Nauczę Cię jak testować bezpieczeństwo aplikacji webowych nawet jeżeli nigdy wcześniej tego nie robiłeś.

Kurs Testowanie Bezpieczeństwa Web Aplikacji Masters (w skrócie TBWAM) poprowadzi Cię przez cały proces testowania bezpieczeństwa aplikacji webowych.

Od postawienia środowiska (systemu Kali Linux), uruchomienia podatnej aplikacji, fazy rekonesansu aplikacji, poprzez badanie luk bezpieczeństwa (ponad 50) aż po napisanie pełnowartościowego raportu ze swoich działań.


Kurs niedługo w sprzedaży, zapisz się na listę oczekujących:

.

Co w kursie?

Poznasz system Kali Linux (najczęściej używany system w cybersecurity). Dowiesz się jak się po nim poruszać oraz jakie ma możliwości.

Zaznajomisz się z terminami i koncepcjami z dziedziny bezpieczeństwa przez co zrozumiesz o czym mówią specjaliści z tej dziedziny

W praktyce przetestujesz ponad 50 podatności (Cross Site Scripting, SQL injection, IDOR, Remote Code Execution, XML External Entity i wiele wiele innych), zrozumiesz je i dowiesz się jak wyszukiwać je w swoich projektach.

Zdobędziesz wiedzę z kryptografii (ten moduł prowadzony jest przez Marcina Karbowskiego, autora książki “Podstawy kryptografii”), przestanie to być “czarna magia”

Poznasz narzędzia (tool’e) używane podczas testowania bezpieczeństwa, dzięki którym zautomatyzujesz swoje testy bezpieczeństwa.

Nauczysz się jak powinien wyglądać dobrze napisany raport z pentestów. Za co podziękują Ci developerzy naprawiający znalezione przez Ciebie podatności.

Zobaczysz nagrania ze wspólnego pentestu prawdziwej aplikacji (nie jest to aplikacja treningowa) Od spotkania zapoznawczego (kick-off meeting) poprzez testowanie i pokazywanie znalezisk aż po spotkanie gdzie omawiamy raport końcowy. Nagrania ze spotkań z autorem aplikacji prowadzone są w języku angielskim, co też jest cenną lekcją.

Dodatkowo otrzymasz

Moduł dotyczący narzędzia OWASP ZAP, narzędzia do testowania bezpieczeństwa aplikacji webowych, Alternatywy popularnego (płatnego w komercyjnej wersji) Burp Suite.

Praktyczne wprowadzenie do dodatkowych narzędzi security, takich jak: Wireshark, Metasploit, Beef, OpenVas, Nessus, Nmap. Te narzędzia najczęściej przewijają się w ofertach pracy, dobrze więc znać ich możliwości.

Archiwum nagrań z Live Call’i z kursantami, ponad 20h materiałów (laby, przemyślenia, odpowiedzi na pytania)

Dodatkowo każdy kursant Szkoły Security

Dostaniesz dostęp do grupy na Facebook’u oraz kanału na Discord gdzie swobodnie zadasz pytania odnośnie kursu. Bez hejtu i w miłej, wspierającej atmosferze autorzy kursu (jak również kursanci) odpowiedzą na Twoje pytania.

Co miesiąc organizowane są spotkania Szkoły Security Online (na Zoom), gdzie możesz zadawać pytania na żywo oraz poznać różnych mentorów Szkoły Security

Co jakiś czas twórcy kursów spotykają się na żywo ze swoimi kursantami w bardzo luźnej atmosferze. Do tej pory odwiedziliśmy Warszawę, Wrocław, Kraków, Katowice, Poznań, Gdańsk.

Otrzymasz wsparcie w procesie rekrutacyjnym. Poprowadzimy Cię przez proces szukania pracy, omówimy co powinno znaleźć się w CV juniora (i nie tylko) oraz (jeżeli to będzie możliwe) skontaktujemy Cię z odpowiednimi osobami w firmie do której aplikujesz.

Opinie naszych kursantów:

Czy ten kurs jest dla mnie?

Chcesz uporządkować swoją wiedzę z testowania bezpieczeństwa.

Chcą nauczyć się przeprowadzać pentest prawdziwej aplikacji?

