Testowanie Bezpieczeństwa Web Aplikacji

Naucz się testować bezpieczeństwo aplikacji Webowych, wyróżnij się na tle innych osób na rynku, zdobądź świetną pracę, podwyżkę lub awans!


Zapisy zamknięte. Wracamy na jesień.Jeżeli chcesz otrzymywać informację na temat tego kursu zapisz się na mail listę poniżej:

.

Maciej Kofel

Pentester, trener, autor. Od 7 lat związany z branżą IT security.

Swoją karierę zaczynał pracując w działach takich jak Security Monitoring czy Vulnerability Management, gdzie poznawał stronę defensywną bezpieczeństwa. Z kolei w ostatnich kilku latach działa po stronie ofensywnej przeprowadzając testy penetracyjne aplikacji webowych i infrastruktury. W roli Pentestera szlifował swoje umiejętności w sektorze bankowym, w consultingu, a także w Software House.

W 2018 roku rozpoczął także działalność jako szkoleniowiec z dziedziny, która jest mu najlepiej znana, czyli testów penetracyjnych webaplikacji. Poprzez prowadzenie szkoleń może realizować od zawsze tkwiącą w nim chęć przekazywania wiedzy i pomagania innym. 

Co o kursie mówią nasi studenci?

Co o kursie mówią nasi studenci?

Testowanie Bezpieczeństwa Web Aplikacji

12 Tygodniowy Kurs

Poznasz podstawy systemu Kali Linux oraz narzędzia potrzebne przy testach bezpieczeństwa.
Poznasz podatności związane z web aplikacjami. Dowiesz się jak je wykorzystać i wyeliminować.
Otrzymasz całą masę nagrań wideo i dodatkowych materiałów co tydzień.
Cotygodniowe zadania domowe pozwolą Ci przekuć teoretyczną wiedzę w konkretną praktykę.

Dostęp do grupy wsparcia

Nigdy nie zostaniesz sam z materiałem, zawsze możesz liczyć na wsparcie prowadzącego i całej grupy
Otrzymasz odpowiedzi na pytania, oraz będziesz mieć możliwość pomagać innym, dzięki czemu lepiej przyswoisz wiedzę.
Razem z Tobą wielu uczestników rozpocznie kurs i w podobnym tempie będą przechodzić przez niego razem z Tobą.
Nawiążesz kontakt z grupą ludzi, którzy podobnie jak Ty chcą poznać tajniki testowania bezpieczeństwa web aplikacji.

Bonusy

Będziesz mieć realny wpływ na program kursu. Nowe materiały będą dodawane i dostosowywane pod potrzeby Twoje i innych uczestników.
Dostęp do grupy wsparcia tak długo jak istnieć będzie ten kurs.
Dostaniesz dożywotni dostęp do materiałów i ich aktualizacji.
Dowiesz się jak dostosować swój profil na LinkedIn i CV, tak by rekruterzy oddzywali się do Ciebie.

