Masz już konto? Zaloguj się

Kurs Bezpieczeństwo Aplikacji Webowych

Kwestia bezpieczeństwa aplikacji webowych lub stron WWW to temat, który staje się coraz bardziej popularny. Zarówno duże, jak i małe firmy stają się ofiarami ataków hakerów, a wyciek poufnych danych lub informacji może stanowić realne zagrożenie dla przedsiębiorstw. Dlatego jeżeli tworzysz lub zarządzasz aplikacją webową lub stroną WWW i chciałbyś wiedzieć, w jaki sposób odpowiednio ją zabezpieczyć, ten kurs jest właśnie dla Ciebie! Dowiesz się z niego nie tylko tego, jak hakerzy przełamują zabezpieczenia aplikacji oraz jakie konsekwencje może to za sobą nieść, ale też jak skutecznie chronić swoją aplikację lub stronę WWW oraz dane klientów przed atakami.

49 lekcji

8h 16min

5 (2 oceny)

Bezpieczeństwo Aplikacji Webowych - w Praktyce

Kwestia bezpieczeństwa aplikacji webowych lub stron WWW to temat, który staje się coraz bardziej popularny. Zarówno duże, jak i małe firmy stają się ofiarami ataków hakerów, a wyciek poufnych danych lub informacji może stanowić realne zagrożenie dla przedsiębiorstw. Dlatego jeżeli tworzysz lub zarządzasz aplikacją webową lub stroną WWW i chciałbyś wiedzieć, w jaki sposób odpowiednio ją zabezpieczyć, ten kurs jest właśnie dla Ciebie! Dowiesz się z niego nie tylko tego, jak hakerzy przełamują zabezpieczenia aplikacji oraz jakie konsekwencje może to za sobą nieść, ale też jak skutecznie chronić swoją aplikację lub stronę WWW oraz dane klientów przed atakami.

Podstawy kryptografii

Pierwszym tematem, który został poruszony w kursie, jest kryptografia. By wprowadzić Cię w zagadnienia związane z bezpieczeństwem aplikacji webowych i stron WWW dowiesz się o podstawowych algorytmach kryptograficznych. Przekonasz się czym jest kryptografia symetryczna, asymetryczna, podpisywanie, funkcje skrótu czy certyfikaty. Poznasz również praktyczne przykłady ich użycia, nim przejdziemy do bardziej rozbudowanych zagadnień.

OWASP Top 10

Główna część kursu poświęconego bezpieczeństwie aplikacji webowych i stron WWW oparta jest na liście OWASP Top 10 – czyli liście dziesięciu najczęściej występujących błędów w aplikacjach webowych. Lista ta powstała w 2017 roku i opiera się na rzeczywistych danych uzyskanych od firm, organizacji i osób zawodowo zajmujących się testowaniem zabezpieczeń. W kursie omówimy każdy z najpopularniejszych błędów - poznasz praktyczne przykłady wykorzystania słabych punktów zabezpieczeń, metody działania hakerów i dowiesz się, jak skutecznie chronić przed nimi aplikację lub stronę. Co ważne, w większości przypadków, podatności zostaną zaprezentowane w aplikacji napisanej specjalnie na potrzeby kursu. Na koniec każdego rozdziału aplikacja będzie poprawiana, a omawiane błędy - eliminowane.

Błędy typu Injection oraz niepoprawna obsługa uwierzytelniania

W pierwszej kolejności w kursie omówione na praktycznych przykładach zostaną popularne błędy typu Injection, z SQL Injection na czele. Dowiesz się jak najczęściej wykorzystywane są przez hakerów tego typu błędy, co umożliwia im obejście uwierzytelniania oraz kradzież danych z aplikacji. Następnie omówione szczegółowo są błędy w implementacji uwierzytelniania i zarządzania sesjami użytkowników. Przekonasz się jak łatwo jest przejąć czyjąś sesję wtedy, gdy aplikacja nie stosuje podstawowych mechanizmów bezpieczeństwa. Po zapoznaniu się z tymi zagadnieniami dowiesz się, jak skutecznie uniknąć popełnienia tego typu błędów podczas zabezpieczania aplikacji lub strony WWW.

