Testowanie Bezpieczeństwa Web Aplikacji

Naucz się testować bezpieczeństwo aplikacji Webowych, wyróżnij się na tle innych osób na rynku, zdobądź świetną pracę, podwyżkę lub awans!


Dzięki za zainteresowanie.

Następna edycja rusza 16 grudnia.

Jeżeli chcesz kupić kurs na firmę i potrzebujesz proformy napisz do mnie: maciej.kofel@gmail.com

Zapisz się na Newsleter poniżej i bądź na bieżąco. Dostaniesz też darmowy ebook “15 podatności które możesz mieć w swojej aplikacji”

Maciej Kofel

Pentester, trener, autor. Od 7 lat związany z branżą IT security.

Swoją karierę zaczynał pracując w działach takich jak Security Monitoring czy Vulnerability Management, gdzie poznawał stronę defensywną bezpieczeństwa. Z kolei w ostatnich kilku latach działa po stronie ofensywnej przeprowadzając testy penetracyjne aplikacji webowych i infrastruktury. W roli Pentestera szlifował swoje umiejętności w sektorze bankowym, w consultingu, a także w Software House.

W 2018 roku rozpoczął także działalność jako szkoleniowiec z dziedziny, która jest mu najlepiej znana, czyli testów penetracyjnych webaplikacji. Poprzez prowadzenie szkoleń może realizować od zawsze tkwiącą w nim chęć przekazywania wiedzy i pomagania innym. 

Co o kursie mówią nasi studenci?

Testowanie Bezpieczeństwa Web Aplikacji

12 Tygodniowy Kurs

Poznasz podstawy systemu Kali Linux oraz narzędzia potrzebne przy testach bezpieczeństwa.
Poznasz podatności związane z web aplikacjami. Dowiesz się jak je wykorzystać i wyeliminować.
Otrzymasz całą masę nagrań wideo i dodatkowych materiałów co tydzień.
Cotygodniowe zadania domowe pozwolą Ci przekuć teoretyczną wiedzę w konkretną praktykę.

Dostęp do grupy wsparcia

Nigdy nie zostaniesz sam z materiałem, zawsze możesz liczyć na wsparcie prowadzącego i całej grupy
Otrzymasz odpowiedzi na pytania, oraz będziesz mieć możliwość pomagać innym, dzięki czemu lepiej przyswoisz wiedzę.
Razem z Tobą wielu uczestników rozpocznie kurs i w podobnym tempie będą przechodzić przez niego razem z Tobą.
Nawiążesz kontakt z grupą ludzi, którzy podobnie jak Ty chcą poznać tajniki testowania bezpieczeństwa web aplikacji.

Bonusy

Będziesz mieć realny wpływ na program kursu. Nowe materiały będą dodawane i dostosowywane pod potrzeby Twoje i innych uczestników.
Dostęp do grupy wsparcia tak długo jak istnieć będzie ten kurs.
Dostaniesz dożywotni dostęp do materiałów i ich aktualizacji.
Dowiesz się jak dostosować swój profil na LinkedIn i CV, tak by rekruterzy oddzywali się do Ciebie.