Agenda

TYDZIEŃ 1
Plan Gry
  1. Powitanie
  2. Opis kursu
  3. Wymagania – narzędzia itp
  4. Jak studiować kurs
  5. O instruktorze
  6. Kwestie etyczne
  7. Praca domowa
TYDZIEŃ 2
Środowisko Pracy
  1. Powitanie
  2. Konfiguracja VirtualBox’a, Import Kali Linux, Clonowanie systemu
  3. Budowa i obsługa Kali Linux + tipy dla początkujących
  4. Nawigowanie w środowisku graficznym
  5. Nawigowanie w konsoli
  6. Ścieżki, edycja i zarządzanie plikami
  7. Pomocne komendy
  8. Szukanie plików (locate, find, which)
  9. Instalacja i aktualizacja narzędzi
  10. Praca domowa
  11. Bonus: root
TYDZIEŃ 3
Podstawowe Narzędzia
  1. Powitanie
  2. Podstawy Sieci
  3. Podstawy HTTP (GET vs POST)
  4. Usługi (SSH, Apache)
  5. netstat
  6. netcat
  7. Bind Shell, Reverse Shell
  8. Przesyłanie Plików (nc, Apache, scp)
  9. Burp Konfiguracja + Proxy + Target
  10. Burp pozostałe narzędzia
  11. Burp Scope
  12. Burp oczami praktyka
  13. Dodatki do przeglądarki
  14. Praca domowa
TYDZIEŃ 4
Rekonesans Aplikacji
  1. Powitanie
  2. Poznanie Logiki Biznesowej Aplikacji
  3. Architektura Aplikacji Webowej
  4. Instalacja podatnej aplikacji
  5. Źródło strony – Cenne informacje
  6. Ukryte funkcje i formularze
  7. Robots.txt
  8. Rozpoznanie komponentów aplikacji
  9. Verbose Error Messages
  10. Nikto
  11. Manualna nawigacja po aplikacji
  12. Automatyczne rozpoznanie aplikacji (Spidering/Crawler)
  13. Bruteforce ścieżek(dirb, DirBuster, Burp Intruder)
  14. Skanowanie Portów – Nmap
  15. WAF (Web Application Firewall) Definicja i rozpoznanie
  16. Praca domowa
TYDZIEŃ 5
Zarządzanie sesją i prawami dostępu
  1. Powitanie
  2. Authentication + Authorization
  3. Bruteforce i Metoda Słownikowa
  4. Burp Intruder – Metoda słownikowa
  5. Hydra – Metoda słownikowa
  6. Bezpieczne Cookiesy
  7. Badanie Mechanizmów Zarządzania Sesją
  8. Badanie Ról i Dostępów
  9. Privilege Escalation (Vertical, Horizontal)
  10. Privilege Escalation - DEMO
  11. Insecure Direct Object References – zmiany na userze
  12. Authorization Bypass - DEMO
  13. Insecure Direct Object References – Podgląd danych
  14. IDOR – Download File – DEMO
  15. Forced Browsing
  16. Praca domowa
TYDZIEŃ 6
Cross-Site Scripting
  1. Powitanie
  2. Client Side vs Server Side
  3. Reflected Cross-Site Scripting
  4. Stored Cross-Site Scripting
  5. DOM Based Cross-Site Scripting
  6. HTML Injection
  7. Scenariusze ataków
  8. Wykradanie Sesji
  9. Kradzież danych ze strony
  10. Defacement
  11. Zabezpieczenia przeciwko XSS
  12. Praca domowa
TYDZIEŃ 7
SQL Injection
  1. Powitanie
  2. SQL Intro, Metadane, Silniki DB
  3. Szukanie SQL Injection
  4. Zbieranie informacji o bazie
  5. Exploitacja SQLi z pomocą Metadanych
  6. Crackowanie hash’y haseł
  7. SQLMap – Automatyzacja ataku
  8. Blind SQLi
  9. Time based SQLi
  10. Praca domowa
TYDZIEŃ 8
Podatności związane z XML
  1. Powitanie
  2. Budowa pliku XML i Encje
  3. XXE (XML External Entity) wariant lokalny
  4. XXE Out Of Band
  5. Remote Code Execution (RCE) przez XXE
  6. Billion laughs attack
  7. Praca domowa
TYDZIEŃ 9
Inne Podatności
  1. Powitanie
  2. Przygotowanie środowiska
  3. Local\Remote File Inclusion
  4. Arbitrary File Upload
  5. Path Traversal
  6. OS Command Injection
  7. CSRF (Cross Site Request Forgery)
  8. Open redirection
  9. Praca domowa
TYDZIEŃ 10
Security Headers
  1. Powitanie
  2. X-Frame-Options + Clickjacking
  3. Strict-Transport-Security
  4. CSP - Content Security Policy
  5. X-XSS-Protection
  6. X-Content-Type-Options
  7. Security Headers Tools
  8. Praca domowa
TYDZIEŃ 11
Raportowanie
  1. Powitanie
  2. CIA
  3. CVE
  4. CVSS
  5. Poszukiwanie znanych podatności
  6. Pentest – co warto wiedzieć przed
  7. Przykładowe Raporty
  8. Praca domowa
TYDZIEŃ 12
Co dalej?
  1. Powitanie
  2. Skąd czerpać wiedzę?
  3. CTF i Bug Bounty
  4. "Hackowanie" LinkedIn i CV
  5. Co dalej - grupa?
  6. Praca domowa

Co Dostajesz w Kursie?

3-miesięczny program kurs Testowanie Bezpieczeństwa Web Aplikacji

Live Call z Uczestnikami (6 spotkań)

Dożywotni dostęp do aktualizacji programu

Dożywotni dostęp do Grupy Wsparcia

Dostęp do autora kursu

Dużo wiedzy i zabawy 🙂

POKOCHAJ KURS LUB ZWRACAM CI PIENIĄDZE!

Przygotowałem materiały tak, aby dały 10x więcej wartości niż oczekujesz.

Ale rozumiem, że możesz mieć obawy i wątpliwości, dlatego biorę na siebie całe ryzyko Twojej decyzji. Daję Ci 30 dni GWARANCJI SATYSFAKCJI liczonej od momentu zakupu dostępu do kursu.

Masz 30 dni na przekonanie się, jak unikalna i wartościowa dla Ciebie będzie ta wiedza. Jeżeli z jakichś powodów poczujesz, że kurs jednak nie będzie dla Ciebie odpowiedni, to wystarczy, że napiszesz na adres maciej.kofel@szkolasecurity.pl i zwrócę Ci 100% Twojej wpłaty.

