Szkolenia Compendium CE

Cel szkolenia szkolenie zdalne - dlearning

kod: CCE-WAOW

Celem szkolenia jest podniesienie wiedzy dotyczącej bezpiecznego tworzenia aplikacji internetowych. W trakcie szkolenia przedstawione zostaną zarówno współczesne techniki ataków na aplikacje i jak metody skutecznej przed nimi obrony. Największy nacisk zostanie położony na tzw. aplikacje internetowe, czyli aplikacje, dla których interfejsem jest przeglądarka WWW.

Po ukończeniu szkolenia, uczestnicy powinni być znacznie bardziej świadomi zagrożeń, na jakie mogą być narażone tworzone przez nich aplikacje oraz znać praktyki pisania bezpiecznego kodu.

Szkolenie adresowane do:

  • kierowników projektów,
  • projektantów,
  • inżynierów jakości kodu,
  • programistów tworzących aplikacje webowe,
  • administratorów bezpieczeństwa IT.

Plan szkolenia Rozwiń listę

  1. Skala zagrożeń dla współczesnych aplikacji webowych
  2. Wpływ architektury aplikacji na bezpieczeństwo
    • od stron statycznych do dynamicznych
    • architektury oparte o CGI i SSI
    • architektury oparta o języki skryptowe (PHP, ASP, JSP i inne)
    • zaawansowane modele aplikacji webowych (ASP.NET, J2EE - Tomcat, Oracle AS, JBoss, WebSphere, WebLogic i inne)
    • współpraca aplikacji z bazą danych
    • interfejsy zewnętrzne aplikacji webowej
  3. Wpływ na bezpieczeństwo przeniesienia logiki z serwera do klienta
    • języki interpretowane po stronie klienta (JavaScript, VBScript, ECMAScript)
    • architektura RIA (Rich Internet Applications) - Adobe Flex
    • applety Java
    • aplikacje klasyczne pobierające dane przez HTTP ("rich clients")
    • komunikacja z serwerem - XML-RPC, SOAP
  4. Ograniczenia aplikacji po stronie klienta i ich nadużycia
    • przeglądarka WWW jako środowisko uruchamiania aplikacji
    • wyłamywanie się z ograniczeń środowiska ("sandbox")
    • wykorzystywanie dziur w przeglądarce
    • naruszenie zasady "same-origin policy" - atak "DNS Rebinding"
  5. Aplikacja webowa w ogólnym modelu bezpieczeństwa
    • wpływ aplikacji na całościowe bezpieczeństwo systemu
    • wpływ innych komponentów na bezpieczeństwo aplikacji
    • bezpieczeństwo bazy danych
    • ochrona i rozliczalność operacji na bazach danych
    • pozaprogramistyczne środki ochrony (systemy IDS/IPS)
  6. Typowe ataki na aplikacje webowe
    • zagrożenia związane z architekturą aplikacji
    • trywialne zagrożenia
    • konsekwencje braku obsługi błędów manipulacje parametrami
    • techniki podsłuchu i modyfikowania transmisji
    • penetracja niepublicznych zasobów serwera ("path traversal", "Google hacking")
    • wstrzykiwanie kodu ("code injection")
    • przejmowanie serwera przez "PHP shell"
    • wstrzykiwanie komend systemowych
  7. Ataki na bazę danych
    • obsługa błędów w komunikacji z bazą danych
    • ataki "SQL injection" jako konsekwencja błędów projektowych i programistycznych
    • konsekwencje prawne nieautoryzowanego dostępu do bazy danych (dane osobowe itd)
    • ataki na bazę pomimo zabezpieczeń ("blind SQL injection")
    • bezpieczeństwo i wydajność w komunikacji z bazą (techniki "stored procedure", "prepared statement")
    • separacja uprawnień w bazie danych jako mechanizm bezpieczeństwa
    • cechy charakterystyczne środowisk Oracle, Microsoft SQL, MySQL i PostgreSQL
  8. Ataki na sesje
    • rola sesji w aplikacji webowej
    • konsekwencje kradzieży, zgadnięcia lub podsłuchania sesji
    • narzucenie sesji - ataki "session ?xation", "session adoption"
    • kradzież sesji za pomocą "cross-site scripting" (XSS)
    • nieautoryzowane operacje w aplikacji - ataki "cross-site request forgery" (CSRF)
    • jak poprawnie zarządzać sesją?
    • mechanizmy bezpieczeństwa sesji zapewniane przez środowiska do budowy aplikacji
    • błędy podczas tworzenia własnych implementacji zarządzania sesją
    • kiedy szyfrować połączenie - ochrona przed podsłuchaniem sesji
  9. Filtrowanie danych
    • filtrowanie danych w aplikacji webowej jako mechanizm bezpieczeństwa
    • poziomy filtrowania danych
    • filtrowanie danych wchodzących
    • filtrowanie danych wychodzących
    • techniki filtrowania danych w językach PHP i innych
    • wykrywanie włamań w aplikacjach webowych - PHP IDS
  10. Ochrona przed spamem
    • zagrozenie ze strony automatów spammerskich
    • nieetyczne działania SEO ("Search Engine Optimization")
    • ochrona za pomocą "testów człowieczeństwa" (CAPTCHA)
    • błędy i słabości systemów CAPTCHA
    • zalecenia dla ochrony przed spammerami
    • "czarne listy" w aplikacjach webowych - http:bl
  11. Jak poprawnie korzystać z SSL
    • funkcje bezpieczeństwa protokołu SSL
    • specyfika architektury SSL i X.509
    • ochrona zapewniana przez SSL i certyfikaty X.509
    • błędy popełniane podczas konfiguracji serwerów SSL
  12. Podsumowanie zasad najlepszej praktyki dla aplikacji webowych.
Pobierz konspekt szkolenia w formacie PDF

