Testy penetracyjne aplikacji www

Szkolenie „Testy penetracyjne aplikacji WWW” zostało przygotowane z myślą o osobach, które chcą nauczyć się jak przeprowadzać testy bezpieczeństwa (penetracyjne) aplikacji WWW oraz jak zabezpieczać aplikacje WWW przed atakami.
Szkolenie w znacznej części oparte jest o wytyczne OWASP ASVS, które współcześnie są jednym z najbardziej popularnych standardów wykorzystywanych przy realizacji testów penetracyjnych aplikacji WWW.


Agenda
Część Pierwsza

Program pierwszej części szkolenia skoncentrowany jest na ćwiczeniach z identyfikacji podatności związanych z manipulacją parametrami pod kątem przekazywania w nich znaków specjalnych. Szkolenie szczegółowo omawia następujące podatności:

Cross-Site Scripting
SQL Injection
File Inclusion
Path Traversal
Remote Command Injection
Remote Code Execution
LDAP Injection
XML Injection
XPath Injection
SSI Injection

Drugim elementem części pierwszej

są ćwiczenia związane z zabezpieczaniem aplikacji WWW na poziomie rozwiązań programistycznych, konfiguracji serwera oraz za pomocą rozwiązań typu WAF/IPS.
Program szkolenia
Wprowadzenie do testów penetracyjnych

Wykład teoretyczny omawiający zagadnienia związane z realizacją testów penetracyjnych., standard OWASP ASVS oraz przedstawione zostaną podstawowe koncepcje i definicje używane w testach penetracyjnych aplikacji WWW. Wykład uzupełniają ćwiczenia praktyczne z wykorzystaniem narzędzi używanych w dalszej części szkolenia.
Czas trwania: 2h
Testy bezpieczeństwa aplikacji WWW cz. 1

Warsztaty związane z atakami opartymi o nieodpowiednią weryfikację parametrów wejściowych do aplikacji. Omówione zostaną m. in. następujące podatności:

Cross-Site Scripting
SQL Injection
Path Traversal
File Inclusion
Remote Command Injection
Remote Code Execution
XML Injection
XPath Injection
LDAP Injection
SSI Injection

Przykłady zrealizowane są w oparciu o specjalnie przygotowane środowisko oraz aplikacje, które naśladują rzeczywiście występujące podatności oraz warunki testów penetracyjnych. Dla każdej podatności zostaną zaprezentowane metody zabezpieczenia z wykorzystaniem:

Funkcji na poziomie języka programowania
Rozwiązania Web Application Firewall (mod_security)
Konfiguracji serwera Apache wraz z modułem PHP

Podczas szkolenia omówione oraz wykorzystane zostaną narzędzia:

BurpSuite
Plugin WebDeveloper dla aplikacji FireFox
ModSecurity dla serwera Apache
Rozszerzenie Suhosin dla technologii PHP
SQLMap
Bezpieczna konfiguracja serwera Apache wraz z modułami
Beef Framework
Niektóre polecenia powłoki systemu Linux
Inne narzędzia wykorzystywane w testach penetracyjnych

Czas trwania: 15h
Raportowanie rezultatów testów penetracyjnych, podsumowanie

Ostatnim elementem programu szkoleniowego jest omówienie oraz zaprezentowanie na przykładach różnych sposobów szacowania i klasyfikacji podatności (CIA, STRIDE, DREAD) oraz przedstawienie rzeczywistej metodyki i szablonów raportowania.

Czas trwania: 90 min.