Zapisy zamknięte. Wracamy na jesień.Jeżeli chcesz otrzymywać informację na temat tego kursu zapisz się na mail listę poniżej:

.

Najczęściej zadawane pytania


Czy muszę być na bieżąco z materiałem przez 12 tygodni trwania kursu?

Absolutnie nie. Kurs robisz wtedy kiedy Ci pasuje. Został on podzielony na poszczególne tygodnie po to żeby nie zarzucić Cie materiałem.

Dlaczego nie mogę dołączyć w środku trwania programu?

Program zaprojektowałem tak żeby podczas jego trwania być jak najbardziej dostępnym dla uczestników. Tak żeby każdy uczestnik mógł wyciągnąć z Kursu Testowania Bezpieczeństwa Web Aplikacji jak najwięcej. Dzięki temu też mogę w pełni poświecić się pomocy uczestnikom kursu zamiast obsługiwać sprzedaż i zapisy przez cały czas jego trwania.

Firma sponsoruje mi zakup kursu. Co zrobić?

Napisz do mnie (maciej.kofel@szkolasecurity.pl) i napisz co potrzebujesz. Jeżeli firma potrzebuje faktury proforma, daj znać.

Kiedy rozpoczyna się program i jak długo trwa?


Program rozpoczyna się wtedy, gdy wykupisz do niego dostęp. Program składa się z 12 modułów i z doświadczenia najwięcej wyniesiesz jeżeli będziesz robić jeden moduł na tydzień. Jest to sprawdzony model i przez to nie zostaniesz przygnieciony ilością wiedzy.

W jakiej formie jest ten kurs?


Kurs jest w formie wideo. Nagrania zamieszczone są na platformie. Po podaniu loginu i hasła masz dostęp do swojego konta. Poza nagraniami wideo dostępne są pliki do pobrania (kod źródłowy, slajdy, pliki tekstowe, odnośniki do zewnętrznych materiałów, etc).


Jak długo będę mieć dostęp do materiałów programu i grupy wsparcia?


Otrzymasz dożywotni (a raczej tak długo jak będzie istniał Kurs Testowania Bezpieczeństwa Web Aplikacji) dostęp do tej edycji kursu, wszystkich materiałów w niej zawartych oraz przyszłych aktualizacji. Po zakończonym programie zatrzymasz również dostęp do zamkniętej grupy uczestników.


Dopiero zaczynam, czy kurs nie będzie za trudny?


Kurs został tak skonstruowany żeby osoby z minimalną wiedzą mogły z niego wyciągnąć jak najwięcej.


W razie wątpliwości możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będzie zbyt trudny, a ja zwrócę Ci pieniądze.


Mam już doświadczenie w pentestach web aplikacji, czy jest sens dołączać do kursu?


To też zależy. Przejrzyj proszę opis programu i zobacz, czy masz te tematy opanowane. Jeśli masz już duże doświadczenie z pentestami to pewnie ten kurs nie będzie dla Ciebie najlepszy. Niewykluczone, że w przyszłości będę robił kursy specjalistyczne, które dadzą Ci więcej wartości.


Jeśli nie masz pewności, możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będziesz się nudzić, a ja zwrócę Ci pieniądze.


Co, jeśli nie spodoba mi się kurs?


Jeżeli uznasz, że kurs nie jest dla Ciebie, to otrzymasz zwrot pieniędzy. Masz na to 30 dni od daty zakupu. Po prostu napisz na maciej.kofel@szkolasecurity.pl, a zwrócę Ci 100% pieniędzy.


Jak dołączyć do spotkań online?


O wszystkim dowiesz się w tygodniu 1 naszego kursu, gdzie wyjaśnię Ci dokładnie jak używać tego programu, aby wynieść z niego jak najwięcej.


Czy dostanę wszystkie materiały od razu?


W tej edycji sprawdzam podejście w ktorym dostęp do całości będzie od razu. Natomiast zawsze proponuje żeby robić 1 moduł tygodniowo.

Co dwa tygodnie odbywają się też Live Call'e gdzie uczestnicy mogą zadawać pytania. Ja też od czasu do czasu pokazuje ciekawe rzeczy 🙂


Czy otrzymam fakturę?


Tak, za zakup otrzymasz fakturę VAT. Faktura zostanie wysłana automatycznie na adres e-mail podany przy zamówieniu.


Czy mogę płacić w ratach?


Dostawca płatności tpay wprowadził taką możliwość ale jest to całkowicie poza moją działalnością. Żeby dowiedzieć się jak to działa zapraszam na stronę tpay.com


Co, jeżeli mam z czymś problem lub coś jest niejasne?


Napisz do mnie na adres e-mail: maciej.kofel@szkolasecurity.pl

Copyright © 2018-2019 Maciej Kofel – Szkoła Security

Polityka Prywatności | Regulamin