Security Aware Developer - Szkolenie z bezpieczeństwa aplikacji dla programistów

Kod: sec-SAD
Kategoria: Bezpieczeństwo
Forma: 50% wykładów, 50% dyskusji i ćwiczeń
Czas trwania: 1 dzień
Odbiorcy: architekci, testerzy, developerzy
Zapisy: Indywidualne zamówienie i dopasowanie dla grupy.
Logistyka: W siedzibie klienta lub w innym dowolnym miejscu.
Partner merytoryczny:

Warsztaty z bezpieczeństwa dla zespołów projektowych - podnoszące świadomość problemów, operujące na realnych przykładach błędów oraz kupione na wdrożeniu właściwego poziomu zabezpieczeń. Utrzymanie bezpieczeństwa aplikacji polegające jedynie na końcowej weryfikacji zabezpieczeń i usuwaniu defektów ciągnie za sobą wiele dodatkowych kosztów (konieczność ponownej przebudowy aplikacji, kary umowne, czas spędzony na usuwaniu błędów).

Takie podejście może być również źródłem potencjalnych kłopotów jak np. wyciek wrażliwych danych.

Wyczulając zespół projektowy na kwestie bezpieczeństwa skracamy proces produkcji oprogramowania obniżając jego koszty.

Warsztaty Security Aware Developer zostały opracowane na podstawie setek rozmów z deweloperami jak i całymi zespołami projektowymi. Kładziemy nacisk nie tylko na unikalną formułę, ale też na wyjątkową praktyczność. Dlatego składowymi każdego scenariusz są:

  • przedstawienie aplikacji - na której będzie bazował scenariusz,
  • omówienie łańcucha podatności i jego realnych skutków,
  • wyłonienie przez uczestników możliwych sposobów zabezpieczeń,
  • analiza zaproponowanych zabezpieczeń z doświadczonym pentesterem.

Scenariusze przedstawione w trakcie warsztatów stworzone są na bazie naszych doświadczeń i opracowane w atrakcyjną graficznie formę zeszytu. Nie jest to kolejne szkolenie “do przeklikania” na komputerze. Grupa pracuje na specjalnie przygotowanych materiałach ułatwiających skupienie, bez użycia komputera.

Głównymi celami szkolenia są:

  • Podnoszenie świadomości developerów, architektów, testerów odnośnie problemów bezpieczeństwa aplikacji,
  • Pokazywanie w formie scenariuszy, realnych, z życia wziętych przykładów,
  • Ustalenie najefektywniejszych rekomendacji poprawiających bezpieczeństwo danego rozwiązania.

Na podstawie informacji zwrotnej widzimy, że poruszane przykłady, dyskusje oraz praca uczestników związana z wymyślaniem poprawek i zabezpieczeń realnie wpływa na podniesienie świadomości wśród uczestników oraz powoduje, że po powrocie do codziennej pracy chcą realizować pomysły związane z bezpieczeństwem aplikacji, które wykiełkowały w trakcie szkolenia.

Wyróżniki szkolenia

  • Szkolenie prowadzone jest przez byłych programistów, którzy znają wyzwania i problemy “od podszewki”
  • Podczas szkolenia omawiane są wyłącznie przypadki “z życia wzięte”
  • Formuła szkolenia - nie jest to szkolenie w formie nudnego wykładu. W trakcie szkolenia uczestnicy mają rzeczywisty wpływ na jego przebieg i rodzaj przekazywanych treści
  • Skupiamy się na zapobieganiu podatnościom, a nie na nauce ich testowania
  • W trakcie szkolenia jest czas na omówienie problemów z bezpieczeństwem aplikacji z którymi przychodzą uczestnicy

Program Szkolenia

Program jest ramą w jakiej możemy się poruszać merytorycznie - program dla konkretnego szkolenia dedykowanego ustalamy z grupą na podstawie analizy przed-szkoleniowej.

  1. XXE
    1. Błąd kontroli dostępu
    2. Nieprawidłowe przetwarzanie plików XML
    3. Spowodowanie niedostępności aplikacji jednym żądaniem HTTP
    4. Wywołanie dowolnej komendy na serwerze 
    5. Wykradnięcie plików z serwera
    6. Zapobieganie
      1. Konfiguracja parsera
      2. Hardening środowiska
  2. XSS
    1. Błąd walidacji danych wejściowych
    2. Stored XSS w szablonach Angular
    3. Trwała awaria aplikacji
    4. Zapobieganie:
      1. Nieustająca walka z XSS’ami
      2. Znaj dane użytkownika swego
      3. Wiedz gdzie i w jakim kontekście są zwracane
  3. PHISHING czyli jak przejąć kontrolę nad kodem
    1. Analiza specyfiki pracy firmy deweloperskiej
    2. Uzyskanie loginu i hasła do jednego z serwisów deweloperskich 
    3. Nadużycie SSO
    4. Uzyskanie dostępu do kodu źródłowego
    5. Zapobieganie:
      1. Jak utrudnić przeprowadzanie ataków
      2. Na co zwracać uwagę
  4. ESKALACJA
    1. Nadmiarowy moduł aplikacji 
    2. Domyślne (niebezpieczne) ustawienia 
    3. Zapisywanie wrażliwych danych do logów 
    4. Uzyskanie uprawnień administratora aplikacji
    5. Zapobieganie:
      1. Minimalizacja powierzchni ataku
      2. Weryfikacja ustawień związanych z bezpieczeństwem
  5. SQL INJECTION
    1. Aplikacja legacy
    2. Chałupnicza kryptografia
    3. Skrót versus podpis
    4. SQL Injection
    5. Ominięcie zabezpieczeń i pobieranie danych
    6. Zapobieganie:
      1. Jak implementować kryptografię poprawnie
      2. Wachlarz rozwiązań dla SQL Injection
  6. BANK
    1. Case study jednego z polskich banków
    2. Znany defekt w komponencie 
    3. RCE - omówienie na przykładach
    4. Przejęcie kontroli nad frontendem
    5. Modyfikacja JavaScript 
    6. Obejście dodatkowej autoryzacji 
    7. Kradzież środków z kont
    8. Jak wyprowadzać środki z przejętych kont
    9. Zapobieganie:
      1. Bezpieczeństwo zewnętrznych bibliotek
      2. Monitoring środowiska i aplikacji
      3. Bezpieczeństwo własnego kodu


Pobierz program w formacie PDF

Trenerzy

Poznaj ekspertów, którzy mogą poprowadzić Twoje szkolenie.

Materiały związane ze szkoleniem

Idea renesansowej pracowni - Bottegi zakłada nieustanną pracę jej członków i dzielenie się jej wynikami.

Zamów szkolenie

Imię i nazwisko:
Firma:
E-mail:
Nr tel:
Temat:
Wiadomość:

Jeżeli preferujesz osobisty kontakt to zawsze możesz zadzwonić.

Iwona Sobótka

Koordynatorka szkoleń


Twoje dane osobowe przetwarzamy, aby udzielić odpowiedzi na Twoje pytanie. Administratorem Twoich danych osobowych jest Bottega It Minds Sławomir Sobótka. Przysługuje Ci prawo wniesienia sprzeciwu wobec przetwarzania, prawo dostępu do danych, prawo żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania. Szczegółowe informacje dotyczące przetwarzania Twoich danych osobowych znajdują się TUTAJ.