Agenda

TYDZIEŃ 1
Plan Gry
  1. Powitanie
  2. Opis kursu
  3. Wymagania – narzędzia itp
  4. Jak studiować kurs
  5. O instruktorze
  6. Kwestie etyczne
  7. Praca domowa
TYDZIEŃ 2
Środowisko Pracy
  1. Powitanie
  2. Konfiguracja VirtualBox’a, Import Kali Linux, Clonowanie systemu
  3. Budowa i obsługa Kali Linux + tipy dla początkujących
  4. Nawigowanie w środowisku graficznym
  5. Nawigowanie w konsoli
  6. Ścieżki, edycja i zarządzanie plikami
  7. Pomocne komendy
  8. Szukanie plików (locate, find, which)
  9. Instalacja i aktualizacja narzędzi
  10. Praca domowa
TYDZIEŃ 3
Podstawowe Narzędzia
  1. Powitanie
  2. Podstawy Sieci
  3. Usługi (SSH, Apache)
  4. netstat
  5. netcat
  6. Bind Shell, Reverse Shell
  7. Przesyłanie Plików (nc, Apache, scp)
  8. Burp Konfiguracja + Proxy + Target
  9. Burp pozostałe narzędzia
  10. Dodatki do przeglądarki
  11. Praca domowa
TYDZIEŃ 4
Rekonesans Aplikacji
  1. Powitanie
  2. Poznanie Logiki Biznesowej Aplikacji
  3. Architektura Aplikacji Webowej
  4. Instalacja podatnej aplikacji
  5. Źródło strony – Cenne informacje
  6. Ukryte funkcje i formularze
  7. Robots.txt
  8. Rozpoznanie komponentów aplikacji
  9. Verbose Error Messages
  10. Nikto
  11. Manualna nawigacja po aplikacji
  12. Automatyczne rozpoznanie aplikacji (Spidering/Crawler)
  13. Bruteforce ścieżek(dirb, DirBuster, Burp Intruder)
  14. Skanowanie Portów – Nmap
  15. WAF (Web Application Firewall) Definicja i rozpoznanie
  16. Praca domowa
TYDZIEŃ 5
Zarządzanie sesją i prawami dostępu
  1. Powitanie
  2. Authentication + Authorization
  3. Bruteforce i Metoda Słownikowa
  4. Burp Intruder – Metoda słownikowa
  5. Hydra – Metoda słownikowa
  6. Bezpieczne Cookiesy
  7. Badanie Mechanizmów Zarządzania Sesją
  8. Badanie Ról i Dostępów
  9. Privilege Escalation (Vertical, Horizontal)
  10. Insecure Direct Object References – zmiany na userze
  11. Insecure Direct Object References – Podgląd danych
  12. Forced Browsing
  13. Praca domowa
TYDZIEŃ 6
Cross-Site Scripting
  1. Powitanie
  2. Client Side vs Server Side
  3. Reflected Cross-Site Scripting
  4. Stored Cross-Site Scripting
  5. DOM Based Cross-Site Scripting
  6. HTML Injection
  7. Scenariusze ataków
  8. Wykradanie Sesji
  9. Kradzież danych ze strony
  10. Defacement
  11. Zabezpieczenia przeciwko XSS
  12. Praca domowa
TYDZIEŃ 7
SQL Injection
  1. Powitanie
  2. SQL Intro, Metadane, Silniki DB
  3. Szukanie SQL Injection
  4. Zbieranie informacji o bazie
  5. Exploitacja SQLi z pomocą Metadanych
  6. Crackowanie hash’y haseł
  7. SQLMap – Automatyzacja ataku
  8. Blind SQLi
  9. Time based SQLi
  10. Praca domowa
TYDZIEŃ 8
Podatności związane z XML
  1. Powitanie
  2. Budowa pliku XML i Encje
  3. XXE (XML External Entity) wariant lokalny
  4. XXE Out Of Band
  5. Remote Code Execution (RCE) przez XXE
  6. Billion laughs attack
  7. Praca domowa
TYDZIEŃ 9
Inne Podatności
  1. Powitanie
  2. Przygotowanie środowiska
  3. Local\Remote File Inclusion
  4. Arbitrary File Upload
  5. Path Traversal
  6. OS Command Injection
  7. CSRF (Cross Site Request Forgery)
  8. Open redirection
  9. Praca domowa
TYDZIEŃ 10
Security Headers
  1. Powitanie
  2. X-Frame-Options + Clickjacking
  3. Strict-Transport-Security
  4. CSP – Content Security Policy
  5. X-XSS-Protection
  6. X-Content-Type-Options
  7. Security Headers Tools
  8. Praca domowa
TYDZIEŃ 11
Raportowanie
  1. Powitanie
  2. CIA
  3. CVE
  4. CVSS
  5. Poszukiwanie znanych podatności
  6. Pentest – co warto wiedzieć przed
  7. Przykładowe Raporty
  8. Praca domowa
TYDZIEŃ 12
Co dalej?
  1. Powitanie
  2. Skąd czerpać wiedzę?
  3. CTF i Bug Bounty
  4. “Hackowanie” LinkedIn i CV
  5. Co dalej – grupa?
  6. Praca domowa

Co Dostajesz w Kursie?

3-miesięczny program kurs Testowanie Bezpieczeństwa Web Aplikacji

Live Call z Uczestnikami (6 spotkań)

Dożywotni dostęp do aktualizacji programu

Dożywotni dostęp do Grupy Wsparcia

Dostęp do autora kursu

Dużo wiedzy i zabawy 🙂

POKOCHAJ KURS LUB ZWRACAM CI PIENIĄDZE!

Przygotowałem materiały tak, aby dały 10x więcej wartości niż oczekujesz.

Ale rozumiem, że możesz mieć obawy i wątpliwości, dlatego biorę na siebie całe ryzyko Twojej decyzji. Daję Ci 30 dni GWARANCJI SATYSFAKCJI liczonej od momentu zakupu dostępu do kursu.

Masz 30 dni na przekonanie się, jak unikalna i wartościowa dla Ciebie będzie ta wiedza. Jeżeli z jakichś powodów poczujesz, że kurs jednak nie będzie dla Ciebie odpowiedni, to wystarczy, że napiszesz na adres maciej.kofel@szkolasecurity.pl i zwrócę Ci 100% Twojej wpłaty.

Dzięki za zainteresowanie.

Następna edycja rusza 16 grudnia.

Jeżeli chcesz kupić kurs na firmę i potrzebujesz proformy napisz do mnie: maciej.kofel@gmail.com

Zapisz się na Newsleter poniżej i bądź na bieżąco. Dostaniesz też darmowy ebook “15 podatności które możesz mieć w swojej aplikacji”

Najczęściej zadawane pytania

Kiedy rozpoczynają się zapisy, a kiedy się kończą?


Zapisy rozpoczynają się w poniedziałek 16.12.2019 o godzinie 20:30, a kończą się w piątek 20.09.2019 o godzinie 20:00.


