Ofensywne Testowanie
Web Aplikacji

W module 1 poznasz strukturę i harmonogram szkolenia, a następnie dowiesz się w jaki sposób podejść do studiowania i czemu komunikacja jest ważnym elementem całego programu. Ponadto poruszymy kwestie etyczne związane z hackowaniem web aplikacji oraz dowiesz się co trzeba zrobić żeby otrzymać certyfikat ukończenia.

W module 2 zbudujemy fundamenty teoretyczne związane z wysokopoziomowym spojrzeniem na bezpieczeństwo aplikacji. Poznasz tutaj różnice pomiędzy obszarami cyberbezpieczeństwa takimi jak CorpSec, NetSec i AppSec. Dowiesz się czym jest triada CIA i jakie dodatkowe właściwości bezpieczeństwa mogą ją uzupełnić, a następnie poznasz relację pomiędzy słabością a podatnością oraz zagrożeniem a ryzykiem. Dowiesz się również w jaki różny sposób można podchodzić do oceny bezpieczeństwa systemów IT i zrozumiesz różnice pomiędzy podejściami black-box, white-box oraz gray-box. Całość zamkniemy omówieniem przydatnych projektów OWASP, które będziemy wykorzystywać w szkoleniu jako fundament do pracy praktycznej.

W module 3 zbudujemy fundamenty praktyczne związane z testowaniem bezpieczeństwa web aplikacji. To w tym module postawisz swoje lokalne laboratorium, z którego będziesz korzystać w dalszej części szkolenia. Następnie przypomnisz sobie podstawy tego w jaki sposób działa sieć World Wide Web – od tematów takich jak cykl zapytanie-odpowiedź przez tematy takie jak ciasteczka czy Document Object Model aż do tematów takich jak Same Origin Policy czy Cross-Origin Resource Sharing. A na zakończenie tego modułu poznasz wachlarz możliwości jakie daje narzędzie typu proxy (Zed Attack Proxy – ZAP) pod kątem testowania web aplikacji.

W module 4 nauczysz się przeprowadzać rekonesans i enumerację web aplikacji, czyli dowiesz się m.in. jak ustalić stos technologiczny web aplikacji, co ciekawego można znaleźć w kodzie źródłowym strony oraz jakie specjalne pliki mogą czaić się na serwerze. Ponadto wykonasz podstawowy skan podatności web serwera oraz poznasz pierwszą klasę problemów z listy OWASP Top 10, a konkretnie A2-Cryptographic Failures, czyli problemy związane z użyciem kryptografii na przykładzie niebezpiecznego kanału komunikacyjnego (HTTP bez SSL/TLS).

W module 5 poznasz A1-Broken Access Control, czyli pierwszą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w obsłudze dostępu, a my omówimy ją szczegółowo na przykładzie podatności Insecure Direct Object Reference (IDOR), która jest jedną z najgroźniejszych i najczęściej występujących podatności w web aplikacjach.

W module 6 poznasz A3-Injections, czyli trzecią pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w obsłudze danych wejściowych od użytkownika, co w pewnych przypadkach krańcowych daje możliwość wykonania kodu atakującemu. Tę klasę problemów omawiamy na przykładzie podatności Cross-Site Scripting (XSS), która nawiedza web aplikacje od ponad 20 lat i w dalszym ciągu nie chce dać za wygraną.

W module 7 poznasz A4-Insecure Design, czyli czwartą pozycję z listy OWASP Top 10. Ta klasa problemów wynika z niedociągnięć na poziomie projektowania i architektury aplikacji, a więc jest czymś dużo głębszym niż proste błędy implementacyjne. Ten szeroki zakres problemów omawiamy na wybranych podatnościach w aplikacji testowej.

W module 8 poznasz A5-Security Misconfiguration, czyli piąta pozycję z listy OWASP Top 10. Ta szeroka klasa problemów bezpieczeństwa dotyczy zarówno aplikacji jak i infrastruktury, a my przestudiujemy ją na nagłówkach bezpieczeństwa (Security Headers).

W module 9 poznasz A6-Vulnerable and Outdated Components, czyli szóstą pozycję z listy OWASP Top 10. To bardzo ciekawa klasa problemów, które nie dotyczą bezpośrednio kodu aplikacji, ale bibliotek, z których aplikacja korzysta. Co więcej problem ten dotyka on zarówno front-endu jak i back-endu. Ten problem omawiamy na wybranych podatnościach w aplikacji testowej.

W module 10 poznasz A7-Identification and Authentication Failures, czyli siódmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest w błędami w mechanizmie uwierzytelniania i w skrajnych przypadkach może mieć katastrofalne skutki. Tę klasę problemów omawiamy na przykładzie ataków siłowych (Brute Force) oraz ataku Credential Stuffing.

W module 11 poznasz A8-Software and Data Integrity Failures, czyli ósmą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w utrzymaniu i weryfikacji integralności zarówno danych jak i używanego oprogramowania. Tę klasę problemów omawiamy na przykładzie ataku na łańcuch dostawczy poprzez Content Delivery Network (CDN).

W module 12 poznasz A9-Security Logging and Monitoring Failures, czyli dziewiątą pozycję z listy OWASP Top 10. Ta klasa problemów związana jest z błędami w logowaniu i monitorowaniu stanu aplikacji co ma bezpośredni wpływ na jej bezpieczeństwo. Tę klasę problemów omawiamy na przykładzie realnych ataków zautomatyzowanych zarówno na web aplikację jak i na web serwer.

W module 13 poznasz podatność A10-Server-Side Request Forgery, czyli ostatnią pozycję z listy OWASP Top 10. W chwili obecnej jest to jedyna podatność (a nie klasa!) na liście OWASP Top 10. Podatność SSRF w pewnych sprzyjających warunkach może prowadzić do katastrofalnych skutków.

W module 14 poznasz narzędzia pozwalające na klasyfikację podatności pod różnymi względami (np. typu czy krytyczności). Ponadto zobaczysz jak wyglądają solidne raporty z testów bezpieczeństwa aplikacji od topowych firm takich jak Trail of Bits czy Doyensec.

W module 15 dowiesz się na jakie różne sposoby możesz dalej rozwijać swoje umiejętności – od dalszej pracy w warunkach laboratoryjnych, przez naukę ‘w realnym świecie’ aż po dalszą podróż w stronę ofensywy. Ponadto dowiesz się jakie certyfikaty branżowe są warte czasu i uwagi oraz w jaki sposób dokumentacja Twojej podróży w miejscu publicznym może Ci pomóc.

• Nagrania ze spotkań w ramach Office Hours
• Lekcja uzupełniająca: SQL Injection
• Lekcja uzupełniająca: Cross-Site Request Forgery (CSRF)
• Lekcja uzupełniająca: Unvalidated Redirects & Forwards
• Lekcja uzupełniająca: XML External Entity (XXE)
• Lekcja uzupełniająca: Insecure Deserialization