Chcesz zmienić swoją pracę i rozpocząć przygodę z IT Security.

Chcesz zdobyć umiejętności, które pozwolą na znalezienie najciekawszych podatności.

Chcesz nauczyć się narzędzi i technik do testowania bezpieczeństwa?

Chcesz się nauczyć hackować aplikacje webowe (i wykorzystać to do dobrych celów)?

Chcesz się nauczyć jak źli hackerzy hackują aplikację by potem pomóc zabezpieczać te aplikacje?

Chcesz nauczyć się narzędzi i technik do testowania bezpieczeństwa?

Czy “za dzieciaka” bawiłeś się w hackowanie?

Lekcje Demo

XSS to nie tylko popup z alert(1). Dzięki tej podatności możemy również wykradać informacje ze strony użytkownika, np nr karty kredytowej, adresy, nr pesel i inne wrażliwe dane. Zobacz wideo żeby wiedzieć jak to zrobić.

 Wideo z CVE w Elastic Search'u,  Directory Traversal i możliwość czytania plików na serwerze, ale w ciekawej formie...

Marcin, nasz spec od kryptografii pokazuje o co chodzi w szyfrowaniu asymetrycznym. Jeżeli jeszcze nie wiesz o co chodzi to tym bardziej musisz to zobaczyć. Przydatne póki nie wbiją komputery kwantowe i nie zrobią rozpierdziuchy 🙂

Kim są Twoi instruktorzy?

Maciej Kofel


Pentester, trener, autor. Od 2011 roku związany z branżą IT security.

Swoją karierę zaczynał pracując w działach takich jak Security Monitoring czy Vulnerability Management, gdzie poznawał stronę defensywną bezpieczeństwa. Z kolei w ostatnich kilku latach działa po stronie ofensywnej przeprowadzając testy penetracyjne aplikacji webowych i infrastruktury. W roli Pentestera szlifował swoje umiejętności w sektorze bankowym, w consultingu, a także w Software House.

W 2018 roku rozpoczął także działalność jako szkoleniowiec z dziedziny, która jest mu najlepiej znana, czyli testów penetracyjnych webaplikacji. Poprzez prowadzenie szkoleń może realizować od zawsze tkwiącą w nim chęć przekazywania wiedzy i pomagania innym. 

Marcin Karbowski


Kryptolog, programista, pasjonat bezpieczeństwa IT.

Autor dwukrotnie wznawianej książki “Podstawy kryptografii“, która kilkukrotnie znalazła się na liście bestsellerów wydawnictwa Helion. Aktualnie pracuje jako Specjalista ds Bezpieczeństwa Aplikacji Webowych w firmie DAZN.

Przedstawiam Kurs

Testowanie Bezpieczeństwa Web Aplikacji

16

Modułowy Kurs

Poznasz podstawy systemu Kali Linux oraz narzędzia potrzebne podczas testowania bezpieczeństwa.
Poznasz podatności związane z web aplikacjami. Dowiesz się jak je wykorzystać i wyeliminować.
Otrzymasz całą masę nagrań wideo i dodatkowych materiałów co tydzień.
Cotygodniowe zadania domowe pozwolą Ci przekuć teoretyczną wiedzę w konkretną praktykę.
Nigdy nie zostaniesz sam z materiałem, zawsze możesz liczyć na wsparcie prowadzącego i całej grupy
Otrzymasz odpowiedzi na pytania, oraz będziesz mieć możliwość pomagać innym, dzięki czemu lepiej przyswoisz wiedzę.
Razem z Tobą wielu uczestników rozpocznie kurs i w podobnym tempie będą przechodzić przez niego razem z Tobą.
Nawiążesz kontakt z grupą ludzi, którzy podobnie jak Ty chcą poznać tajniki testowania bezpieczeństwa web aplikacji.

Dostęp do grupy wsparcia

Bonusy

Będziesz mieć realny wpływ na program kursu. Nowe materiały będą dodawane i dostosowywane pod potrzeby Twoje i innych uczestników.
Dostęp do grupy wsparcia tak długo jak istnieć będzie ten kurs. Są tam też ludzie którzy już pracują w IT Sec.
Dostaniesz dostęp do materiałów i ich aktualizacji.
Dowiesz się jak dostosować swój profil na LinkedIn i CV, tak by rekruterzy oddzywali się do Ciebie.