Po tej dacie nie będzie można dołączyć do programu. Będzie można jednak zapisać się na listę oczekujących na otwarcie kolejnej edycji, która rozpocznie się kilka miesięcy później.

Czy mogę zakupić szkolenie na firmę (np z budżetu edukacyjnego)?

Oczywiście jest taka możliwość. Napisz wtedy do mnie, ja wystawię fakturę proforma.

d

Dlaczego nie mogę dołączyć w środku trwania programu?

Dlaczego nie mogę dołączyć w środku trwania programu?

Program zaprojektowany jest tak by wszyscy uczestnicy zaczęli w jednym momencie i równo szli z programem. Wtedy każda osoba wyciągnie z Kursu Testowania Bezpieczeństwa Web Aplikacji najwięcej.


Dzięki temu też mogę w pełni poświecić się pomocy uczestnikom kursu zamiast obsługiwać sprzedaż i zapisy przez cały czas jego trwania.


Czy cena kolejnej edycji wzrośnie?


Tak. Program kursu będzie dostosowywany do uczestników, ulepszany i poprawiany w trakcie kolejnych edycji.


W podzięce za zaufanie oraz pomoc, uczestnicy pierwszej edycji będą mogli nabyć Kurs Testowania Bezpieczeństwa Web Aplikacji w niższej cenie.


Kiedy rozpoczyna się program i jak długo trwa?


Program rozpoczyna się wtedy, gdy wykupisz do niego dostęp. Trwa 12 tygodni. Co tydzień otrzymujesz dostęp do kolejnego tygodnia. Dodajemy nowe materiały każdego tygodnia, aby Cię nie przytłoczyć i aby cała grupa przechodziła materiał w tym samym momencie.


W jakiej formie jest ten kurs?


Kurs jest w formie wideo publikowanych co tydzień. Nagrania zamieszczone są na platformie. Po podaniu loginu i hasła masz dostęp do swojego konta. Poza nagraniami wideo dostępne są pliki do pobrania (kod źródłowy, slajdy, pliki tekstowe, odnośniki do zewnętrznych materiałów, etc).


Jak długo będę mieć dostęp do materiałów kursu i grupy wsparcia?


Otrzymasz dożywotni (a raczej tak długo jak będzie istniał Kurs Testowania Bezpieczeństwa Web Aplikacji) dostęp do tej edycji kursu, wszystkich materiałów w niej zawartych oraz przyszłych aktualizacji. Po zakończonym kursie zatrzymasz również dostęp do zamkniętej grupy uczestników.


Dopiero zaczynam, czy kurs nie będzie za trudny?


Kurs został tak skonstruowany żeby osoby z minimalną wiedzą mogły z niego wyciągnąć jak najwięcej.


W razie wątpliwości możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będzie zbyt trudny, a ja zwrócę Ci pieniądze.


Mam już doświadczenie w pentestach web aplikacji, czy jest sens dołączać do kursu?


To też zależy. Przejrzyj proszę opis programu i zobacz, czy masz te tematy opanowane. Jeśli masz już duże doświadczenie z pentestami to pewnie ten kurs nie będzie dla Ciebie najlepszy. Niewykluczone, że w przyszłości będę robił kursy specjalistyczne, które dadzą Ci więcej wartości.


Jeśli nie masz pewności, możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będziesz się nudzić, a ja zwrócę Ci pieniądze.


Co, jeśli nie spodoba mi się kurs?


Jeżeli uznasz, że kurs nie jest dla Ciebie, to otrzymasz zwrot pieniędzy. Masz na to 30 dni od daty zakupu. Po prostu napisz na maciej.kofel@szkolasecurity.pl, a zwrócę Ci 100% pieniędzy.


Jak dołączyć do spotkań online?


O wszystkim dowiesz się w tygodniu 1 naszego kursu, gdzie wyjaśnię Ci dokładnie jak używać tego programu, aby wynieść z niego jak najwięcej.


Czy dostanę wszystkie materiały od razu?


Nie. Program trwa 12 tygodni. W każdym tygodniu otrzymasz nowe materiały, aby Cię nie przytłoczyć i aby cała grupa przechodziła materiał w tym samym momencie.


Czy otrzymam fakturę?


Tak, za zakup otrzymasz fakturę VAT. Faktura zostanie wysłana automatycznie na adres e-mail podany przy zamówieniu.


Czy mogę płacić w ratach?


Niestety nie. Obsługa płatności ratalnych jest zbyt skomplikowana przy większej ilości uczestników.


Proszę nie bierz kredytu na kurs. Jeśli czujesz, że jest dla Ciebie za drogi w tym momencie, zrezygnuj z zakupu w tej edycji.


Co, jeżeli mam z czymś problem lub coś jest niejasne?


Napisz do mnie na adres e-mail: maciej.kofel@szkolasecurity.pl

Copyright © 2018-2019 Maciej Kofel – Szkoła Security

Polityka Prywatności | Regulamin