Zbuduj umiejętności, które pozwolą Ci na Testowanie Bezpieczeństwa Web Aplikacji

jak Zawodowiec.

Naucz się testować bezpieczeństwo aplikacji webowych, wyróżnij się na tle innych osób na rynku, zdobądź świetną pracę, podwyżkę lub awans!


Obejrzyj video, w którym dowiesz się, jak Kurs Testowanie Bezpieczeństwa Web Aplikacji Masterspomoże Ci rozwinąć swoje umiejętności z zakresu IT Security.

Zajmie Ci to 6 minut.

Ale w każdej chwili możesz przejść niżej.

Dla kogo jest ten kurs?

Dla osób, które chcą uporządkować swoją wiedzę z testowania bezpieczeństwa.

Dla tych osób, które chcą przeprowadzić pentest prawdziwej aplikacji w ramach ćwiczeń.

Dla tych którzy chcą zmienić swoją pracę i rozpocząć przygodę z IT Security.

Dla tych którzy chcą zdobyć umiejętności, które pozwolą na znalezienie najciekawszych podatności.

Dla osób, które testują już aplikacje webowe, ale chcą poznać kilka przydatnych hacków i wejść na wyższy poziom.

Lekcje Demo

XSS to nie tylko popup z alert(1). Dzięki tej podatności możemy również wykradać informacje ze strony użytkownika, np nr karty kredytowej, adresy, nr pesel i inne wrażliwe dane. Zobacz wideo żeby wiedzieć jak to zrobić.

 Wideo z CVE w Elastic Search’u,  Directory Traversal i możliwość czytania plików na serwerze, ale w ciekawej formie…

Marcin, nasz spec od kryptografii pokazuje o co chodzi w szyfrowaniu asymetrycznym. Jeżeli jeszcze nie wiesz o co chodzi to tym bardziej musisz to zobaczyć. Przydatne póki nie wbiją komputery kwantowe i nie zrobią rozpierdziuchy 🙂

Kim są Twoi instruktorzy?

Maciej Kofel


Pentester, trener, autor. Od 2011 roku związany z branżą IT security.

Swoją karierę zaczynał pracując w działach takich jak Security Monitoring czy Vulnerability Management, gdzie poznawał stronę defensywną bezpieczeństwa. Z kolei w ostatnich kilku latach działa po stronie ofensywnej przeprowadzając testy penetracyjne aplikacji webowych i infrastruktury. W roli Pentestera szlifował swoje umiejętności w sektorze bankowym, w consultingu, a także w Software House.

W 2018 roku rozpoczął także działalność jako szkoleniowiec z dziedziny, która jest mu najlepiej znana, czyli testów penetracyjnych webaplikacji. Poprzez prowadzenie szkoleń może realizować od zawsze tkwiącą w nim chęć przekazywania wiedzy i pomagania innym. 

Marcin Karbowski


Kryptolog, programista, pasjonat bezpieczeństwa IT.

Autor dwukrotnie wznawianej książki “Podstawy kryptografii“, która kilkukrotnie znalazła się na liście bestsellerów wydawnictwa Helion. Aktualnie pracuje jako Specjalista ds Bezpieczeństwa Aplikacji Webowych w firmie DAZN.

Przedstawiam Kurs

Testowanie Bezpieczeństwa Web Aplikacji

16

Modułowy Kurs

Poznasz podstawy systemu Kali Linux oraz narzędzia potrzebne podczas testowania bezpieczeństwa.
Poznasz podatności związane z web aplikacjami. Dowiesz się jak je wykorzystać i wyeliminować.
Otrzymasz całą masę nagrań wideo i dodatkowych materiałów co tydzień.
Cotygodniowe zadania domowe pozwolą Ci przekuć teoretyczną wiedzę w konkretną praktykę.
Nigdy nie zostaniesz sam z materiałem, zawsze możesz liczyć na wsparcie prowadzącego i całej grupy
Otrzymasz odpowiedzi na pytania, oraz będziesz mieć możliwość pomagać innym, dzięki czemu lepiej przyswoisz wiedzę.
Razem z Tobą wielu uczestników rozpocznie kurs i w podobnym tempie będą przechodzić przez niego razem z Tobą.
Nawiążesz kontakt z grupą ludzi, którzy podobnie jak Ty chcą poznać tajniki testowania bezpieczeństwa web aplikacji.

