Agenda Programu
Przerabiając materiał od A do Z poznajesz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji.
Tydzień 1: Rekonesans i enumeracja
Podstawy działania sieci Web (HTTP, DOM, SOP, CORS)
Sposoby oceny bezpieczeństwa aplikacji i systemów IT
Testowanie Black-box, Gray-box i White-box
Pliki specjalne obecne na web serwerze
Problemy z HTTPS i jego brakiem
Wykrywanie mechanizmów obronnych web aplikacji
⚡️ BONUS: Archiwalne nagrania podcastu “Bezpieczna Produkcja”
⚙️ Projekt: Budowa własnego laboratorium do testowania bezpieczeństwa web aplikacji
Tydzień 2: Podatności w AuthZ i wstrzyknięcia kodu
Wykrywanie i weryfikacja podatności w kontroli dostępu na przykładzie Insecure Direct Object Reference (IDOR)
Wykrywanie i weryfikacja podatności typu wstrzyknięcia na przykładzie Cross-Site Scripting (XSS)
Wykorzystanie automatyzacji do weryfikacji znalezionych podatności oraz do szukania nowych podatności
⚡️ BONUS: Szablon raportu z testów bezpieczeństwa web aplikacji
⚡️ BONUS: Poradnik “Jak napisać dobry raport z testów bezpieczeństwa”
⚙️ Projekt: Rozpoczęcie raportowania podatności w szkoleniowej aplikacji
Tydzień 3: Błędna logika, konfiguracja & podatne biblioteki
Wykrywanie i weryfikacja podatności wynikających z logiki biznesowej na przykładzie mechanizmu uwierzytelniania
Wykrywanie i weryfikacja podatności wynikających z konfiguracji na przykładzie nagłówków bezpieczeństwa
Polityki Strict Transport Security (HSTS) oraz Content Security Policy (CSP)
Problemy związane z użyciem zewnętrznych komponentów na przykładzie web aplikacji oraz jej kontenera
⚡️ BONUS: Webinar na temat Modelowania Zagrożeń
⚙️ Projekt: Dalsze uzupełnianie raportu z testów
Tydzień 4: Podatności w AuthN, integralność & automatyzacja ataków
Ataki siłowe na mechanizm uwierzytelniania web aplikacji oraz na dostępne usługi (OpenSSH)
Automatyzacja procesu szukania podatności (Analiza Dynamiczna - DAST)
Atakowanie łańcucha dostawczego a mechanizm Subresource Integrity (SRI)
⚡️ BONUS: Dostęp do GPT wytrenowanego na materiale Programu OTWA
⚙️ Projekt: Dalsze uzupełnianie raportu z testów
Tydzień 5: Podatność SSRF i Raportowanie
Wykrywanie i weryfikacja podatności Server-Side Request Forgery (SSRF)
Ocena krytyczności znajdywanych problemów bezpieczeństwa
Identyfikacja znanych podatności oraz klasyfikacja nowych podatności
Charakterystyka dobrego raportu z testów bezpieczeństwa
Szyfrowanie z wykorzystaniem PGP
Dalsze ścieżki rozwoju
⚡️ BONUS: Poradnik “Jak używać PGP”
⚡️ BONUS: Poradnik “Jak ulepszyć swój profil LinkedIn”
⚙️ Projekt: Uzupełnienie raportu o finalną podatność i oddanie reportu z testów do oceny