Dodatkowe informacje

Wymagania wstępne

Podstawowa wiedza z zakresu architektur aplikacji, sposobu działania serwisów WWW oraz protokołu HTTP.
Poziom trudności
Czas trwania 2 dni
Certyfikat

Uczestnicy szkolenia "WWW: atakowanie i ochrona webaplikacji" otrzymują certyfikat wystawiony imiennie oraz na firmę, sygnowany przez Compendium Centrum Edukacyjne.
Prowadzący

Wykładowca Compendium Centrum Edukacyjnego.
Informacje dodatkowe

  • Każdy z uczestników tego szkolenia jest zobowiązany do podpisania oświadczenia (bezpośrednio przed jego rozpoczęciem), że zdobytą wiedzę będzie wykorzystywał w sposób etyczny i zgodny z obowiązującym prawem, wyłącznie w celu podnoszenia poziomu bezpieczeństwa sieci, systemów i zasobów, których on lub jego pracodawca jest właścicielem.

 

  • Punkty CPE (CISSP) za udział w szkoleniu:

    Uczestnicy tego szkolenia, którzy posiadają aktualną certyfikację System Security Certified Practitioner (SSCP) lub Certified Information Systems Security Professional (CISSP) mogą zdobyć jeden punkt Continuing Professional Education (CPE) za każdą godzinę szkolenia (1 CPE za pełną godzinę edukacyjną, co daje 6 CPE za standardowy dzień szkolenia w Compendium CE - ale nie więcej niż 8 CPE dziennie). W celu przyznania punktów CPE członkowie (ISC) 2 muszą samodzielnie zgłosić udział w naszym szkoleniu do (ISC)2 i muszą zachować dowód udziału (certyfikat uczestnictwa w szkoleniu) w przypadku konieczności potwierdzenia tego faktu w (ISC)2. Więcej informacji pod adresem https://www.isc2.org/ (dostęp tylko dla członków (ISC)2).

