Czas trwania – 3 dni.
Wstęp do bezpieczeństwa aplikacji webowych
Testy bezpieczeństwa
• omówienie standardów: OWASP TOP 10, ASVS, Testing Guide
• dobór narzędzi/technik
• opis podatności (ryzyko, krytyczność, rekomendacje)
• pozyskiwanie informacji o celu (OSINT) – analiza pasywna, aktywna
• wykorzystanie narzędzi automatyzujących
• metody wykrywania ataków
• …
Ćwiczenia
Ataki typu Injection
• SQL injection
• Command injection
• Code injection
• HTML injection
• HTTP header injection
• JSON injection
• XXE
• …
Ćwiczenia
Niewłaściwe uwierzytelnianie i zarządzanie sesją
• Analiza identyfikatorów sesji
• Omówienie mechanizmów sesji
• Omówienie mechanizmów zmiany, generowania i odzyskiwania hasła
• Przechowywanie danych w sesjach
• Ręczna/automatyczna enumeracja użytkowników
• Nieprawidłowe dane uwierzytelniające, ataki słownikowe
• Problemy związane z uwierzytelnianiem
• Brak ochrony przed zautomatyzowanymi działaniami (bruteforce haseł)
• …
Ćwiczenia
Cross-Site Scripting
• Omówienie rodzajów ataków typu XSS: Reflected, Stored, DOM based
• Manualne ataki XSS
• Automatyczne ataki z wykorzystaniem frameworków do przeprowadzania
ataków
• …
Ćwiczenia
Błędy bezpośredniego odwołania do obiektów
• Realizowanie działań w imieniu innego użytkownika
• Pozyskiwanie danych innych użytkowników w nieuprawniony sposób
• …
Ćwiczenia
Błędy ustawień
• Wykorzystywanie zbędnych zasobów w aplikacji webowej
• Nieprawidłowa konfiguracja serwerów HTTP
• Wymuszanie występowania błędów w celu pozyskania informacji
• Błędy związane z konfiguracją protokołów SSL/TLS
• …
Ćwiczenia
Wyciek wrażliwych danych
• Wyszukiwanie ukrytych zasobów znajdujących się na serwerze
• Przeszukiwanie ogólnodostępnych źródeł informacji
• Google, Shodan, DNS Hacking
• …
Ćwiczenia
Niewłaściwa kontrola na poziomie funkcji
• Nieprawidłowe uprawnienia względem interfejsu użytkownika
• Nieprawidłowa separacja ról i użytkowników w aplikacji
• …
Ćwiczenia
Ataki Cross Site Request Forgery
Ćwiczenia
Komponenty ze znanymi podatnościami
Ćwiczenia