Praktyczne sposoby wykrywania podatności w aplikacjach webowych
Podczas warsztatu zapewniamy dostęp do kawy, herbaty, wody. W porze obiadowej zapewniamy pizzę w wersji mięsnej lub wegetariańskiej.
Czego się nauczysz?
Podczas warsztatu poznasz liczne techniki i narzędzia wykorzystywane do przełamywania zabezpieczeń aplikacji webowych.
Warsztaty mają na celu wprowadzenie do tematu zagrożeń bezpieczeństwa aplikacji webowych.
Na warsztatach omówimy czym jest OWASP, lista Top 10, jakie są dostępne bazy podatności oraz co możemy sprawdzić wykonując proste skanowanie portów. Główną część warsztatów będą stanowiły testy aplikacji webowej zawierającej najczęściej występujące podatności m. in. XSS, SQL Injection, CSRF, czy też błędy logiki aplikacji.
Na warsztatach pokażemy jak korzystać z najpopularniejszych narzędzi do testów bezpieczeństwa w tym narzędzi typu lokalnego Proxy oraz narzędzi do skanowania portów, podsłuchiwania ruchu oraz przechwytywania sesji użytkowników.
Dla kogo jest ten warsztat?
Prowadzący
Testerka z doświadczeniem w testach bezpieczeństwa aplikacji webowych oraz infrastruktury. Pracuje jako Starszy Specjalista w Pentacomp Systemy Informatyczne, gdzie zajmuje się głównie testami bezpieczeństwa aplikacji webowych oraz testami automatycznymi. Wykonywała testy bezpieczeństwa w licznych projektach o dużej skali. Absolwentka Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego oraz studiów podyplomowych z zakresu bezpieczeństwa systemów informatycznych na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Posiada branżowe certyfikaty Certified Ethical Hacker oraz ISTQB FL.
Program warsztatów
- Wprowadzenie
- Statystyki dotyczące podatności aplikacji webowych i ich konsekwencji
- Podstawowe informacje o testach bezpieczeństwa i testach penetracyjnych
- Testy bezpieczeństwa jako element testów pozafunkcjonalnych
- OWASP i lista OWASP Top 10
- Omówienie działań organizacji OWASP,
- Przegląd listy Top 10 i innych projektów OWASP,
- Omówienie wybranych narzędzi OWASP,
- Przypomnienie podstawowych informacji dotyczących aplikacji webowych
- Prezentacja wykorzystywanego przez hackerów systemu operacyjnego Kali Linux
- Skanowanie portów
- Przegląd typów skanowania m. in. TCP, TCP SYN, UDP
- Skanowanie portów z wykorzystaniem Nmap, wersji konsolowej i GUI (Zenmap), skanowany adres IP z wystawionym podatnym serwerem aplikacyjnym i bazą danych
- Przegląd innych narzędzi do skanowania portów
- Przegląd baz danych podatności m. in. IBM X-Force Exchange, Exploit-db, CVEDetails, NullByte
- Narzędzia pozwalające na automatyczne przeszukiwanie bez danych podatności m.in. OWASP Dependency Check
- Zbieranie informacji o celu testów z wykorzystaniem techniki Google Hacking, automatycznej analizy metadanych oraz z wykorzystaniem mało znanych przeglądarek
- Narzędzia typu lokalnego Proxy – instalacja Burp Suite i OWASP ZAP, konfiguracja i przechwytywanie żądań do testowej aplikacji BadStore
- Omówienie najważniejszych podatności aplikacji webowych, sposobów ich wykrywania oraz zalecanych metod ochrony, połączone z samodzielnym wykrywaniem podatności przez uczestników warsztatów (podatności będziemy szukać w testowej aplikacji BadStore)
- Ataki XSS (persistent, reflected), wykonanie ataku na testowej aplikacji
- Wykorzystanie podatności XSS z pomocą BeEF (Browser Exploitation Framework) np. wyświetlenie okna dialogowego, uruchomienie dźwięku, pobranie plików cookie, czy zawartości schowka
- Przykładowy scenariusz ataku z wykorzystaniem podatności XSS i stworzonego samodzielnie przez uczestników fałszywego okna logowania do innego systemu
- Ataki CSRF, przygotowanie przykładowej strony HTML wykonującej atak
- Ataki SQL Injection – wyciągnięcie danych z bazy w tym haszy haseł, odczytanie haszy z haseł, zalogowanie na konto administratora aplikacji, pobranie informacji przeznaczonych dla administratora
- Obejście logiki aplikacji np. zamówienie produktu w niższej cenie
- Podsłuchanie komunikacji nieszyfrowanej z wykorzystaniem Wireshark
- Znalezienie podatności kategorii Broken Access Control w testowej aplikacji
- Wykorzystanie podatności w komponentach aplikacji z wykorzystaniem narzędzia Metasploit
- Przeprowadzenie różnych typów ataków Slow HTTP
- Metody zabezpieczenia aplikacji webowych – nagłówki bezpieczeństwa i flagi plików cookie
- Skanery umożliwiające automatyczne testy bezpieczeństwa
- Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source, omówienie skanera Burp Suite Professional
- Demonstracja działania skanerów automatycznych
- Wskazówki dotyczące przygotowania raportu z testów bezpieczeństwa
- Przegląd wymagań na testy bezpieczeństwa/penetracyjne
- Wskazówki jak zostać pentesterem
Uwaga
Zapisy na wybrany warsztat zostały zakończone.