Agenda Kursu

Moduł 1 Powitanie
  • Powitanie
  • Opis kursu
  • Wymagania – narzędzia itp
  • Jak studiować kurs
  • O instruktorze
  • Kwestie etyczne
  • Praca domowa
Moduł 2 Środowisko
  • Powitanie
  • Konfiguracja VirtualBox’a
  • Import Kali Linux
  • Clonowanie systemu
  • Budowa i obsługa Kali Linux + tipy dla początkujących
  • Nawigowanie w środowisku graficznym
  • Nawigowanie w konsoli
  • Ścieżki, edycja i zarządzanie plikami
  • Pomocne komendy
  • Szukanie plików (locate, find, which)
  • Instalacja i aktualizacja narzędzi
  • Praca domowa Bonus: root
Moduł 3 Podstawowe Narzędzia
  • Powitanie
  • Podstawy Sieci
  • Podstawy HTTP (GET vs POST)
  • Usługi (SSH, Apache)
  • netstat
  • netcat
  • Bind Shell, Reverse Shell
  • Przesyłanie Plików (nc, Apache, scp)
  • Burp Konfiguracja + Proxy + Target
  • Burp pozostałe narzędzia
  • Burp Scope
  • Burp oczami praktyka
  • Dodatki do przeglądarki
  • Praca domowa
Moduł 4 Rekonesans aplikacji
  • Powitanie
  • Poznanie Logiki Biznesowej Aplikacji
  • Architektura Aplikacji Webowej
  • Instalacja podatnej aplikacji
  • Źródło strony – Cenne informacje
  • Information disclosure on debug page (komentarze) - DEMO
  • Ukryte funkcje i formularze
  • Robots.txt
  • Source code disclosure via backup files - DEMO
  • Rozpoznanie komponentów aplikacji
  • Verbose Error Messages
  • Information disclosure in error messages – DEMO
  • Nikto
  • Manualna nawigacja po aplikacji
  • Automatyczne rozpoznanie aplikacji (Spidering/Crawler)
  • Bruteforce ścieżek(dirb, DirBuster, Burp Intruder)
  • Information disclosure in version control history (.git folder) - DEMO
  • Skanowanie Portów – Nmap
  • WAF (Web Application Firewall) Definicja i rozpoznanie
  • Praca domowa
Moduł 5 Zarządzanie Sesją i Prawami dostępu
  • Powitanie
  • Authentication + Authorization
  • Bruteforce i Metoda Słownikowa
  • Burp Intruder – Metoda słownikowa
  • Hydra – Metoda słownikowa
  • Bezpieczne Cookiesy
  • Badanie Mechanizmów Zarządzania Sesją
  • Badanie Ról i Dostępów
  • Privilege Escalation (Vertical, Horizontal)
  • Privilege Escalation - DEMO
  • Authentication bypass via information disclosure with TRACE method- DEMO
  • Insecure Direct Object References – zmiany na userze
  • Authorization Bypass - DEMO
  • Insecure Direct Object References – Podgląd danych
  • IDOR – Download File – DEMO
  • Forced Browsing
  • Praca domowa
Moduł 6 Cross-Site Scripting
  • Powitanie
  • Client Side vs Server Side
  • Reflected Cross-Site Scripting
  • Stored Cross-Site Scripting
  • DOM Based Cross-Site Scripting
  • HTML Injection
  • Scenariusze ataków
  • Wykradanie Sesji
  • Kradzież danych ze strony
  • Defacement
  • Zabezpieczenia przeciwko XSS
  • Praca domowa
Moduł 7 SQL Injection
  • Powitanie
  • SQL Intro, Metadane, Silniki DB
  • Szukanie SQL Injection
  • Zbieranie informacji o bazie
  • Exploitacja SQLi z pomocą Metadanych
  • Crackowanie hash’y haseł
  • SQLMap – Automatyzacja ataku
  • Blind SQLi
  • Time based SQLi
  • Praca domowa
Moduł 8 XML External Entity
  • Powitanie
  • Budowa pliku XML i Encje
  • XXE (XML External Entity) wariant lokalny
  • XXE Out Of Band
  • Remote Code Execution (RCE) przez XXE
  • Billion laughs attack
  • Praca domowa
Moduł 9 Ciekawe podatności
  • Powitanie
  • Przygotowanie środowiska
  • Local\Remote File Inclusion
  • Arbitrary File Upload
  • Path Traversal
  • OS Command Injection
  • CSRF (Cross Site Request Forgery)
  • Open redirection
  • Praca domowa
Moduł 10 Ciekawe podatności II
  • Powitanie
  • SSRF (Server Side Request Forgery)
  • SSTI (Server Side Template Injection)
  • Open Redirection
  • RFI (Remote File Inclusion)
  • Blind Command Injection
  • Race Condition
  • Mass Assignment
  • SQLi Second Order
  • Blind XSS(CrossSite Scripting)
  • Praca domowa
Moduł 11 Security Headers
  • Powitanie
  • X-Frame-Options + Clickjacking
  • Strict-Transport-Security
  • CSP - Content Security Policy
  • X-XSS-Protection
  • X-Content-Type-Options
  • Security Headers Tools
  • Praca domowa
Moduł 12 Kryptografia
  • Powitanie
  • Intro lab
  • Historia i podstawowe pojęcia
  • Szyfry blokowe
  • Szyfry strumieniowe
  • Szyfry asymetryczne
  • Hashe
  • Ochrona haseł w DB
  • DHE
  • Crypto Guidelines
  • Podsumowanie
Moduł 13 Raportowanie
  • Powitanie
  • CIA
  • CVE
  • CVSS
  • Poszukiwanie znanych podatności
  • Pentest – co warto wiedzieć przed
  • Przykładowe Raporty
  • Praca domowa
Moduł 14 Co dalej?
  • Powitanie
  • Skąd czerpać wiedzę?
  • CTF i Bug Bounty
  • "Hackowanie" LinkedIn i CV
  • Co dalej - grupa?
  • Praca domowa
BONUS - Dodatkowe Narzędzia
  • Powitanie
  • Środowisko
  • Metasploit – Baza danych
  • Metasploit – Troubleshooting
  • Metasploit – Podstawowe polecenia
  • Metasploit – Auxiliary
  • Metasploit – MSFvenom
  • Metasploit – Meterpreter
  • OpenVas – Instalacja i Scan
  • OpenVas – Wyniki
  • Nessus – Instalacja i Scan
  • Wireshark
  • Beef – Instalacja
  • Beef – Integracja z MSF
  • Nmap – Intro
  • Nmap – Host Discoveries
  • Nmap – Scan
  • Nmap – Scripts
  • Praca domowa
BONUS - OWASP ZAP
  • Instalacja
  • Konfiguracja Przeglądarki + Certyfikaty
  • Konfiguracja środowiska do testów
  • Spider
  • Request Editor
  • Fuzz
  • Active Scan
0

