Bezpieczeństwo aplikacji webowych - zabezpiecz dane i strony

Kwestia bezpieczeństwa aplikacji webowych lub stron WWW to temat, który staje się coraz bardziej popularny. Zarówno duże, jak i małe firmy stają się ofiarami ataków hakerów, a wyciek poufnych danych lub informacji może stanowić realne zagrożenie dla przedsiębiorstw.Jeżeli tworzysz lub zarządzasz aplikacją webową lub stroną WWW i chciałbyś wiedzieć, w jaki sposób odpowiednio ją zabezpieczyć, ten kurs jest właśnie dla Ciebie! Dowiesz się nie tylko tego, jak hakerzy przełamują zabezpieczenia aplikacji oraz jakie konsekwencje może to za sobą nieść, ale też jak skutecznie chronić swoją aplikację lub stronę WWW oraz dane klientów przed atakami.CO JEST ZAWARTE W KURSIE?poznasz SQL Injection oraz Command Injectiondowiesz się na czym polega niepoprawna obsługa uwierzytelniania i sesjiprzekonasz się czym grozi Clickjacking oraz ujawnienie poufnych danychopowiemy Ci o błędnej konfiguracji zabezpieczeń i kontroli dostępupoznasz XML External Entities (XXE) i Cross-Site Scripting (XSS)nauczysz się używać komponentów ze znanymi podatnościamiprzekonasz się czym grozi niewystarczające logowanie i monitorowaniepoznasz Cross-Site Request Forgery (CSRF, XSRF)dowiesz się czym jest niebezpieczna deserializacjaI wiele, wiele więcej!PODSTAWY KRYPROGRAFIIPierwszym tematem, który został poruszony w kursie, jest kryptografia. By wprowadzić Cię w zagadnienia związane z bezpieczeństwem aplikacji webowych i stron WWW dowiesz się o podstawowych algorytmach kryptograficznych. Przekonasz się: czym jest kryptografia symetryczna i asymetrycznaczym jest podpisywaniejak działają funkcje skrótu czy certyfikatypoznasz praktyczne przykłady ich użycia, nim przejdziemy do bardziej rozbudowanych zagadnieńOWASP TOP 10Główna część kursu poświęconego bezpieczeństwie aplikacji webowych i stron WWW oparta jest na liście OWASP Top 10 – czyli liście dziesięciu najczęściej występujących błędów w aplikacjach webowych. Lista ta powstała w 2017 roku i opiera się na rzeczywistych danych uzyskanych od firm, organizacji i osób zawodowo zajmujących się testowaniem zabezpieczeń. W kursie omówimy każdy z najpopularniejszych błędów - poznasz:praktyczne przykłady wykorzystania słabych punktów zabezpieczeńmetody działania hakerówdowiesz się, jak skutecznie chronić przed nimi aplikację lub stronę.Podatności zostaną w większości zaprezentowane w aplikacji napisanej specjalnie na potrzeby kursu, a na koniec każdego rozdziału aplikacja będzie poprawiana, a omawiane błędy - eliminowane.BŁĘDY TYPU INJECTION ORAZ NIEPOPRAWNA OBSŁUGA UWIERZYTELNIANIAW pierwszej kolejności w kursie omówione na praktycznych przykładach zostaną popularne błędy typu Injection, z SQL Injection na czele. Dowiesz się jak najczęściej wykorzystywane są przez hakerów tego typu błędy, co umożliwia im obejście uwierzytelniania oraz kradzież danych z aplikacji. Następnie omówione szczegółowo są błędy w implementacji uwierzytelniania i zarządzania sesjami użytkowników. Przekonasz się jak łatwo jest przejąć czyjąś sesję wtedy, gdy aplikacja nie stosuje podstawowych mechanizmów bezpieczeństwa. Po zapoznaniu się z tymi zagadnieniami dowiesz się, jak skutecznie uniknąć popełnienia tego typu błędów podczas zabezpieczania aplikacji lub strony WWW.UJAWNIENIE POUFNYCH DANYCH I INNE BŁĘDY Kolejne trzy kategorie również będą dość rozbudowane - pierwszą z nich jest ujawnienie poufnych danych. Poznasz praktyczne przykłady i wskazówki, by przekonać się na czym powinno polegać prawidłowe zabezpieczenie aplikacji przed wyciekiem danych. Następnie przejdziemy do błędu XXE, czyli XML External Entities. W rękach hakera błąd ten pozwala na