Agenda Programu

Przerabiając materiał od A do Z poznajesz główne standardy, metodyki i narzędzia techniczne używane do testowania bezpieczeństwa web aplikacji.

110

lekcji wideo

110

lekcji wideo

110

lekcji wideo

20+

godzin materiału

20+

godzin materiału

20+

godzin materiału

Tydzień 1: Rekonesans i enumeracja

Podstawy działania sieci Web (HTTP, DOM, SOP, CORS)

Sposoby oceny bezpieczeństwa aplikacji i systemów IT

Testowanie Black-box, Gray-box i White-box

Pliki specjalne obecne na web serwerze

Problemy z HTTPS i jego brakiem

Wykrywanie mechanizmów obronnych web aplikacji

⚡️ BONUS: Archiwalne nagrania podcastu “Bezpieczna Produkcja”

⚙️ Projekt: Budowa własnego laboratorium do testowania bezpieczeństwa web aplikacji

Tydzień 2: Podatności w AuthZ i wstrzyknięcia kodu

Wykrywanie i weryfikacja podatności w kontroli dostępu na przykładzie Insecure Direct Object Reference (IDOR)

Wykrywanie i weryfikacja podatności typu wstrzyknięcia na przykładzie Cross-Site Scripting (XSS)

Wykorzystanie automatyzacji do weryfikacji znalezionych podatności oraz do szukania nowych podatności

⚡️ BONUS: Szablon raportu z testów bezpieczeństwa web aplikacji

⚡️ BONUS: Poradnik “Jak napisać dobry raport z testów bezpieczeństwa”

⚙️ Projekt: Rozpoczęcie raportowania podatności w szkoleniowej aplikacji

Tydzień 3: Błędna logika, konfiguracja & podatne biblioteki

Wykrywanie i weryfikacja podatności wynikających z logiki biznesowej na przykładzie mechanizmu uwierzytelniania

Wykrywanie i weryfikacja podatności wynikających z konfiguracji na przykładzie nagłówków bezpieczeństwa

Polityki Strict Transport Security (HSTS) oraz Content Security Policy (CSP)

Problemy związane z użyciem zewnętrznych komponentów na przykładzie web aplikacji oraz jej kontenera

⚡️ BONUS: Webinar na temat Modelowania Zagrożeń

⚙️ Projekt: Dalsze uzupełnianie raportu z testów

Tydzień 4: Podatności w AuthN, integralność & automatyzacja ataków

Ataki siłowe na mechanizm uwierzytelniania web aplikacji oraz na dostępne usługi (OpenSSH)

Automatyzacja procesu szukania podatności (Analiza Dynamiczna - DAST)

Atakowanie łańcucha dostawczego a mechanizm Subresource Integrity (SRI)

⚡️ BONUS: Dostęp do GPT wytrenowanego na materiale Programu OTWA

⚙️ Projekt: Dalsze uzupełnianie raportu z testów

Tydzień 5: Podatność SSRF i Raportowanie

Wykrywanie i weryfikacja podatności Server-Side Request Forgery (SSRF)

Ocena krytyczności znajdywanych problemów bezpieczeństwa

Identyfikacja znanych podatności oraz klasyfikacja nowych podatności

Charakterystyka dobrego raportu z testów bezpieczeństwa

Szyfrowanie z wykorzystaniem PGP

Dalsze ścieżki rozwoju

⚡️ BONUS: Poradnik “Jak używać PGP”

⚡️ BONUS: Poradnik “Jak ulepszyć swój profil LinkedIn”

⚙️ Projekt: Uzupełnienie raportu o finalną podatność i oddanie reportu z testów do oceny

Wskocz na nowy, wyższy poziom i naucz się testować bezpieczeństwo web aplikacji.