Szkolenia Compendium CE

Cel szkolenia

kod: CCE-WAOW

Celem szkolenia jest podniesienie wiedzy dotyczącej bezpiecznego tworzenia aplikacji internetowych. W trakcie szkolenia przedstawione zostaną zarówno współczesne techniki ataków na aplikacje i jak metody skutecznej przed nimi obrony. Największy nacisk zostanie położony na tzw. aplikacje internetowe, czyli aplikacje, dla których interfejsem jest przeglądarka WWW.

Po ukończeniu szkolenia, uczestnicy powinni być znacznie bardziej świadomi zagrożeń, na jakie mogą być narażone tworzone przez nich aplikacje oraz znać praktyki pisania bezpiecznego kodu.

Szkolenie adresowane do:

  • kierowników projektów,
  • projektantów,
  • inżynierów jakości kodu,
  • programistów tworzących aplikacje webowe,
  • administratorów bezpieczeństwa IT.

Plan szkolenia Rozwiń listę

  1. Skala zagrożeń dla współczesnych aplikacji webowych
  2. Wpływ architektury aplikacji na bezpieczeństwo
    • od stron statycznych do dynamicznych
    • architektury oparte o CGI i SSI
    • architektury oparta o języki skryptowe (PHP, ASP, JSP i inne)
    • zaawansowane modele aplikacji webowych (ASP.NET, J2EE - Tomcat, Oracle AS, JBoss, WebSphere, WebLogic i inne)
    • współpraca aplikacji z bazą danych
    • interfejsy zewnętrzne aplikacji webowej
  3. Wpływ na bezpieczeństwo przeniesienia logiki z serwera do klienta
    • języki interpretowane po stronie klienta (JavaScript, VBScript, ECMAScript)
    • architektura RIA (Rich Internet Applications) - Adobe Flex
    • applety Java
    • aplikacje klasyczne pobierające dane przez HTTP ("rich clients")
    • komunikacja z serwerem - XML-RPC, SOAP
  4. Ograniczenia aplikacji po stronie klienta i ich nadużycia
    • przeglądarka WWW jako środowisko uruchamiania aplikacji
    • wyłamywanie się z ograniczeń środowiska ("sandbox")
    • wykorzystywanie dziur w przeglądarce
    • naruszenie zasady "same-origin policy" - atak "DNS Rebinding"
  5. Aplikacja webowa w ogólnym modelu bezpieczeństwa
    • wpływ aplikacji na całościowe bezpieczeństwo systemu
    • wpływ innych komponentów na bezpieczeństwo aplikacji
    • bezpieczeństwo bazy danych
    • ochrona i rozliczalność operacji na bazach danych
    • pozaprogramistyczne środki ochrony (systemy IDS/IPS)
  6. Typowe ataki na aplikacje webowe
    • zagrożenia związane z architekturą aplikacji
    • trywialne zagrożenia
    • konsekwencje braku obsługi błędów manipulacje parametrami
    • techniki podsłuchu i modyfikowania transmisji
    • penetracja niepublicznych zasobów serwera ("path traversal", "Google hacking")
    • wstrzykiwanie kodu ("code injection")
    • przejmowanie serwera przez "PHP shell"
    • wstrzykiwanie komend systemowych
  7. Ataki na bazę danych
    • obsługa błędów w komunikacji z bazą danych
    • ataki "SQL injection" jako konsekwencja błędów projektowych i programistycznych
    • konsekwencje prawne nieautoryzowanego dostępu do bazy danych (dane osobowe itd)
    • ataki na bazę pomimo zabezpieczeń ("blind SQL injection")
    • bezpieczeństwo i wydajność w komunikacji z bazą (techniki "stored procedure", "prepared statement")
    • separacja uprawnień w bazie danych jako mechanizm bezpieczeństwa
    • cechy charakterystyczne środowisk Oracle, Microsoft SQL, MySQL i PostgreSQL
  8. Ataki na sesje
    • rola sesji w aplikacji webowej
    • konsekwencje kradzieży, zgadnięcia lub podsłuchania sesji
    • narzucenie sesji - ataki "session ?xation", "session adoption"
    • kradzież sesji za pomocą "cross-site scripting" (XSS)
    • nieautoryzowane operacje w aplikacji - ataki "cross-site request forgery" (CSRF)
    • jak poprawnie zarządzać sesją?
    • mechanizmy bezpieczeństwa sesji zapewniane przez środowiska do budowy aplikacji
    • błędy podczas tworzenia własnych implementacji zarządzania sesją
    • kiedy szyfrować połączenie - ochrona przed podsłuchaniem sesji
  9. Filtrowanie danych
    • filtrowanie danych w aplikacji webowej jako mechanizm bezpieczeństwa
    • poziomy filtrowania danych
    • filtrowanie danych wchodzących
    • filtrowanie danych wychodzących
    • techniki filtrowania danych w językach PHP i innych
    • wykrywanie włamań w aplikacjach webowych - PHP IDS
  10. Ochrona przed spamem
    • zagrozenie ze strony automatów spammerskich
    • nieetyczne działania SEO ("Search Engine Optimization")
    • ochrona za pomocą "testów człowieczeństwa" (CAPTCHA)
    • błędy i słabości systemów CAPTCHA
    • zalecenia dla ochrony przed spammerami
    • "czarne listy" w aplikacjach webowych - http:bl
  11. Jak poprawnie korzystać z SSL
    • funkcje bezpieczeństwa protokołu SSL
    • specyfika architektury SSL i X.509
    • ochrona zapewniana przez SSL i certyfikaty X.509
    • błędy popełniane podczas konfiguracji serwerów SSL
  12. Podsumowanie zasad najlepszej praktyki dla aplikacji webowych.
Pobierz konspekt szkolenia w formacie PDF