otrzymanie dostępu do niemal dowolnego zasobu w sieci lokalnej, w której znajduje się serwer. Niesie to za sobą ogromne niebezpieczeństwo i przygotowując aplikację webową lub stronę WWW - należy odpowiednio ją przed nim zabezpieczyć. Następna kategoria dotyczy niepoprawnej kontroli dostępu. Na przykładzie kilku ataków, takich jak directory traversal czy wgranie web shella, poznasz mechanizm działania niepoprawnej kontroli dostępu i dowiesz się, jak projektować i pisać aplikację, by nie popełniać tego typu błędów.BŁĘDNA KONFIGURACJA ZABEZPIECZEŃ I XSS W kolejnych częściach kursu zapoznasz się ze wszelkiego rodzaju błędami związanymi z niepoprawną konfiguracją środowiska i serwerów, a także błędami XSS - Cross-Site Scripting. Dowiesz się więcej o:konfiguracji TLSpoznasz trzy rodzaje popularnej podatności XSS - Reflected XSS, Persistent XSS i DOM based XSSdowiesz się, jak nie dopuścić do ich wystąpienia w tworzonej przez Ciebie aplikacji webowej lub stronie WWWDESERIALIZACJA I WIĘCEJOstatnie trzy podatności, które znalazły się na rozbudowanej liście OWASP Top 10 to deserializacja, używanie komponentów ze znanymi podatnościami i niewystarczające logowanie oraz monitorowanie. Dowiesz się:jak przesyłając odpowiednio przygotowane dane wejściowe można uzyskać zdalne wykonanie kodu po stronie serwerajak przeciwdziałać takim atakomjakie ryzyko niosą za sobą błędy związane z brakiem kontroli nad używanymi, zewnętrznymi komponentami oraz niewystarczającym logowaniem działań użytkownikówBŁĘDY SPOZA LISTY OWASP TOP 10Co prawda - nie znalazły się na liście OWASP Top 10, lecz mimo tego - warto je poznać.Ich popularność stopniowo maleje w związku z rozwojem frameworków, lecz nadal istnieje ryzyko ich wykorzystania przez hakerów. Pierwszym z tych błędów jest błąd CSRF, umożliwiający wykonanie pewnych akcji w ramach sesji zalogowanego użytkownika. Drugi to Clickjacking, czyli błąd umożliwiający przechwycenia kliknięcia i wykonanie niechcianej akcji.Dla kogo jest ten kurs?W związku z tym, że temat bezpieczeństwa jest niezwykle aktualny, a po wejściu w życie nowej, majowej ustawy dotyczącej bezpieczeństwa danych stanie się tylko bardziej popularny - kurs jest doskonałym wyborem dla osób z wielu branży i specjalizacji. Niezależnie od tego, czy jesteś testerem, developerem lub po prostu chcesz poznać najnowsze wytyczne dotyczące bezpieczeństwa aplikacji webowych i stron WWW - znajdziesz w kursie aktualne i przydatne informacje. Ogólne informacje o podatnościach zainteresują każdego, a wiedza z kursu pozwoli na szybkie wykrywanie oraz naprawianie ewentualnych błędów. Kurs przeznaczony jest zarówno dla developerów jak i testerów aplikacji webowych. Do pełnego zrozumienia materiału zawartego w kursie przydatna będzie podstawowa wiedza o protokole HTTP, tworzeniu aplikacji webowych i programowaniu. Sama aplikacja demonstracyjna napisana jest w Javie, ale większość przykładów jest również dostępna w PHP. Opisywane błędy i techniki są zazwyczaj niezależne od języka i łatwe do zrozumienia przez każdego znającego podstawy programowania.

• poznasz SQL Injection oraz Command Injection
• dowiesz się czym jest Clickjacking oraz ujawnienie poufnych danych
• poznasz SML External Entities (XXE) i Cross-Site Scripting (XSS)
• przekonasz się czym grozi niewystarczające logowanie i monitorowanie
• zobaczysz czym jest niepoprawna obsługa uwierzytelniania i sesji
• opowiemy Ci czym jest łędna konfiguracja zabezpieczeń i kontroli dostępu
• nauczysz się używać komponentów ze znanymi podatnościami
• dowiesz się czym jest Cross-Site Request Forgery (CSRF, XSRF)
• nauczysz się chronić swoje aplikacje i strony przed atakami hakerów