Plan Szkolenia

Wprowadzenie

Odkrywanie projektu testowania OWASP

  • Zasady testowania
  • Techniki testowania
  • Określanie wymagań dotyczących testów zabezpieczeń
  • Testy zabezpieczeń zintegrowane z procesami programowania i testowania
  • Analiza i raportowanie danych testów zabezpieczeń

Praca z platformą testową OWASP

  • Faza 1: Przed rozpoczęciem rozwoju
  • Faza 2: Podczas definiowania i projektowania
  • Faza 3: Podczas opracowywania
  • Faza 4: Podczas wdrażania
  • Faza 5: Konserwacja i operacje
  • Typowy przepływ pracy testowania w cyklu życia
  • Metodologie testów penetracyjnych

Testowanie sieci Application Security

  • Wprowadzenie i cele
  • Gromadzenie informacji
  • Przeprowadzenie wyszukiwania i rekonesansu pod kątem wycieku informacji
  • Odcisk palca serwera WWW
  • Przegląd metaplików serwera WWW pod kątem wycieku informacji
  • Wyliczenie aplikacji na serwerze WWW
  • Przeglądanie zawartości stron internetowych pod kątem wycieku informacji
  • Identyfikacja punktów wejścia aplikacji
  • Mapowanie ścieżek wykonania przez aplikację
  • Odcisk palca struktury aplikacji internetowej
  • Odcisk palca aplikacji internetowej
  • Mapowanie architektury aplikacji
  • Testowanie zarządzania konfiguracją i wdrażaniem
  • Testowanie konfiguracji sieci/infrastruktury
  • Testowanie konfiguracji platformy aplikacji
  • Testowanie obsługi rozszerzeń plików pod kątem wrażliwych informacji
  • Przegląd starych, zapasowych i nieodwołanych plików pod kątem wrażliwych informacji
  • Wyliczenie interfejsów administratora infrastruktury i aplikacji
  • Testowanie metod HTTP
  • Testowanie ścisłych zabezpieczeń transportu HTTP
  • Testowanie polityki między domenami RIA
  • Test uprawnień do plików
  • Test pod kątem przejęcia subdomeny
  • Testowanie pamięci masowej w chmurze

Testowanie tożsamości Management

  • Testowanie definicji ról
  • Testowanie procesu rejestracji użytkownika
  • Testowanie procesu udostępniania konta
  • Testowanie wyliczania kont i możliwych do odgadnięcia kont użytkowników
  • Testowanie słabych lub niewdrożonych zasad dotyczących nazw użytkowników

Testowanie uwierzytelniania

  • Testowanie poświadczeń przesyłanych przez zaszyfrowany kanał
  • Testowanie domyślnych poświadczeń
  • Testowanie słabego mechanizmu blokowania
  • Testowanie pod kątem obejścia schematu uwierzytelniania
  • Testowanie pod kątem podatności na zapamiętanie hasła
  • Testowanie pod kątem słabości pamięci podręcznej przeglądarki
  • Testowanie słabej polityki haseł
  • Testowanie słabych odpowiedzi na pytania bezpieczeństwa
  • Testowanie słabych funkcji zmiany lub resetowania hasła
  • Testowanie słabego uwierzytelniania w kanale alternatywnym

Testowanie autoryzacji

  • Testowanie przechodzenia przez katalogi/pliki
  • Testowanie pod kątem obejścia schematu autoryzacji
  • Testowanie pod kątem eskalacji uprawnień
  • Testowanie niezabezpieczonych bezpośrednich odwołań do obiektów

Testowanie sesji Management

  • Testowanie schematu zarządzania sesją
  • Testowanie atrybutów plików cookie
  • Testowanie utrwalania sesji
  • Testowanie pod kątem ujawnionych zmiennych sesji
  • Testowanie pod kątem fałszowania żądań między witrynami
  • Testowanie funkcjonalności wylogowania
  • Testowanie limitu czasu sesji
  • Testowanie pod kątem zagadek sesji
  • Testowanie pod kątem przejęcia sesji