Dodatkowe informacje

Wymagania wstępne

Podstawowa wiedza z zakresu architektur aplikacji, sposobu działania serwisów WWW oraz protokołu HTTP.
Poziom trudności
Czas trwania 2 dni
Certyfikat

Uczestnicy szkolenia "WWW: atakowanie i ochrona webaplikacji" otrzymują certyfikat wystawiony imiennie oraz na firmę, sygnowany przez Compendium Centrum Edukacyjne.
Prowadzący

Wykładowca Compendium Centrum Edukacyjnego.
Informacje dodatkowe

  • Każdy z uczestników tego szkolenia jest zobowiązany do podpisania oświadczenia (bezpośrednio przed jego rozpoczęciem), że zdobytą wiedzę będzie wykorzystywał w sposób etyczny i zgodny z obowiązującym prawem, wyłącznie w celu podnoszenia poziomu bezpieczeństwa sieci, systemów i zasobów, których on lub jego pracodawca jest właścicielem.

 

  • Punkty CPE (CISSP) za udział w szkoleniu:

    Uczestnicy tego szkolenia, którzy posiadają aktualną certyfikację System Security Certified Practitioner (SSCP) lub Certified Information Systems Security Professional (CISSP) mogą zdobyć jeden punkt Continuing Professional Education (CPE) za każdą godzinę szkolenia (1 CPE za pełną godzinę edukacyjną, co daje 6 CPE za standardowy dzień szkolenia w Compendium CE - ale nie więcej niż 8 CPE dziennie). W celu przyznania punktów CPE członkowie (ISC) 2 muszą samodzielnie zgłosić udział w naszym szkoleniu do (ISC)2 i muszą zachować dowód udziału (certyfikat uczestnictwa w szkoleniu) w przypadku konieczności potwierdzenia tego faktu w (ISC)2. Więcej informacji pod adresem https://www.isc2.org/ (dostęp tylko dla członków (ISC)2).

