-Znajomość zasad działania aplikacji webowych oraz podstaw ich tworzenia
-Laptop z dostępem do Internetu wraz z możliwością instalacji oprogramownia lub
uruchamiania plików jar
Celem szkolenia jest przedstawienie podatności występujących w aplikacjach webowych.
Omówienie metod ich powstawania, wykorzystywania oraz zabezpieczania się przed nimi.
I. Wstęp
1. Wstęp do pentestów aplikacji webowych (omówienie najważniejszych pojęć itp.)
2. Przedstawienie dokumentów OWASP, OWASP ASVS, OWASP Testing Guide
3. Portswigger Burp Suite – omówienie narzędzia
4. Narzędzia wykorzystywane przez pentesterów i cyberprzestępców
II. Podatności aplikacji webowych
Dla każdej z poniższych podatności zostanie omówiona:
o Zasada działania i sposób powstawania podatności
o Przykładowe ataki oraz ryzyka związane z podatnością (ćwiczenia praktyczne)
o Wykrywanie podatności (ćwiczenia praktyczne)
o Sposób zabezpieczenia
Lista podatności:
1. SQL Injection
2. Cross-site scripting
3. Cross-site request forgery
4. Server-site request forgery
5. Błędy autentykacji
6. Błędy kontroli dostępu
7. Clickjackingd
8. Deserializacja
9. Command injection
10. XML External Enitity
11. Web cache poisoning
12. Request Smuggling
III. Przykładowy pentest aplikacji webowej
1. Rekonesans
2. Typowe podatności
3. Eksploitacja
4. Raportowanie