Szkolenia IT • Kursy Komputerowe • Szkolenia

Rozszerzone bezpieczeństwo aplikacji webowych
Who should attend
Szkolenie skierowane do programistów posiadających doświadczenie w programowaniu webowych w JEE, chcących
poszerzyć swoje umiejętności związane z atakowaniem i zabezpieczaniem tych aplikacji. Przy grupach zamkniętych,
na życzenie klienta jest możliwość przeprowadzenie zajęć w wariancie.NET.
Course outline
1. Podstawowe informacje na temat bezpieczeństwa
Podstawowe pojęcia związane z bezpieczeństwem
Kwestie odpowiedzialności karnej w Polsce
Funkcje bezpieczeństwa (poufność, niezaprzeczalność, ...) a mechanizmy bezpieczeństwa
(uwierzytelnianie, autoryzacja, ...)
Modele bezpieczeństwa i bazy wiedzy (STRIDE, OWASP, CVE, CWE, ...)
2. Bezpieczeństwo aplikacji WWW
Omówienie protokołu HTTP - metody, nagłówki, sesja, kody odpowiedzi, ciasteczka
Zagrożenia związane z przejęciem sesji HTTP - kradzież sesji i jej warianty (fixation, adoption,
poisoning, ...), obrona
Ataki XSS, HRS, manipulacja protokołem HTTP - warianty XSS (reflected, stored, ...), HTTP Response
Splitting, ograniczenia, obrona
Fałszowanie żądań HTTP - XSRF/CSRF, Same Origin Policy, Cross-Origin Resource Sharing, JSONP
Wstrzyknięcia kodu - warianty (SQL, CODE, XPATH, LDAP, blind, timing, ...), obrona
Forcefull browsing, Path Traversal
Directory listing
Google Hacking
Tabnabbing
Clickjacking
Ataki na logowanie, CAPTCHA, uwierzytelnianie z wykorzystaniem kluczy publicznych (PKI, X.509,
1waySSL, 2waySSL, ...)
Ataki na mechanizmy kontenerów aplikacyjnych, SSL/TLS i podstawy kryptografii (PKI, klucze pub/prv,
...)
3. Dobre praktyki
Testy penetracyjne, fuzzing, black box testing
Code review i audyty, statyczna analiza kodu
4. Bezpieczeństwo kodu aplikacji
Dobre i złe praktyki programistyczne
Bezpieczny kod źródłowy
Frameworki i modele bezpieczeństwa tj SOLID
Inżynieria odwrotna kodu - dekompilacja i disassemblacja
Zaciemnianie kodu
Podpisywanie kodu
5. Rootkity
Rootkity trwałe (np.: modyfikacja bibliotek .NET Framework / JDK) i nietrwałe (np.: wykorzystanie
podatności WinAPI / POSIX API)
Architektura współczesnych systemów operacyjnych, modele jądra OS (mikrojądro, hybrydowe, ...)
Rootkity na poziomie OS w userspace i kernelspace
Course Advantages
Copyright © Altkom Akademia S.A. • Infolinia 801 25 85 66 • www.altkomakademia.pl
1/2
Poznasz techniki i narzędzia służące do wykonywania ataków na aplikacje WWW. Poznasz techniki i narzędzia służące
do realizacji testów penetracyjnych. Dowiesz się jakie są najpopularniejsze ataki i w jaki sposób można zabezpieczyć
aplikacje webowe przed nimi.
Assumed participants knowledge level
Minimum dwunastomiesięczne doświadczenie w programowaniu w języku zorientowanym obiektowo (JAVA ) i w
programowaniu aplikacji WWW.
Course delivery method
Code WEB_02
Duration
Workshops
Lecture
4 dni / 28 h
Level Advanced
Authorization
Copyright © Altkom Akademia S.A. • Infolinia 801 25 85 66 • www.altkomakademia.pl
2/2