#324

Praktyczne sposoby wykrywania podatności w aplikacjach webowych

Żarówka

Czego się nauczysz?

Zastanawiasz się jak działają współcześni hackerzy oraz z jakich narzędzi korzystają?
Podczas warsztatu poznasz liczne techniki i narzędzia wykorzystywane do przełamywania zabezpieczeń aplikacji webowych.
Warsztaty mają na celu wprowadzenie do tematu zagrożeń bezpieczeństwa aplikacji webowych.
Na warsztatach omówimy czym jest OWASP, lista Top 10, jakie są dostępne bazy podatności oraz co możemy sprawdzić wykonując proste skanowanie portów. Główną część warsztatów będą stanowiły testy aplikacji webowej zawierającej najczęściej występujące podatności m. in. XSS, SQL Injection, CSRF, czy też błędy logiki aplikacji.
Na warsztatach pokażemy jak korzystać z najpopularniejszych narzędzi do testów bezpieczeństwa w tym narzędzi typu lokalnego Proxy oraz narzędzi do skanowania portów, podsłuchiwania ruchu oraz przechwytywania sesji użytkowników.
Grupa

Dla kogo jest ten warsztat?

Warsztaty skierowane są do osób pracujących z aplikacjami webowymi m. in. programistów i testerów, którzy chcieliby poznać podstawowe podatności, sposoby ich wykrywania oraz metody ochrony.

Prowadzący

Klara Trzcińska:

Testerka z doświadczeniem w testach bezpieczeństwa aplikacji webowych oraz infrastruktury. Pracuje jako Starszy Specjalista w Pentacomp Systemy Informatyczne, gdzie zajmuje się głównie testami bezpieczeństwa aplikacji webowych oraz testami automatycznymi. Wykonywała testy bezpieczeństwa w licznych projektach o dużej skali. Absolwentka Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego oraz studiów podyplomowych z zakresu bezpieczeństwa systemów informatycznych na wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Posiada branżowe certyfikaty Certified Ethical Hacker oraz ISTQB FL.

Program warsztatów

  1. Wprowadzenie
    1. Statystyki dotyczące podatności aplikacji webowych i ich konsekwencji
    2. Podstawowe informacje o testach bezpieczeństwa i testach penetracyjnych
    3. Testy bezpieczeństwa jako element testów pozafunkcjonalnych
  2. OWASP i lista OWASP Top 10
    1. Omówienie działań organizacji OWASP,
    2. Przegląd listy Top 10 i innych projektów OWASP,
    3. Omówienie wybranych narzędzi OWASP,
  3. Przypomnienie podstawowych informacji dotyczących aplikacji webowych
  4. Prezentacja wykorzystywanego przez hackerów systemu operacyjnego Kali Linux
  5. Skanowanie portów
    1. Przegląd typów skanowania m. in. TCP, TCP SYN, UDP
    2. Skanowanie portów z wykorzystaniem Nmap, wersji konsolowej i GUI (Zenmap), skanowany adres IP z wystawionym podatnym serwerem aplikacyjnym i bazą danych
    3. Przegląd innych narzędzi do skanowania portów
  6. Przegląd baz danych podatności m. in. IBM X-Force Exchange, Exploit-db, CVEDetails, NullByte
    1. Narzędzia pozwalające na automatyczne przeszukiwanie bez danych podatności m.in. OWASP Dependency Check
  7. Zbieranie informacji o celu testów z wykorzystaniem techniki Google Hacking, automatycznej analizy metadanych oraz z wykorzystaniem mało znanych przeglądarek
  8. Narzędzia typu lokalnego Proxy – instalacja Burp Suite i OWASP ZAP, konfiguracja i przechwytywanie żądań do testowej aplikacji BadStore
  9. Omówienie najważniejszych podatności aplikacji webowych, sposobów ich wykrywania oraz zalecanych metod ochrony, połączone z samodzielnym wykrywaniem podatności przez uczestników warsztatów (podatności będziemy szukać w testowej aplikacji BadStore)
    1. Ataki XSS (persistent, reflected), wykonanie ataku na testowej aplikacji
    2. Wykorzystanie podatności XSS z pomocą BeEF (Browser Exploitation Framework) np. wyświetlenie okna dialogowego, uruchomienie dźwięku, pobranie plików cookie, czy zawartości schowka
    3. Przykładowy scenariusz ataku z wykorzystaniem podatności XSS i stworzonego samodzielnie przez uczestników fałszywego okna logowania do innego systemu
    4. Ataki CSRF, przygotowanie przykładowej strony HTML wykonującej atak
    5. Ataki SQL Injection – wyciągnięcie danych z bazy w tym haszy haseł, odczytanie haszy z haseł, zalogowanie na konto administratora aplikacji, pobranie informacji przeznaczonych dla administratora
    6. Obejście logiki aplikacji np. zamówienie produktu w niższej cenie
    7. Podsłuchanie komunikacji nieszyfrowanej z wykorzystaniem Wireshark
    8. Znalezienie podatności kategorii Broken Access Control w testowej aplikacji
    9. Wykorzystanie podatności w komponentach aplikacji z wykorzystaniem narzędzia Metasploit
    10. Przeprowadzenie różnych typów ataków Slow HTTP
  10. Metody zabezpieczenia aplikacji webowych – nagłówki bezpieczeństwa i flagi plików cookie
  11. Skanery umożliwiające automatyczne testy bezpieczeństwa
    1. Przegląd najpopularniejszych skanerów, zarówno płatnych jak i open source, omówienie skanera Burp Suite Professional
    2. Demonstracja działania skanerów automatycznych
  12. Wskazówki dotyczące przygotowania raportu z testów bezpieczeństwa
  13. Przegląd wymagań na testy bezpieczeństwa/penetracyjne
  14. Wskazówki jak zostać pentesterem

Uwaga

Liczba miejsc ograniczona! Organizator zastrzega sobie prawo do zmiany lokalizacji wydarzenia oraz jego odwołania w przypadku niezgłoszenia się minimalnej liczby uczestników.

Zapisy na wybrany warsztat zostały zakończone.