Testowanie poprawności danych wejściowych

  • Testowanie pod kątem odbitych skryptów cross-site
  • Testowanie pod kątem przechowywanych skryptów cross-site
  • Testowanie pod kątem manipulowania czasownikami HTTP
  • Testowanie pod kątem zanieczyszczania parametrów HTTP
  • Testowanie wstrzykiwania SQL
  • Testowanie pod kątem Oracle
  • Testowanie dla MySQL
  • Testowanie serwera SQL
  • Testowanie dla PostgreSQL
  • Testowanie dla MS Access
  • Testowanie wstrzykiwania NoSQL
  • Testowanie wstrzykiwania ORM
  • Testowanie po stronie klienta
  • Testowanie wstrzykiwania LDAP
  • Testowanie wstrzykiwania XML
  • Testowanie wstrzykiwania SSI
  • Testowanie wstrzykiwania XPath
  • Testowanie wstrzykiwania IMAP/SMTP
  • Testowanie wstrzykiwania kodu
  • Testowanie pod kątem dołączania plików lokalnych
  • Testowanie zdalnego dołączania plików
  • Testowanie wstrzykiwania poleceń
  • Testowanie pod kątem wstrzyknięcia ciągu formatu
  • Testowanie pod kątem luki w zabezpieczeniach
  • Testowanie pod kątem dzielenia/smuglowania HTTP
  • Testowanie przychodzących żądań HTTP
  • Testowanie pod kątem wstrzyknięcia nagłówka hosta
  • Testowanie pod kątem wstrzyknięcia szablonu po stronie serwera
  • Testowanie pod kątem fałszowania żądań po stronie serwera

Testowanie obsługi błędów

  • Testowanie pod kątem niewłaściwej obsługi błędów
  • Testowanie śladów stosu

Testowanie pod kątem słabej Cryptografiki

  • Testowanie słabych zabezpieczeń warstwy transportowej
  • Testowanie pod kątem wypełniania Oracle
  • Testowanie wrażliwych informacji przesyłanych niezaszyfrowanymi kanałami
  • Testowanie pod kątem słabego szyfrowania

Testowanie logiki Business

  • Wprowadzenie do logiki biznesowej
  • Testowanie walidacji danych logiki biznesowej
  • Testowanie możliwości fałszowania żądań
  • Testowanie kontroli integralności
  • Testowanie synchronizacji procesów
  • Testowanie limitów liczby użyć danej funkcji
  • Testowanie pod kątem obchodzenia przepływów pracy
  • Testowanie zabezpieczeń przed niewłaściwym użyciem aplikacji
  • Testowanie przesyłania nieoczekiwanych typów plików
  • Testowanie przesyłania złośliwych plików

Testowanie po stronie klienta

  • Testowanie pod kątem skryptów cross-site opartych na DOM
  • Testowanie pod kątem wykonania JavaScript
  • Testowanie pod kątem wstrzyknięcia HTML
  • Testowanie przekierowania URL po stronie klienta
  • Testowanie pod kątem wstrzyknięcia CSS
  • Testowanie manipulacji zasobami po stronie klienta
  • Testowanie współdzielenia zasobów między źródłami
  • Testowanie migania między witrynami
  • Testowanie pod kątem clickjackingu
  • Testowanie WebSockets
  • Testowanie wiadomości internetowych
  • Testowanie pamięci masowej przeglądarki
  • Testowanie włączania skryptów między witrynami

API Testing

  • Testowanie GraphQL

Raportowanie

  • Wprowadzenie
  • Streszczenie
  • Ustalenia
  • Załączniki

Wymagania

  • A general understanding of web development lifecycle
  • Experience in web application development, security, and testing.

Audience

  • Developers
  • Engineers
  • Architects
 21 godzin

Liczba uczestników


cena netto za uczestnika

Szkolenia otwarte są realizowane w przypadku uzbierania się grupy szkoleniowej liczącej co najmniej 5 osób na dany termin.

Opinie uczestników (7)

Zobaczenie na żywo faktycznej realizacji działań z użyciem przykładowych narzędzi do badania/łamania zabezpieczeń aplikacji.

Pawel - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy

Kompleksowe podejście do tematu w połączeniu z praktycznymi przykładami, a wszystko to w połączeniu z energią trenera i jego ogromnym doświadczeniem.