Dostęp do grupy wsparcia

Bonusy

Będziesz mieć realny wpływ na program kursu. Nowe materiały będą dodawane i dostosowywane pod potrzeby Twoje i innych uczestników.
Dostęp do grupy wsparcia tak długo jak istnieć będzie ten kurs. Są tam też ludzie którzy już pracują w IT Sec.
Dostaniesz dostęp do materiałów i ich aktualizacji.
Dowiesz się jak dostosować swój profil na LinkedIn i CV, tak by rekruterzy oddzywali się do Ciebie.

Agenda Kursu

Moduł 1 Powitanie
  • Powitanie
  • Opis kursu
  • Wymagania – narzędzia itp
  • Jak studiować kurs
  • O instruktorze
  • Kwestie etyczne
  • Praca domowa
Moduł 2 Środowisko
  • Powitanie
  • Konfiguracja VirtualBox’a
  • Import Kali Linux
  • Clonowanie systemu
  • Budowa i obsługa Kali Linux + tipy dla początkujących
  • Nawigowanie w środowisku graficznym
  • Nawigowanie w konsoli
  • Ścieżki, edycja i zarządzanie plikami
  • Pomocne komendy
  • Szukanie plików (locate, find, which)
  • Instalacja i aktualizacja narzędzi
  • Praca domowa Bonus: root
Moduł 3 Podstawowe Narzędzia
  • Powitanie
  • Podstawy Sieci
  • Podstawy HTTP (GET vs POST)
  • Usługi (SSH, Apache)
  • netstat
  • netcat
  • Bind Shell, Reverse Shell
  • Przesyłanie Plików (nc, Apache, scp)
  • Burp Konfiguracja + Proxy + Target
  • Burp pozostałe narzędzia
  • Burp Scope
  • Burp oczami praktyka
  • Dodatki do przeglądarki
  • Praca domowa
Moduł 4 Rekonesans aplikacji
  • Powitanie
  • Poznanie Logiki Biznesowej Aplikacji
  • Architektura Aplikacji Webowej
  • Instalacja podatnej aplikacji
  • Źródło strony – Cenne informacje
  • adisclosure on debug page (komentarze) – DEMO
  • Ukryte funkcje i formularze
  • Robots.txt
  • Source code disclosure via backup files – DEMO
  • Rozpoznanie komponentów aplikacji
  • Verbose Error Messages
  • Information disclosure in error messages – DEMO
  • Nikto
  • Manualna nawigacja po aplikacji
  • Automatyczne rozpoznanie aplikacji (Spidering/Crawler)
  • Bruteforce ścieżek(dirb, DirBuster, Burp Intruder)
  • Information disclosure in version control history (.git folder) – DEMO
  • Skanowanie Portów – Nmap
  • WAF (Web Application Firewall) Definicja i rozpoznanie
  • Praca domowa
Moduł 5 Zarządzanie Sesją i Prawami dostępu
  • Powitanie
  • Authentication + Authorization
  • Bruteforce i Metoda Słownikowa
  • Burp Intruder – Metoda słownikowa
  • Hydra – Metoda słownikowa
  • Bezpieczne Cookiesy
  • Badanie Mechanizmów Zarządzania Sesją
  • Badanie Ról i Dostępów
  • Privilege Escalation (Vertical, Horizontal)
  • Privilege Escalation – DEMO
  • Authentication bypass via information disclosure with TRACE method- DEMO
  • Insecure Direct Object References – zmiany na userze
  • Authorization Bypass – DEMO
  • Insecure Direct Object References – Podgląd danych
  • IDOR – Download File – DEMO
  • Forced Browsing
  • Praca domowa
Moduł 6 Cross-Site Scripting
  • Powitanie
  • Client Side vs Server Side
  • Reflected Cross-Site Scripting
  • Stored Cross-Site Scripting
  • DOM Based Cross-Site Scripting
  • HTML Injection
  • Scenariusze ataków
  • Wykradanie Sesji
  • Kradzież danych ze strony
  • Defacement
  • Zabezpieczenia przeciwko XSS
  • Praca domowa
Moduł 7 SQL Injection
  • Powitanie
  • SQL Intro, Metadane, Silniki DB
  • Szukanie SQL Injection
  • Zbieranie informacji o bazie
  • Exploitacja SQLi z pomocą Metadanych
  • Crackowanie hash’y haseł
  • SQLMap – Automatyzacja ataku
  • Blind SQLi
  • Time based SQLi
  • Praca domowa
Moduł 8 XML External Entity
  • Powitanie
  • Budowa pliku XML i Encje
  • XXE (XML External Entity) wariant lokalny
  • XXE Out Of Band
  • Remote Code Execution (RCE) przez XXE
  • Billion laughs attack
  • Praca domowa
Moduł 9 Ciekawe podatności
  • Powitanie
  • Przygotowanie środowiska
  • Local\Remote File Inclusion
  • Arbitrary File Upload
  • Path Traversal
  • OS Command Injection
  • CSRF (Cross Site Request Forgery)
  • Open redirection
  • Praca domowa
Moduł 10 Ciekawe podatności II
  • Powitanie
  • SSRF (Server Side Request Forgery)
  • SSTI (Server Side Template Injection)
  • Open Redirection
  • RFI (Remote File Inclusion)
  • Blind Command Injection
  • Race Condition
  • Mass Assignment
  • SQLi Second Order
  • Blind XSS(CrossSite Scripting)
  • Praca domowa
Moduł 11 Security Headers
  • Powitanie
  • X-Frame-Options + Clickjacking
  • Strict-Transport-Security
  • CSP – Content Security Policy
  • X-XSS-Protection
  • X-Content-Type-Options
  • Security Headers Tools
  • Praca domowa
Moduł 12 Kryptografia
  • Powitanie
  • Intro lab
  • Historia i podstawowe pojęcia
  • Szyfry blokowe
  • Szyfry strumieniowe
  • Szyfry asymetryczne
  • Hashe
  • Ochrona haseł w DB
  • DHE
  • Crypto Guidelines
  • Podsumowanie
Moduł 13 Raportowanie
  • Powitanie
  • CIA
  • CVE
  • CVSS
  • Poszukiwanie znanych podatności
  • Pentest – co warto wiedzieć przed
  • Przykładowe Raporty
  • Praca domowa
Moduł 14 Co dalej?
  • Powitanie
  • Skąd czerpać wiedzę?
  • CTF i Bug Bounty
  • „Hackowanie” LinkedIn i CV
  • Co dalej – grupa?
  • Praca domowa
BONUS – Dodatkowe Narzędzia
  • Powitanie
  • Środowisko
  • Metasploit – Baza danych
  • Metasploit – Troubleshooting
  • Metasploit – Podstawowe polecenia
  • Metasploit – Auxiliary
  • Metasploit – MSFvenom
  • Metasploit – Meterpreter
  • OpenVas – Instalacja i Scan
  • OpenVas – Wyniki
  • Nessus – Instalacja i Scan
  • Wireshark
  • Beef – Instalacja
  • Beef – Integracja z MSF
  • Nmap – Intro
  • Nmap – Host Discoveries
  • Nmap – Scan
  • Nmap – Scripts
  • Praca domowa
BONUS – OWASP ZAP
  • Instalacja
  • Konfiguracja Przeglądarki + Certyfikaty
  • Konfiguracja środowiska do testów
  • Spider
  • Request Editor
  • Fuzz
  • Active Scan
0

