- Źródła wymagań bezpieczeństwa na przykładzie OWASP ASVS
- Podstawy korzystania z narzędzi Burp Suite oraz OWASP ZAP na potrzeby dalszych ćwiczeń praktycznych
- Unikanie podatności wynikających z nieaktualnych wersji zależności
- Bazy danych podatności
- Przegląd narzędzi pozwalających na automatyczne przeszukiwanie bez danych podatności
- Wykrywanie podatnych wersji zależności z wykorzystaniem OWASP Dependency Check, Snyk, Retire.js
- Zabezpieczenia na poziomie konfiguracyjnym poprzez wykorzystanie najważniejszych nagłówków bezpieczeństwa oraz flag cookie m. in.:
- Podatność Clickjacking, a nagłówek X-Frame-Options
- Atak SSL Strip, a nagłówek Strict-Transport-Security i flaga cookie Secure
- Podatność XSS, a nagłówek X-XSS-Protection i flaga cookie HttpOnly
- Podatność CSRF, a flaga cookie SameSite
- Zagrożenia związane ze zgadywaniem typu MIME strony, a nagłówek X-Content-Type-Options
- Nagłówek Content-Security-Policy
- Weryfikacja poprawności konfiguracji TLS
- Skanery umożliwiające automatyczne testy bezpieczeństwa aplikacji webowej
- Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source
- Weryfikacja wyników automatycznego skanowania
Uwaga
Zakupione certyfikaty zostaną przesłane uczestnikom w formie elektronicznej po warsztacie. Jeśli chcesz otrzymać zakupiony certyfikat w formie papierowej, zgłoś to mailowo na adres kontakt@stacja.it.
Zapisy na wybrany warsztat zostały zakończone.