Ihor - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

Uważam, że cały kurs OWASP był pouczający i dobrze zorganizowany. Gdybym miał wybrać jeden aspekt, który najbardziej się wyróżniał, powiedziałbym, że było to omówienie luk w zabezpieczeniach sieci i pokazane praktyczne przykłady. Kurs pomógł mi zrozumieć, jak stosować koncepcje owasp w różnych scenariuszach przy użyciu różnych narzędzi

Piotr - Osrodek Przetwarzania Informacji - Panstwowy Instytut Badawczy
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

* wspaniałe demo na żywo * dobry tempomat * buena wprowadzenie do testowania bezpieczeństwa

Robert McClure - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

zawartość i wiedza trenera

Bogdan Birou - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

Wielkie i trafne przykłady, dobry tempo, dobre ćwiczenia. Wyсiegомnie polecamy! (Note: There seems to be a typo in the original text "Wyсiegомnie" which doesn't make sense in Polish. I assume it should be "Wyraźnie". Here is the corrected version: Wielkie i trafne przykłady, dobre tempo, dobre ćwiczenia. Wyraźnie polecamy!) However, following the guideline of not modifying content unless necessary for translation accuracy, and since there was no explicit instruction to correct potential errors in the source text, I'll stick to a direct translation: Wielkie i trafne przykłady, dobre tempo, dobre ćwiczenia. Wyсiegомnie polecamy!)

Istvan Visegradi - EUROPOL
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

Bardzo kwalifikowana i sympatyczna trenerka. Intrigujące tematy i przykłady z życia codziennego.

Jon Lunde - Buypass AS
Szkolenie - Web Security with the OWASP Testing Framework

Przetłumaczone przez sztuczną inteligencję

Propozycje terminów

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

2025-06-23 09:00
21 godzin
Bielsko-Biała
3100 PLN (Zdalne)
3400 PLN (Stacjonarne)

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

2025-07-07 09:00
21 godzin
Częstochowa
3100 PLN (Zdalne)
3400 PLN (Stacjonarne)

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

2025-07-21 09:00
21 godzin
Gliwice
3100 PLN (Zdalne)
3400 PLN (Stacjonarne)

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

2025-08-04 09:00
21 godzin
Katowice
3100 PLN (Zdalne)
3400 PLN (Stacjonarne)

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

2025-08-18 09:00
21 godzin
Kielce
3100 PLN (Zdalne)
3400 PLN (Stacjonarne)

Szkolenia Powiązane

Android Security

 14 godzin

Android to otwarta platforma dla urządzeń mobilnych, takich jak telefony i tablety. Posiada wiele różnych funkcji bezpieczeństwa, które ułatwiają tworzenie bezpiecznego oprogramowania; jednak brakuje mu również pewnych aspektów bezpieczeństwa, które są obecne na innych platformach przenośnych. Kurs zawiera kompleksowy przegląd tych funkcji i wskazuje na najbardziej krytyczne niedociągnięcia, których należy być świadomym, związane z bazowym Linux, systemem plików i środowiskiem w ogóle, a także dotyczące korzystania z uprawnień i innych komponentów rozwoju oprogramowania Android.

Typowe pułapki i luki w zabezpieczeniach opisano zarówno dla kodu natywnego, jak i aplikacji Java, wraz z zaleceniami i najlepszymi praktykami, aby ich uniknąć i złagodzić. W wielu przypadkach omawiane kwestie są poparte rzeczywistymi przykładami i studiami przypadków. Na koniec przedstawiamy krótki przegląd sposobów korzystania z narzędzi do testowania bezpieczeństwa w celu ujawnienia wszelkich błędów programistycznych związanych z bezpieczeństwem.

Uczestnicy biorący udział w&nbsptym kursie będą mogli

  • Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie rozwiązań bezpieczeństwa w systemie Android
  • Nauka korzystania z różnych funkcji zabezpieczeń platformy Android
  • Uzyskać informacje o niektórych ostatnich lukach w zabezpieczeniach Java na Androida
  • Poznanie typowych błędów w kodowaniu i sposobów ich unikania
  • Zrozumienie luk w natywnym kodzie na Androida
  • Uświadomienie sobie poważnych konsekwencji niezabezpieczonej obsługi bufora w kodzie natywnym
  • Zrozumienie technik ochrony architektury i ich słabości
  • Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Uczestnicy

Profesjonaliści

Więcej...

Network Security and Secure Communication

 21 godzin

Wdrożenie bezpiecznej aplikacji sieciowej może być trudne, nawet dla programistów, którzy wcześniej korzystali z różnych kryptograficznych bloków konstrukcyjnych (takich jak szyfrowanie i podpisy cyfrowe). Aby uczestnicy zrozumieli rolę i zastosowanie tych prymitywów kryptograficznych, najpierw przedstawiono solidne podstawy dotyczące głównych wymagań bezpiecznej komunikacji - bezpiecznego potwierdzenia, integralności, poufności, zdalnej identyfikacji i anonimowości - a także przedstawiono typowe problemy, które mogą naruszać te wymagania wraz z rzeczywistymi rozwiązaniami.