Pozostałe szkolenia Compendium CE | Testy penetracyjne

Wszystkie szkolenia Compendium CE
Szkolenia powiązane tematycznie

Programowanie

Selenium | A4Q

App Development Training | Apple

Databases | Capstone Courseware

Java EE | Capstone Courseware

Java Programming | Capstone Courseware

Open-Source Frameworks | Capstone Courseware

XML and Web Services | Capstone Courseware

ICT | CIW

Web and Mobile Design | CIW

Web Development | CIW

Web Foundations | CIW

Data Scientist | Cloudera

Developer | Cloudera

Mobile Solutions | Micro Focus

Microsoft 365 | Microsoft

Microsoft AI | Microsoft

MTA: szkolenia podstawowe Microsoft | Microsoft

SharePoint | Microsoft

Microsoft SQL Server | Microsoft

Visual Studio | Microsoft

Web Application Security | Mile2

Java | Oracle

MySQL | Oracle

Django | Python Academy

Python | Python Academy

Szkolenia na zamówienie | Python Academy

C# | SCADEMY

C/C++ | SCADEMY

Cloud | SCADEMY

Cryptography | SCADEMY

Finance | SCADEMY

Healthcare | SCADEMY

Java | SCADEMY

PHP | SCADEMY

Python | SCADEMY

Software design | SCADEMY

Software testing  | SCADEMY

Telecome | SCADEMY

WEB | SCADEMY

Embedded Linux | The Linux Foundation

Hyperledger | The Linux Foundation

Linux | The Linux Foundation

Node.js | The Linux Foundation

GraphQL | The Linux Foundation

Web Design i Programowanie

Selenium | A4Q

Java EE | Capstone Courseware

Open-Source Frameworks | Capstone Courseware

XML and Web Services | Capstone Courseware

ICT | CIW

Web and Mobile Design | CIW

Web Development | CIW

Web Foundations | CIW

MTA: szkolenia podstawowe Microsoft | Microsoft

Visual Studio | Microsoft

Web Application Security | Mile2

Java | Oracle

Bezpieczeństwo IT

ClearPass | Aruba

Java EE | Capstone Courseware

Java Programming | Capstone Courseware

Open-Source Frameworks | Capstone Courseware

XML and Web Services | Capstone Courseware

Core Training | Check Point

Product Training | Check Point

ICT | CIW

Web Security | CIW

Fortinet | Compendium CE

Bezpieczeństwo ICS/OT | Compendium CE

Informatyka śledcza | Compendium CE

Kryptografia | Compendium CE

Testy penetracyjne | Compendium CE

Security Awareness | Compendium CE

CASP+ | CompTIA

CySA+ | CompTIA

Security+ | CompTIA

Access Policy Manager (APM) | F5 Networks

Advanced Firewall Manager (AFM) | F5 Networks

Advanced WAF (AWAF) | F5 Networks

Application Security Manager (ASM) | F5 Networks

TrainingPass | F5 Networks

Advanced Products | Fortinet

Diagnostics and Troubleshooting | Fortinet

FortiGate Configuration and Administration | Fortinet

Management and Analysis | Fortinet

Networking and Security | Google Cloud

Security | Infoblox

ArcSight | Micro Focus

Data Protector | Micro Focus

Data Security | Micro Focus

Fortify | Micro Focus

Identify and Access Management | Micro Focus

Information Governance | Micro Focus

Operations Bridge | Micro Focus

Sentinel | Micro Focus

Service and Portfolio Management | Micro Focus

Microsoft 365 | Microsoft

Azure | Microsoft

MTA: szkolenia podstawowe Microsoft | Microsoft

PowerShell | Microsoft

Windows Server Technologies | Microsoft

Auditing | Mile2

Cloud Security | Mile2

Disaster Recovery | Mile2

Forensics | Mile2

Healthcare | Mile2

Incident Handling | Mile2

IS Management | Mile2

IS Management Leadership | Mile2

Pen Testing & Ethical Hacking | Mile2

Red vs Blue (Poligon) | Mile2

Security Awareness | Mile2

Web Application Security | Mile2

Information Security | PECB®

AppDirector | Radware

DefensePro | Radware

C# | SCADEMY

C/C++ | SCADEMY

Cloud | SCADEMY

Cryptography | SCADEMY

Finance | SCADEMY

Healthcare | SCADEMY

Java | SCADEMY

PHP | SCADEMY

Python | SCADEMY

Software design | SCADEMY

Software testing  | SCADEMY

Telecome | SCADEMY

WEB | SCADEMY

Crisis Management | SECO-Institute

Dark Web | SECO-Institute

Data Protection | SECO-Institute

02 -Security Operations Center (SOC) | SECO-Institute

Enterprise Linux | SUSE

Content Analysis | Symantec

Encrypted Traffic Management | Symantec

ProxySG | Symantec

Security Analytics | Symantec

Linux | The Linux Foundation

Bezpieczeństwo Sieci

ClearPass | Aruba

Fortinet | Compendium CE

Informatyka śledcza | Compendium CE

Kryptografia | Compendium CE

Testy penetracyjne | Compendium CE

Access Policy Manager (APM) | F5 Networks

Advanced Firewall Manager (AFM) | F5 Networks

Application Security Manager (ASM) | F5 Networks

Advanced Products | Fortinet

Diagnostics and Troubleshooting | Fortinet

FortiGate Configuration and Administration | Fortinet

Management and Analysis | Fortinet

Security | Infoblox

Forensics | Mile2