Lekcji które pokażą Ci jak przetestować aplikację

0

Godziny materiałów do wchłonięcia

0

Zadowolonych kursantów, chętnych do pomocy

Co Dostajesz w Kursie?

16 modułowy program Testowanie Bezpieczeństwa Web Aplikacji

Live Call z prowadzącym i uczestnikami (bez limitu)

Dostęp do aktualizacji programu

Dostęp do Grupy Wsparcia

Możliwość bezpośredniego kontaktu z autorem kursu

Ogrom zaoszczędzonego czasu i pieniędzy

POKOCHAJ KURS LUB ZWRACAM CI PIENIĄDZE!

Przygotowałem materiały tak, aby dały 10x więcej wartości niż oczekujesz.

Ale rozumiem, że możesz mieć obawy i wątpliwości, dlatego biorę na siebie całe ryzyko Twojej decyzji. Daję Ci 14 dni GWARANCJI SATYSFAKCJI liczonej od momentu zakupu dostępu do kursu.

Masz 14 dni na przekonanie się, jak unikalna i wartościowa dla Ciebie będzie ta wiedza. Jeżeli z jakichś powodów poczujesz, że kurs jednak nie będzie dla Ciebie odpowiedni, to wystarczy, że napiszesz na adres maciej.kofel@szkolasecurity.pl i zwrócę Ci 100% Twojej wpłaty.