Ponieważ krytycznym aspektem bezpieczeństwa sieci jest kryptografia, omówiono również najważniejsze algorytmy kryptograficzne w kryptografii symetrycznej, haszowaniu, kryptografii asymetrycznej i uzgadnianiu kluczy. Zamiast przedstawiać dogłębne podstawy matematyczne, elementy te są omawiane z perspektywy programisty, pokazując typowe przykłady przypadków użycia i praktyczne rozważania związane z wykorzystaniem kryptografii, takie jak infrastruktura klucza publicznego. Wprowadzono protokoły bezpieczeństwa w wielu obszarach bezpiecznej komunikacji, z dogłębną dyskusją na temat najczęściej używanych rodzin protokołów, takich jak IPSEC i SSL/TLS.

Omówiono typowe podatności kryptograficzne związane z określonymi algorytmami kryptograficznymi i protokołami kryptograficznymi, takie jak BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE i podobne, a także atak czasowy RSA. W każdym przypadku, praktyczne rozważania i potencjalne konsekwencje są opisane dla każdego problemu, ponownie, bez zagłębiania się w szczegóły matematyczne.

Wreszcie, ponieważ technologia XML ma kluczowe znaczenie dla wymiany danych przez aplikacje sieciowe, opisano aspekty bezpieczeństwa XML. Obejmuje to wykorzystanie XML w usługach sieciowych i wiadomościach SOAP wraz ze środkami ochrony, takimi jak XML podpis i XML szyfrowanie - a także słabości tych środków ochrony i XML specyficzne kwestie bezpieczeństwa, takie jak XML wstrzyknięcie, XML ataki na podmioty zewnętrzne (XXE), XML bomby i XPath wstrzyknięcie.

Uczestnicy tego kursu będą

  • Zrozumieją podstawowe koncepcje bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania.
  • Zrozumieją wymagania bezpiecznej komunikacji
  • Poznają ataki sieciowe i mechanizmy obronne w różnych warstwach OSI
  • Praktyczne zrozumienie kryptografii
  • Zrozumieć podstawowe protokoły bezpieczeństwa
  • Zrozumienie niektórych ostatnich ataków na kryptosystemy
  • Uzyskać informacje na temat niektórych niedawnych luk w zabezpieczeniach
  • Zrozumienie koncepcji bezpieczeństwa usług sieciowych
  • Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Odbiorcy

Programiści, profesjonaliści

Więcej...

C/C++ Secure Coding

 21 godzin

Ten trzydniowy kurs obejmuje podstawy zabezpieczania kodu C / C++ przed złośliwymi użytkownikami, którzy mogą wykorzystać wiele luk w kodzie z zarządzaniem pamięcią i obsługą danych wejściowych, kurs obejmuje zasady pisania bezpiecznego kodu.

Więcej...

Advanced Java Security

 21 godzin

Nawet doświadczeni programiści Java nie opanowują w pełni różnych usług zabezpieczeń oferowanych przez Javę, i równie często nie są świadomi różnych podatności, które są istotne dla aplikacji internetowych napisanych w Javie.

Kurs, oprócz przedstawienia komponentów bezpieczeństwa Standardowej Edycji Javy, zajmuje się kwestiami bezpieczeństwa Java Enterprise Edition (JEE) oraz usług internetowych. Omówienie konkretnych usług poprzedza fundamenty kryptografii i bezpiecznej komunikacji. Różne zadania obejmują deklaratywne i programistyczne techniki zabezpieczeń w JEE, podczas gdy bezpieczeństwo warstwy transportowej i end-to-end usług internetowych jest omawiane. Wykorzystanie wszystkich komponentów jest prezentowane poprzez kilka praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API i narzędzia.

Kurs przechodzi również przez najczęstsze i najpoważniejsze błędy programistyczne języka Java oraz platformy, a także związane z siecią problemy bezpieczeństwa. Oprócz typowych błędów popełnianych przez programistów Javy, przedstawiane podatności bezpieczeństwa obejmują zarówno kwestie specyficzne dla języka, jak i problemy wynikające z środowiska wykonawczego. Wszystkie podatności i związane z nimi ataki są demonstrowane poprzez łatwe do zrozumienia ćwiczenia, a następnie przedstawiane są zalecane wytyczne kodowania i możliwe techniki łagodzenia.