Lekcji które pokażą Ci jak przetestować aplikację

0

Godziny materiałów do wchłonięcia

0

Zadowolonych kursantów, chętnych do pomocy

Co Dostajesz w Kursie?

16 modułowy program Testowanie Bezpieczeństwa Web Aplikacji

Live Call z prowadzącym i uczestnikami (bez limitu)

Dostęp do aktualizacji programu

Dostęp do Grupy Wsparcia

Możliwość bezpośredniego kontaktu z autorem kursu

Ogrom zaoszczędzonego czasu i pieniędzy

Co o kursie mówią nasi studenci?

POKOCHAJ KURS LUB ZWRACAM CI PIENIĄDZE!

Przygotowałem materiały tak, aby dały 10x więcej wartości niż oczekujesz.

Ale rozumiem, że możesz mieć obawy i wątpliwości, dlatego biorę na siebie całe ryzyko Twojej decyzji. Daję Ci 30 dni GWARANCJI SATYSFAKCJI liczonej od momentu zakupu dostępu do kursu.

Masz 30 dni na przekonanie się, jak unikalna i wartościowa dla Ciebie będzie ta wiedza. Jeżeli z jakichś powodów poczujesz, że kurs jednak nie będzie dla Ciebie odpowiedni, to wystarczy, że napiszesz na adres maciej.kofel@szkolasecurity.pl i zwrócę Ci 100% Twojej wpłaty.

Najczęściej zadawane pytania


Czy muszę być na bieżąco z materiałem przez 12 tygodni trwania kursu?

Absolutnie nie. Kurs robisz wtedy kiedy Ci pasuje. Został on podzielony na poszczególne tygodnie po to żeby nie zarzucić Cie materiałem.