Najczęściej zadawane pytania


Czy muszę być na bieżąco z materiałem przez 12 kolejnych tygodni trwania kursu?

Absolutnie nie. Kurs robisz wtedy kiedy Ci pasuje. Został on podzielony na poszczególne tygodnie po to żeby nie zarzucić Cie materiałem.

Firma sponsoruje mi zakup kursu. Co zrobić?

Napisz do mnie (maciej.kofel@szkolasecurity.pl) i napisz co potrzebujesz. Jeżeli firma potrzebuje faktury proforma, daj znać.

Kiedy rozpoczyna się program i jak długo trwa?


Program rozpoczyna się wtedy, gdy wykupisz do niego dostęp. Program składa się z 12 modułów i z doświadczenia najwięcej wyniesiesz jeżeli będziesz robić jeden moduł na tydzień. Jest to sprawdzony model i przez to nie zostaniesz przygnieciony ilością wiedzy.

W jakiej formie jest ten kurs?


Kurs jest w formie wideo. Nagrania zamieszczone są na platformie. Po podaniu loginu i hasła masz dostęp do swojego konta. Poza nagraniami wideo dostępne są pliki do pobrania (kod źródłowy, slajdy, pliki tekstowe, odnośniki do zewnętrznych materiałów, etc).


Jak długo będę mieć dostęp do materiałów programu i grupy wsparcia?


Otrzymasz nielimitowany(a raczej tak długo jak będzie istniał Kurs Testowania Bezpieczeństwa Web Aplikacji) dostęp do tej edycji kursu, wszystkich materiałów w niej zawartych oraz przyszłych aktualizacji. Po zakończonym programie zatrzymasz również dostęp do zamkniętej grupy uczestników.


Dopiero zaczynam, czy kurs nie będzie za trudny?


Kurs został tak skonstruowany żeby osoby z minimalną wiedzą mogły z niego wyciągnąć jak najwięcej.


W razie wątpliwości możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będzie zbyt trudny, a ja zwrócę Ci pieniądze.


Mam już doświadczenie w pentestach web aplikacji, czy jest sens dołączać do kursu?


To też zależy. Przejrzyj proszę opis programu i zobacz, czy masz te tematy opanowane. Jeśli masz już duże doświadczenie z pentestami to pewnie ten kurs nie będzie dla Ciebie najlepszy. Niewykluczone, że w przyszłości będę robił kursy specjalistyczne, które dadzą Ci więcej wartości.


Jeśli nie masz pewności, możesz dołączyć do kursu i zrezygnować w ciągu miesiąca, jeśli będziesz się nudzić, a ja zwrócę Ci pieniądze.


Co, jeśli nie spodoba mi się kurs?


Jeżeli uznasz, że kurs nie jest dla Ciebie, to otrzymasz zwrot pieniędzy. Masz na to 14 dni od daty zakupu. Po prostu napisz na maciej.kofel@szkolasecurity.pl, a zwrócę Ci 100% pieniędzy.


Jak dołączyć do spotkań online?


O wszystkim dowiesz się w tygodniu 1 naszego kursu, gdzie wyjaśnię Ci dokładnie jak używać tego programu, aby wynieść z niego jak najwięcej.


Czy dostanę wszystkie materiały od razu?


W tej edycji sprawdzam podejście w którym dostęp do całości będzie od razu. Natomiast zawsze proponuje żeby robić 1 moduł tygodniowo.

Co miesiąc odbywają się też Live Call'e Szkoła Security Online gdzie uczestnicy mogą zadawać pytania. Ja też od czasu do czasu pokazuje ciekawe rzeczy 🙂


Czy otrzymam fakturę?


Tak, za zakup otrzymasz fakturę VAT. Faktura zostanie wysłana automatycznie na adres e-mail podany przy zamówieniu.


Czy mogę płacić w ratach?


Dostawca płatności PayU wprowadził taką możliwość (przy płatności należy wybrać PayU a potem 10 rat 0%)


Co, jeżeli mam z czymś problem lub coś jest niejasne?


Napisz do mnie na adres e-mail: maciej.kofel@szkolasecurity.pl


Copyright © 2019-2022 Maciej Kofel – Szkoła Security

Polityka Prywatności | Regulamin