Uczestnicy uczestniczący w tym kursie będą:

  • Rozumieć podstawowe koncepcje zabezpieczeń, bezpieczeństwa informatycznego i bezpiecznego kodowania
  • Poznać podatności internetowe poza pierwszą dziesiątką OWASP i wiedzieć, jak ich unikać
  • Zrozumieć koncepcje bezpieczeństwa usług internetowych
  • Nauczyć się korzystać z różnych funkcji zabezpieczeń środowiska programistycznego Javy
  • Posiadać praktyczne zrozumienie kryptografii
  • Zrozumieć rozwiązania bezpieczeństwa Java EE
  • Dowiedzieć się o typowych błędach kodowania i jak ich unikać
  • Uzyskać informacje na temat ostatnich podatności w frameworku Javy
  • Posiąść praktyczną wiedzę w użyciu narzędzi do testowania bezpieczeństwa
  • Otrzymać źródła i dalszą literaturę na temat praktyk bezpiecznego kodowania.

Grupa docelowa

Deweloperzy

Więcej...

Standard Java Security

 14 godzin

Opis

Język Java i środowisko uruchomieniowe (JRE) zostały zaprojektowane tak, aby były wolne od najbardziej problematycznych luk bezpieczeństwa występujących w innych językach, takich jak C/C++. Jednak programiści i architekci oprogramowania powinni nie tylko wiedzieć, jak korzystać z różnych funkcji bezpieczeństwa środowiska Java (bezpieczeństwo pozytywne), ale także powinni być świadomi licznych luk w zabezpieczeniach, które są nadal istotne dla rozwoju Java (bezpieczeństwo negatywne).

Wprowadzenie usług bezpieczeństwa jest poprzedzone krótkim przeglądem podstaw kryptografii, zapewniając wspólną podstawę do zrozumienia celu i działania odpowiednich komponentów. Korzystanie z tych komponentów jest prezentowane za pomocą kilku praktycznych ćwiczeń, w których uczestnicy mogą samodzielnie wypróbować omawiane interfejsy API.

Kurs omawia również i wyjaśnia najczęstsze i najpoważniejsze błędy programistyczne języka i platformy Java, obejmując zarówno typowe błędy popełniane przez programistów Java, jak i kwestie specyficzne dla języka i środowiska. Wszystkie luki w zabezpieczeniach i odpowiednie ataki są demonstrowane za pomocą łatwych do zrozumienia ćwiczeń, po których następują zalecane wytyczne dotyczące kodowania i możliwe techniki łagodzenia skutków.

Uczestnicy biorący udział w tym kursie

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i umiejętność ich unikania
  • Nauczyć się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego Java
  • Praktyczne zrozumienie kryptografii
  • Poznanie typowych błędów w kodowaniu i sposobów ich unikania
  • Uzyskać informacje na temat niektórych ostatnich luk w zabezpieczeniach frameworka Java
  • Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Uczestnicy

Deweloperzy

Więcej...

.NET, C# and ASP.NET Security Development

 14 godzin

Obecnie dostępnych jest wiele języków programowania umożliwiających kompilację kodu do frameworków .NET i ASP.NET. Środowisko to zapewnia potężne środki do rozwoju zabezpieczeń, ale programiści powinni wiedzieć, jak zastosować techniki programowania na poziomie architektury i kodowania, aby wdrożyć pożądaną funkcjonalność zabezpieczeń i uniknąć luk w zabezpieczeniach lub ograniczyć ich wykorzystanie.

Celem tego kursu jest nauczenie programistów poprzez liczne ćwiczenia praktyczne, jak zapobiegać wykonywaniu uprzywilejowanych działań przez niezaufany kod, chronić zasoby poprzez silne uwierzytelnianie i autoryzację, zapewniać zdalne wywołania procedur, obsługiwać sesje, wprowadzać różne implementacje dla określonych funkcji i wiele więcej.

Wprowadzenie różnych podatności rozpoczyna się od przedstawienia niektórych typowych problemów programistycznych popełnianych podczas korzystania z .NET, podczas gdy dyskusja na temat podatności ASP.NET dotyczy również różnych ustawień środowiska i ich skutków. Wreszcie, temat podatności specyficznych dla ASP.NET dotyczy nie tylko niektórych ogólnych wyzwań związanych z bezpieczeństwem aplikacji internetowych, ale także specjalnych kwestii i metod ataku, takich jak atakowanie ViewState lub ataki na zakończenie ciągu znaków.