Dlaczego nie mogę dołączyć w środku trwania programu?

Program zaprojektowałem tak żeby podczas jego trwania być jak najbardziej dostępnym dla uczestników. Tak żeby każdy uczestnik mógł wyciągnąć z Kursu Testowania Bezpieczeństwa Web Aplikacji jak najwięcej. Dzięki temu też mogę w pełni poświecić się pomocy uczestnikom kursu zamiast obsługiwać sprzedaż i zapisy przez cały czas jego trwania.

Firma sponsoruje mi zakup kursu. Co zrobić?

Napisz do mnie (maciej.kofel@szkolasecurity.pl) i napisz co potrzebujesz. Jeżeli firma potrzebuje faktury proforma, daj znać.

Kiedy rozpoczyna się program i jak długo trwa?


Program rozpoczyna się wtedy, gdy wykupisz do niego dostęp. Program składa się z 12 modułów i z doświadczenia najwięcej wyniesiesz jeżeli będziesz robić jeden moduł na tydzień. Jest to sprawdzony model i przez to nie zostaniesz przygnieciony ilością wiedzy.

W jakiej formie jest ten kurs?


Kurs jest w formie wideo. Nagrania zamieszczone są na platformie. Po podaniu loginu i hasła masz dostęp do swojego konta. Poza nagraniami wideo dostępne są pliki do pobrania (kod źródłowy, slajdy, pliki tekstowe, odnośniki do zewnętrznych materiałów, etc).


Jak długo będę mieć dostęp do materiałów programu i grupy wsparcia?


Otrzymasz nielimitowany(a raczej tak długo jak będzie istniał Kurs Testowania Bezpieczeństwa Web Aplikacji) dostęp do tej edycji kursu, wszystkich materiałów w niej zawartych oraz przyszłych aktualizacji. Po zakończonym programie zatrzymasz również dostęp do zamkniętej grupy uczestników.


Dopiero zaczynam, czy kurs nie będzie za trudny?


Kurs został tak skonstruowany żeby osoby z minimalną wiedzą mogły z niego wyciągnąć jak najwięcej.


W razie wątpliwości możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będzie zbyt trudny, a ja zwrócę Ci pieniądze.


Mam już doświadczenie w pentestach web aplikacji, czy jest sens dołączać do kursu?


To też zależy. Przejrzyj proszę opis programu i zobacz, czy masz te tematy opanowane. Jeśli masz już duże doświadczenie z pentestami to pewnie ten kurs nie będzie dla Ciebie najlepszy. Niewykluczone, że w przyszłości będę robił kursy specjalistyczne, które dadzą Ci więcej wartości.


Jeśli nie masz pewności, możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będziesz się nudzić, a ja zwrócę Ci pieniądze.


Co, jeśli nie spodoba mi się kurs?


Jeżeli uznasz, że kurs nie jest dla Ciebie, to otrzymasz zwrot pieniędzy. Masz na to 30 dni od daty zakupu. Po prostu napisz na maciej.kofel@szkolasecurity.pl, a zwrócę Ci 100% pieniędzy.


Jak dołączyć do spotkań online?


O wszystkim dowiesz się w tygodniu 1 naszego kursu, gdzie wyjaśnię Ci dokładnie jak używać tego programu, aby wynieść z niego jak najwięcej.


Czy dostanę wszystkie materiały od razu?


W tej edycji sprawdzam podejście w ktorym dostęp do całości będzie od razu. Natomiast zawsze proponuje żeby robić 1 moduł tygodniowo.

Co dwa tygodnie odbywają się też Live Call’e gdzie uczestnicy mogą zadawać pytania. Ja też od czasu do czasu pokazuje ciekawe rzeczy 🙂


Czy otrzymam fakturę?


Tak, za zakup otrzymasz fakturę VAT. Faktura zostanie wysłana automatycznie na adres e-mail podany przy zamówieniu.


Czy mogę płacić w ratach?


Dostawca płatności tpay wprowadził taką możliwość ale jest to całkowicie poza moją działalnością. Żeby dowiedzieć się jak to działa zapraszam na stronę tpay.com


Co, jeżeli mam z czymś problem lub coś jest niejasne?


Napisz do mnie na adres e-mail: maciej.kofel@szkolasecurity.pl


Copyright © 2018-2020 Maciej Kofel – Szkoła Security

Polityka Prywatności | Regulamin


© copyright 2020. All RIghts Reserved