Testy bezpieczeństwa aplikacji webowych dla poczatkujących
🟢 Warsztat 4 dniowy w godz. 18:00-20:00 (4 x 2h) 🟢
14.11.2022-17.11.2022
Na spotkaniu omówione zostaną podstawy przeprowadzania testów bezpieczeństwa aplikacji webowych. Warsztaty rozpoczniemy od tego dlaczego powinniśmy przeprowadzać testy penetracyjne oraz w jaki sposób przeprowadzić skuteczny rekonesans aplikacji którą będziemy weryfikować. Przygotujemy sobie własne środowisko i narzędzia wspierające pracę pentestera. Następnie zapoznamy się podstawowymi typami ataków wraz z możliwością ich automatyzacji. Na końcu poruszona zostanie kwestia budowy kariery w obszarze testów bezpieczeństwa.
Czego się nauczysz?
Dla kogo jest ten warsztat?
Wymagania wstępne
- Umiejętność konfigurowania i używania wirtualnej maszyny (VirtualBox),
- Wiedza z zakresu takich usług jak – Serwer WWW, Serwer Aplikacji.
Prowadzący
Od ponad 15 lat jest związany z branżą IT oraz szkoleniową. Zawodowo zajmuje się budową efektywnych zespołów odpowiedzialnych za obszary testów systemów IT, zarządzania projektami oraz produkcją systemów. Lubi dzielić się swoją wiedzą i doświadczeniem dlatego często można go spotkać na różnych wydarzeniach branżowych, podczas których dzieli się swoim doświadczeniem.
Program warsztatów
1. Środowisko pracy – przygotowanie środowiska pracy
– Konfiguracja wirtualnej maszyny
– Instalacja systemu Kali Linux
– Budowa i obsługa systemu Kali Linux
– Instalacja oraz aktualizacja podstawowych narzędzi związanych z bezpieczeństwem
2. Podstawowe narzędzia oraz pojęcia wspierające pracę PenTestera
– Podstawy działania sieci
– Podstawy protokołu HTTP (GET, POST)
– Bind Shell
– Reverse Shell
– Narzędzie Burp Suite jako główne narzędzie wspierające pracę pentestera
3. Rozpoznanie atakowanych aplikacji
– Poznanie architektury aplikacji
– Zapoznanie się z logiką biznesową aplikacji
– Analiza źródeł strony
– Weryfikacja ukrytych formularzy i funkcji
– Rozpoznanie komponentów wykorzystywanych w aplikacjach
– BruteForce ścieżek z wykorzystaniem narzędzi (Burp Intruder, DirBuster, Dirb)
– Automatyczne weryfikacja i analiza aplikacji (Spidering, Crawler)
– Skanowanie portów z wykorzystaniem narzędzia Nmap
4. Zarządzanie sesją i prawami dostępu
– Badanie ról i dostępów
– Privilege Escalation
– Badanie mechanizmów i zarządzanie sesjami
– Authentication vs Authorization
5. Cross Site Scripting (XSS)
– Reflected Cross-Site Scripting
– Stored Cross Site Scripting
– DOM Based Cross-Site Scripting
– HTML Injection
– Wykradanie sesji i ataki związane z sesjami
– Zabezpieczenia przeciwko atakom XSS
6. SQL Injection
– Wyszukiwanie SQL Injection
– Zbieranie informacje o bazie danych
– SQL Map – wykorzystanie narzędzia celem automatycznego wykrywania podatności
– Blind SQL
7. Jak rozpocząć karierę jako pentester
Uwaga
Zakupione certyfikaty zostaną przesłane uczestnikom w formie elektronicznej po warsztacie. Jeśli chcesz otrzymać zakupiony certyfikat w formie papierowej, zgłoś to mailowo na adres kontakt@stacja.it.
Zapisy na wybrany warsztat zostały zakończone.