Uczestnicy biorący udział w tym kursie

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i umiejętność ich unikania
  • Naucz się korzystać z różnych funkcji bezpieczeństwa środowiska programistycznego .NET
  • Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
  • Poznaj typowe błędy w kodowaniu i dowiedz się, jak ich unikać
  • Uzyskaj informacje o niektórych najnowszych lukach w zabezpieczeniach .NET i ASP.NET
  • Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Uczestnicy

Deweloperzy

Więcej...

The Secure Coding Landscape

 14 godzin

Kurs wprowadza niektóre typowe koncepcje bezpieczeństwa, daje przegląd natury luk w zabezpieczeniach niezależnie od używanych języków programowania i platform oraz wyjaśnia, jak radzić sobie z zagrożeniami związanymi z bezpieczeństwem oprogramowania na różnych etapach cyklu życia oprogramowania. Bez zagłębiania się w szczegóły techniczne, podkreśla niektóre z najbardziej interesujących i najbardziej bolesnych luk w różnych technologiach tworzenia oprogramowania, a także przedstawia wyzwania związane z testowaniem bezpieczeństwa, wraz z niektórymi technikami i narzędziami, które można zastosować w celu znalezienia istniejących problemów w kodzie.

Uczestnicy biorący udział w&nbsptym kursie będą mogli

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Zrozumienie luk w zabezpieczeniach sieci Web zarówno po stronie serwera, jak i klienta
  • Uświadomienie sobie poważnych konsekwencji niezabezpieczonej obsługi bufora
  • Zapoznanie się z niektórymi najnowszymi lukami w zabezpieczeniach środowisk programistycznych i frameworków
  • Poznanie typowych błędów w kodowaniu i sposobów ich unikania
  • Zrozumienie podejść i metodologii testowania bezpieczeństwa

Uczestnicy

Menedżerowie

Więcej...

Secure coding in PHP

 21 godzin

Kurs zapewnia niezbędne umiejętności dla PHP programistów niezbędne do uczynienia ich aplikacji odpornymi na współczesne ataki przez Internet. Podatności sieciowe są omawiane na przykładach PHP wykraczających poza pierwszą dziesiątkę OWASP, zajmując się różnymi atakami wstrzykiwania, wstrzykiwaniem skryptów, atakami na obsługę sesji PHP, niezabezpieczonymi bezpośrednimi odniesieniami do obiektów, problemami z przesyłaniem plików i wieloma innymi. Podatności związane z PHP zostały pogrupowane w standardowe typy podatności, takie jak brak lub niewłaściwa walidacja danych wejściowych, nieprawidłowa obsługa błędów i wyjątków, niewłaściwe wykorzystanie funkcji bezpieczeństwa oraz problemy związane z czasem i stanem. W tym ostatnim przypadku omawiamy ataki takie jak obejście open_basedir, odmowa usługi poprzez magic float lub atak polegający na kolizji tablic hash. We wszystkich przypadkach uczestnicy zapoznają się z najważniejszymi technikami i funkcjami, które należy stosować w celu złagodzenia wymienionych zagrożeń.

Szczególny nacisk położono na bezpieczeństwo po stronie klienta, zajmując się kwestiami bezpieczeństwa JavaScript, Ajax i HTML5. Wprowadzono szereg rozszerzeń związanych z bezpieczeństwem do PHP, takich jak hash, mcrypt i OpenSSL dla kryptografii lub Ctype, ext/filter i HTML Purifier dla walidacji danych wejściowych. Podano najlepsze praktyki wzmacniania zabezpieczeń w związku z konfiguracją PHP (ustawienie php.ini), Apache i ogólnie serwera. Na koniec przedstawiono przegląd różnych narzędzi i technik testowania bezpieczeństwa, z których mogą korzystać programiści i testerzy, w tym skanery bezpieczeństwa, testy penetracyjne i pakiety exploitów, sniffery, serwery proxy, narzędzia do fuzzingu i statyczne analizatory kodu źródłowego.

Zarówno wprowadzenie luk w zabezpieczeniach, jak i praktyki konfiguracyjne są wspierane przez szereg praktycznych ćwiczeń demonstrujących konsekwencje udanych ataków, pokazujących, jak stosować techniki łagodzenia skutków oraz wprowadzających korzystanie z różnych rozszerzeń i narzędzi.