Pozostałe szkolenia Compendium CE | Testy penetracyjne

Wszystkie szkolenia Compendium CE
Szkolenia powiązane tematycznie

Cyberbezpieczeństwo

Security | Aruba

Security | AWS

AWS Jam and AWS Jam Bundle | AWS

Exams | AWS

Network Security | Broadcom

Core Training | Check Point

Infinity Specializations | Check Point

Ustawa o KSC/Dyrektywa NIS2 | Compendium CE

Security Awareness | Compendium CE

Testy penetracyjne | Compendium CE

Informatyka śledcza | Compendium CE

Kryptografia | Compendium CE

Bezpieczeństwo ICS/OT | Compendium CE

Security+ | CompTIA

CySA+ | CompTIA

PenTest+ | CompTIA

SecurityX (formerly CASP+) | CompTIA

Certified Ethical Hacker | EC-Council

  • konspekt szkolenia: CEH - Certified Ethical Hacker v13

    CEH - Certified Ethical Hacker v13 szkolenie EC-Council

    dostępne terminy szkolenia
    cena od: 9000 PLN
    czas: 5 dni
    poziom trudności: 3 z 6
    kod: ECC-CEH
    wersja: v13
    2026-05-18 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-06-22 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-29 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-09-07 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-11-16 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    EC-Council
    Certified Ethical Hacker
    Cyberbezpieczeństwo
    Ethical Hacker
    CEH
    Security Specialist

Certified SOC Analyst | EC-Council

  • konspekt szkolenia: CSA - Certified SOC Analyst v2

    CSA - Certified SOC Analyst v2 szkolenie EC-Council

    dostępne terminy szkolenia
    cena od: 4700 PLN
    czas: 3 dni
    poziom trudności: 3 z 6
    kod: ECC-CSA
    wersja: v2
    2026-05-11 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-04-27 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-05-26 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-30 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    EC-Council
    Certified SOC Analyst
    Cyberbezpieczeństwo

Certified Penetration Testing Professional | EC-Council

  • konspekt szkolenia: CPENT - Certified Penetration Testing Professional v2

    CPENT - Certified Penetration Testing Professional v2 szkolenie EC-Council

    dostępne terminy szkolenia
    cena od: 8600 PLN
    czas: 5 dni
    poziom trudności: 4 z 6
    kod: ECC-CPENT
    wersja: v2
    2026-05-11 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-15 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-07-13 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-08-10 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    EC-Council
    Certified Penetration Testing Professional
    Cyberbezpieczeństwo

Advanced WAF (AWAF) | F5

Access Policy Manager (APM) | F5

Advanced Firewall Manager (AFM) | F5

NGINX | F5

FortiGate | Fortinet

  • konspekt szkolenia: FortiOS Administrator

    FortiOS Administrator szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 12800 PLN
    czas: 4 dni
    poziom trudności: 3 z 6
    kod: NSE4-FortiOS-A
    wersja: 7.6.x
    2026-05-11 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-06-15 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-07-20 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-08-17 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Fortinet
    FortiGate
    Cyberbezpieczeństwo
    Security Specialist
  • konspekt szkolenia: Enterprise Firewall Administrator

    Enterprise Firewall Administrator szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 9600 PLN
    czas: 3 dni
    poziom trudności: 4 z 6
    kod: FT-EFWA
    wersja: 7.6.x
    2026-05-04 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-05-25 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika MTG: możliwy termin gwarantowany zarezerwuj
    2026-06-29 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Fortinet
    FortiGate
    Cyberbezpieczeństwo
    NSE7
    FortiGate
    Firewall
    NGFW
    Security Specialist
  • konspekt szkolenia: Network Security Support Engineer

    Network Security Support Engineer szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 9600 PLN
    czas: 3 dni
    poziom trudności: 5 z 6
    kod: NSE7-NSSE
    wersja: 7.6.x
    2026-04-27 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-05-18 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika MTG: możliwy termin gwarantowany zarezerwuj
    2026-06-15 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika MTG: możliwy termin gwarantowany zarezerwuj
    Fortinet
    FortiGate
    Cyberbezpieczeństwo
    NSE6
    FortiGate
    Firewall
    NGFW
    Troubleshooting
    Security Specialist

FortiAnalyzer | Fortinet

FortiManager | Fortinet

SD-WAN | Fortinet

FortiAuthenticator | Fortinet

FortiWeb | Fortinet

FortiMail | Fortinet

  • konspekt szkolenia: FortiMail Administrator

    FortiMail Administrator szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 9600 PLN
    czas: 3 dni
    poziom trudności: 4 z 6
    kod: FT-FORTIMAILA
    wersja: 7.4.x
    2026-04-27 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-05-18 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-15 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Fortinet
    FortiMail
    Cyberbezpieczeństwo
    NSE6
    FortiMail
    Security Specialist

