Brak odpowiedzi do tego tematu

[SQAM]

Data: 26 – 28 luty 2013r.
Miejsce: Warszawa
Cena regularna: 3390/os +23% VAT
Cena First Minute: 3190/os + 23% VAT

Opis wydarzenia
Szkolenie „Bezpieczeństwo aplikacji WWW” zostało przygotowane z myślą o osobach, które chcą nauczyć się jak przeprowadzać testy bezpieczeństwa (penetracyjne) aplikacji WWW oraz jak zabezpieczać aplikacje WWW przed atakami.

Program szkolenia
● Wprowadzenie do testów penetracyjnych
Wykład teoretyczny omawiający zagadnienia związane z realizacją testów penetracyjnych., standard OWASP ASVS oraz przedstawione zostaną podstawowe koncepcje i definicje używane w testach penetracyjnych aplikacji WWW. Przedstawiony zostanie też rzeczywisty proces realizacji wraz ze stosowaną metodyką, który jest na co dzień wykorzystywana w firmie Pentesters. Wykład uzupełniają ćwiczenia praktyczne z wykorzystaniem narzędzi używanych w dalszej części szkolenia.

● Testy bezpieczeństwa aplikacji WWW cz. 1
Warsztaty związane z atakami opartymi o nieodpowiednią weryfikację parametrów wejściowych do aplikacji. Omówione zostaną m. in. następujące podatności:
● Cross-Site Scripting
● SQL Injection
● Path Traversal
● File Inclusion
● Remote Command Injection
● Remote Code Execution
● XML Injection
● XPath Injection
● LDAP Injection
● SSI Injection
Wszystkie ćwiczenia zostały przygotowane w oparciu o własne doświadczenia zespołu testowego firmy Pentesters. Przykłady zrealizowane są w oparciu o specjalnie przygotowane środowisko oraz aplikacje, które naśladują rzeczywiście występujące podatności oraz warunki testów penetracyjnych. Dla każdej podatności zostaną zaprezentowane metody zabezpieczenia z wykorzystaniem:
● Funkcji na poziomie języka programowania
● Rozwiązania Web Application Firewall (mod_security)
● Konfiguracji serwera Apache wraz z modułem PHP
Podczas szkolenia omówione oraz wykorzystane zostaną narzędzia:
● BurpSuite
● Plugin WebDeveloper dla aplikacji FireFox
● ModSecurity dla serwera Apache
● Rozszerzenie Suhosin dla technologii PHP
● SQLMap
● Bezpieczna konfiguracja serwera Apache wraz z modułami
● Beef Framework
● Niektóre polecenia powłoki systemu Linux
● Inne narzędzia wykorzystywane w testach penetracyjnych

● Raportowanie rezultatów testów penetracyjnych, podsumowanie
Ostatnim elementem programu szkoleniowego jest omówienie oraz zaprezentowanie na przykładach różnych sposobów szacowania i klasyfikacji podatności (CIA, STRIDE, DREAD) oraz przedstawienie rzeczywistej metodyki i szablonów raportowania wykorzystywanych w firmie Pentesters na co dzień.

KONTAKT

katarzyna.antczak@software.com.pl

Załączone pliki

•  sqam_301x761.png   4,19 KB   0 Ilość pobrań