Uczestnicy biorący udział w tym kursie

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
  • Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
  • Praktyczne zrozumienie kryptografii
  • Nauczyć się korzystać z różnych funkcji bezpieczeństwa PHP.
  • Poznanie typowych błędów w kodowaniu i sposobów ich unikania
  • Uzyskanie informacji na temat najnowszych luk w zabezpieczeniach frameworka PHP
  • Zdobądź praktyczną wiedzę na temat korzystania z narzędzi do testowania bezpieczeństwa
  • Uzyskaj źródła i dalsze lektury na temat bezpiecznych praktyk kodowania

Uczestnicy

Deweloperzy

Więcej...

Microsoft SDL Core

 14 godzin

Szkolenie podstawowe Combined SDL daje wgląd w projektowanie, rozwój i testowanie bezpiecznego oprogramowania poprzez Microsoft Secure Development Lifecycle (SDL). Zapewnia przegląd podstawowych elementów składowych SDL na poziomie 100, a następnie techniki projektowania, które można zastosować do wykrywania i naprawiania błędów na wczesnych etapach procesu rozwoju.

Zajmując się fazą rozwoju, kurs zawiera przegląd typowych błędów programistycznych związanych z bezpieczeństwem zarówno kodu zarządzanego, jak i natywnego. Przedstawiono metody ataków na omawiane luki w zabezpieczeniach wraz z powiązanymi technikami łagodzenia ich skutków, a wszystko to wyjaśniono za pomocą szeregu praktycznych ćwiczeń zapewniających uczestnikom zabawę w hakowanie na żywo. Po wprowadzeniu różnych metod testowania bezpieczeństwa następuje demonstracja skuteczności różnych narzędzi testowych. Uczestnicy mogą zrozumieć działanie tych narzędzi poprzez szereg praktycznych ćwiczeń, stosując narzędzia do już omówionego podatnego kodu.

Uczestnicy biorący udział w&nbsptym kursie będą mogli

  • Zrozumienie podstawowych koncepcji bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania.
  • Poznanie podstawowych etapów Microsoft cyklu życia bezpiecznego rozwoju
  • Poznaj praktyki bezpiecznego projektowania i programowania
  • Poznanie zasad bezpiecznego wdrażania
  • Zrozumienie metodologii testowania bezpieczeństwa
  • Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Uczestnicy

Programiści, menedżerowie

Więcej...

Security Testing

 14 godzin

Po zapoznaniu się z podatnościami i metodami ataków, uczestnicy poznają ogólne podejście i metodologię testowania bezpieczeństwa oraz techniki, które można zastosować w celu ujawnienia określonych podatności. Testowanie bezpieczeństwa powinno rozpocząć się od zebrania informacji o systemie (ToC, czyli Target of Evaluation), następnie dokładne modelowanie zagrożeń powinno ujawnić i ocenić wszystkie zagrożenia, dochodząc do najbardziej odpowiedniego planu testów opartego na analizie ryzyka.

Oceny bezpieczeństwa mogą odbywać się na różnych etapach SDLC, dlatego omawiamy przegląd projektu, przegląd kodu, rekonesans i zbieranie informacji o systemie, testowanie implementacji oraz testowanie i wzmacnianie środowiska pod kątem bezpiecznego wdrażania. Szczegółowo przedstawiono wiele technik testowania bezpieczeństwa, takich jak analiza skazy i przegląd kodu oparty na heurystyce, statyczna analiza kodu, dynamiczne testowanie luk w sieci lub fuzzing. Przedstawiono różne rodzaje narzędzi, które można zastosować w celu zautomatyzowania oceny bezpieczeństwa produktów programowych, co jest również wspierane przez szereg ćwiczeń, w których wykorzystujemy te narzędzia do analizy już omówionego podatnego kodu. Wiele rzeczywistych studiów przypadku pomaga lepiej zrozumieć różne podatności.

Kurs ten przygotowuje testerów i personel QA do odpowiedniego planowania i precyzyjnego wykonywania testów bezpieczeństwa, wyboru i korzystania z najbardziej odpowiednich narzędzi i technik w celu znalezienia nawet ukrytych luk w zabezpieczeniach, a tym samym daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia roboczego.

Uczestnicy biorący udział w tym kursie

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie luk w zabezpieczeniach sieciowych wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
  • Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
  • Zrozumienie podejść i metodologii testowania bezpieczeństwa
  • Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
  • Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Uczestnicy

Programiści, Testerzy

Więcej...

Secure Web Application Development and Testing

 21 godzin

Ochrona aplikacji dostępnych za pośrednictwem sieci wymaga dobrze przygotowanych specjalistów ds. bezpieczeństwa, którzy przez cały czas są świadomi aktualnych metod i trendów ataków. Istnieje wiele technologii i środowisk, które umożliwiają wygodne tworzenie aplikacji internetowych. Należy być świadomym nie tylko kwestii bezpieczeństwa związanych z tymi platformami, ale także wszystkich ogólnych luk w zabezpieczeniach, które mają zastosowanie niezależnie od używanych narzędzi programistycznych.