FortiSandbox | Fortinet

  • konspekt szkolenia: FortiSandbox Administrator

    FortiSandbox Administrator szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 6400 PLN
    czas: 2 dni
    poziom trudności: 4 z 6
    kod: FT-FSANDBOXA
    wersja: 5.x
    2026-05-14 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-05-19 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-16 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Fortinet
    FortiSandbox
    Cyberbezpieczeństwo
    Security Specialist

FortiSIEM | Fortinet

FortiEDR | Fortinet

FortiNAC | Fortinet

FortiSOAR | Fortinet

  • konspekt szkolenia: FortiSOAR Administrator

    FortiSOAR Administrator szkolenie Fortinet

    dostępne terminy szkolenia
    cena od: 6400 PLN
    czas: 2 dni
    poziom trudności: 4 z 6
    kod: FT-FSOARA
    wersja: 7.3.x
    2026-05-07 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika TG: termin gwarantowany zarezerwuj
    2026-05-07 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-09 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Fortinet
    FortiSOAR
    Cyberbezpieczeństwo
    Security Specialist

Wireless LAN | Fortinet

FortiClient EMS | Fortinet

Veeam | HPE

NIOS Security | Infoblox

  • konspekt szkolenia: NIOS Security Products

    NIOS Security Products szkolenie Infoblox

    dostępne terminy szkolenia
    cena od: 2500 EUR
    czas: 3 dni
    poziom trudności: 3 z 6
    kod: INFOBLOX-SP
    2026-04-27 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-05-18 | Kraków / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    2026-06-15 | Warszawa / Wirtualna sala HYBRID: szkolenie dostępne w wersji stacjonarnej we wskazanej lokalizacji lub w trybie zdalnym, w zależności od preferencji uczestnika zarezerwuj
    Infoblox
    NIOS Security
    Cyberbezpieczeństwo
    Security Specialist

Cyber security | ISC2

Azure | Microsoft

Microsoft 365 | Microsoft

Windows Server Technologies | Microsoft

Security | Microsoft

Pen Testing & Ethical Hacking | Mile2

AI Cybersecurity | Mile2

Cyber Threat Analyst | Mile2

Information Systems Management | Mile2

Incident Handling | Mile2

Web Application Security | Mile2

Cloud Security | Mile2

Forensics | Mile2

Disaster Recovery | Mile2

Healthcare | Mile2

Risk Management | Mile2

Auditing | Mile2

Cyber Range | Mile2

Security Awareness | Mile2

Netskope One | Netskope

CyberCore | OffSec

Penetration Testing | OffSec

Web Application Security | OffSec

Defensive Security | OffSec

Subscriptions | OffSec

Firewall | Palo Alto Networks

SASE | Palo Alto Networks

Cortex XDR | Palo Alto Networks

Cortex XSOAR | Palo Alto Networks

Cortex XSIAM | Palo Alto Networks

DefensePro | Radware

Fundamentals | SCADEMY

C# | SCADEMY

C/C++ | SCADEMY

Java | SCADEMY

PHP | SCADEMY

Python | SCADEMY

WEB | SCADEMY

Cloud | SCADEMY

Cryptography | SCADEMY

Finance | SCADEMY

Healthcare | SCADEMY

Telecome | SCADEMY

Software design | SCADEMY

Software testing | SCADEMY

Kubernetes | SUSE

Formularz kontaktowy

Prosimy o wypełnienie poniższego formularza, jeśli chcą Państwo uzyskać więcej informacji o powyższym szkoleniu.





* pola oznaczone (*) są wymagane

Informacje o przetwarzaniu danych przez Compendium – Centrum Edukacyjne Spółka z o.o.

CENA SZKOLENIA OD 3000 PLN NETTO

Najbliższe szkolenia Compendium CE

Harmonogram szkoleń
Compendium CE