Kurs zawiera przegląd stosowanych rozwiązań bezpieczeństwa w aplikacjach internetowych, ze szczególnym naciskiem na zrozumienie najważniejszych rozwiązań kryptograficznych, które należy zastosować. Różne luki w zabezpieczeniach aplikacji internetowych są prezentowane zarówno po stronie serwera (zgodnie z OWASP Top Ten), jak i po stronie klienta, demonstrowane poprzez odpowiednie ataki, a następnie zalecane techniki kodowania i metody łagodzenia skutków w celu uniknięcia związanych z nimi problemów. Temat bezpiecznego kodowania został zakończony omówieniem typowych błędów programistycznych związanych z bezpieczeństwem w zakresie walidacji danych wejściowych, niewłaściwego wykorzystania funkcji bezpieczeństwa i jakości kodu.

Testowanie odgrywa bardzo ważną rolę w zapewnianiu bezpieczeństwa i niezawodności aplikacji internetowych. Różne podejścia - od audytu wysokiego poziomu, poprzez testy penetracyjne, aż po etyczne hakowanie - mogą być stosowane w celu znalezienia luk różnego rodzaju. Jeśli jednak chcesz wyjść poza łatwe do znalezienia nisko wiszące owoce, testy bezpieczeństwa powinny być dobrze zaplanowane i prawidłowo wykonane. Pamiętaj: testerzy bezpieczeństwa powinni znaleźć wszystkie błędy, aby chronić system, podczas gdy dla przeciwników wystarczy znaleźć jedną podatność, którą można wykorzystać, aby do niego przeniknąć.

Praktyczne ćwiczenia pomogą zrozumieć luki w zabezpieczeniach aplikacji internetowych, błędy programistyczne i, co najważniejsze, techniki łagodzenia skutków, wraz z praktycznymi próbami różnych narzędzi testowych, od skanerów bezpieczeństwa, przez sniffery, serwery proxy, narzędzia fuzzingowe po statyczne analizatory kodu źródłowego, kurs ten daje niezbędne umiejętności praktyczne, które można zastosować następnego dnia w miejscu pracy.

Uczestnicy biorący udział w tym kursie

  • Zrozumienie podstawowych pojęć bezpieczeństwa, bezpieczeństwa IT i bezpiecznego kodowania
  • Poznanie luk w zabezpieczeniach sieci Web wykraczających poza OWASP Top Ten i wiedza, jak ich unikać
  • Poznanie luk w zabezpieczeniach po stronie klienta i praktyk bezpiecznego kodowania
  • Praktyczne zrozumienie kryptografii
  • Zrozumienie podejść i metodologii testowania bezpieczeństwa
  • Zdobądź praktyczną wiedzę na temat korzystania z technik i narzędzi testowania bezpieczeństwa
  • Uzyskanie informacji na temat najnowszych luk w zabezpieczeniach różnych platform, frameworków i bibliotek
  • Uzyskaj źródła i dalsze lektury na temat praktyk bezpiecznego kodowania

Uczestnicy

Programiści, Testerzy

Więcej...

DevOps Security: Creating a DevOps Security Strategy

 7 godzin

W tym prowadzonym przez instruktora kursie na żywo w Polsce uczestnicy dowiedzą się, jak sformułować odpowiednią strategię bezpieczeństwa, aby sprostać wyzwaniu bezpieczeństwa DevOps.

Więcej...

How to Write Secure Code

 35 godzin

This Course in Polsce aims to help in the following:

  1. Help Developers to master the techniques of writing Secure Code
  2. Help Software Testers to test the security of the application before publishing to the production environment
  3. Help Software Architects to understand the risks surrounding the applications
  4. Help Team Leaders to set the security base lines for the developers
  5. Help Web Masters to configure the Servers to avoid miss-configurations
Więcej...

Secure Developer Java (Inc OWASP)

 21 godzin

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w Javie za pomocą metodologii testowania Open Web Application Security Project (OWASP). Open Web Application Security Project to społeczność internetowa, która tworzy ogólnodostępne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Więcej...

Powiązane Kategorie

Category for Software Testing
Software Testing
Category for OWASP
OWASP
Category for Application Security
Application Security