Ujawnienie poufnych danych i inne błędy

Kolejne trzy kategorie również będą dość rozbudowane. Pierwszą z nich jest ujawnienie poufnych danych. Poznasz praktyczne przykłady i wskazówki, by przekonać się na czym powinno polegać prawidłowe zabezpieczenie aplikacji przed wyciekiem danych. Następnie przejdziemy do błędu XXE, czyli XML External Entities. W rękach hakera błąd ten pozwala na otrzymanie dostępu do niemal dowolnego zasobu w sieci lokalnej, w której znajduje się serwer. Niesie to za sobą ogromne niebezpieczeństwo i przygotowując aplikację webową lub stronę WWW - należy odpowiednio ją przed nim zabezpieczyć. Następna, piąta już kategoria dotyczy niepoprawnej kontroli dostępu. Na przykładzie kilku ataków, takich jak directory traversal czy wgranie web shella, poznasz mechanizm działania niepoprawnej kontroli dostępu i dowiesz się, jak projektować i pisać aplikację, by nie popełniać tego typu błędów.

Błędna konfiguracja zabezpieczeń i XSS

W kolejnych częściach kursu zapoznasz się ze wszelkiego rodzaju błędami związanymi z niepoprawną konfiguracją środowiska i serwerów, a także błędami XSS - Cross-Site Scripting. Dowiesz się więcej o konfiguracji TLS i poznasz trzy rodzaje popularnej podatności XSS - Reflected XSS, Persistent XSS i DOM based XSS. Po zapoznaniu się z mechanizmem wykorzystywania takich błędów dowiesz się, jak nie dopuścić do ich wystąpienia w tworzonej przez Ciebie aplikacji webowej lub stronie WWW.

Deserializacja, używanie komponentów ze znanymi podatnościami i niewystarczające logowanie

Ostatnie trzy podatności, które znalazły się na rozbudowanej liście OWASP Top 10 to deserializacja, używanie komponentów ze znanymi podatnościami i niewystarczające logowanie oraz monitorowanie. Dowiesz się jak przesyłając odpowiednio przygotowane dane wejściowe można uzyskać zdalne wykonanie kodu po stronie serwera, oraz, oczywiście, jak przeciwdziałać takim atakom. Przekonasz się też jakie ryzyko niosą za sobą błędy związane z brakiem kontroli nad używanymi, zewnętrznymi komponentami oraz niewystarczającym logowaniem działań użytkowników.

Błędy spoza listy OWASP Top 10

znalazły się na liście OWASP Top 10, lecz mimo tego - warto je poznać. Ich popularność stopniowo maleje w związku z rozwojem frameworków, lecz nadal istnieje ryzyko ich wykorzystania przez hakerów. Pierwszym z tych błędów jest błąd CSRF, umożliwiający wykonanie pewnych akcji w ramach sesji zalogowanego użytkownika. Drugi to Clickjacking, czyli błąd umożliwiający przechwycenia kliknięcia i wykonanie niechcianej akcji.

Dla kogo jest ten kurs?

W związku z tym, że temat bezpieczeństwa jest niezwykle aktualny, a po wejściu w życie nowej, majowej ustawy dotyczącej bezpieczeństwa danych stanie się tylko bardziej popularny - kurs jest doskonałym wyborem dla osób z wielu branży i specjalizacji. Niezależnie od tego, czy jesteś testerem, developerem lub po prostu chcesz poznać najnowsze wytyczne dotyczące bezpieczeństwa aplikacji webowych i stron WWW - znajdziesz w kursie aktualne i przydatne informacje. Ogólne informacje o podatnościach zainteresują każdego, a wiedza z kursu pozwoli na szybkie wykrywanie oraz naprawianie ewentualnych błędów. Kurs przeznaczony jest zarówno dla developerów jak i testerów aplikacji webowych. Zawarte w nim informacje pomogą zrozumieć i poznać najczęstsze problemy związane z bezpieczeństwem aplikacji webowych. Testerzy znajdą w nim wiele praktycznych informacji o tym jak wykrywać błędy bezpieczeństwa. Developerzy z kolei dowiedzą się jak je naprawiać i jak zabezpieczać swoje aplikacje.

Czego się nauczysz?

  • SQL Injection oraz Command Injection

  • Niepoprawna obsluga uwierzytelniania i sesji

  • Clickjacking oraz ujawnienie poufnych danych

  • Bledna konfiguracja zabezpieczen i kontroli dostepu

  • XML External Entities (XXE) i Cross-Site Scripting (XSS)

  • Uzywanie komponentów ze znanymi podatnosciami

  • Niewystarczajace logowanie i monitorowanie

  • Cross-Site Request Forgery (CSRF, XSRF)

  • Niebezpieczna deserializacja

  • I wiele, wiele wiecej!

Zawartość

Bezpieczeństwo Aplikacji Webowych

14 rozdziały 49 lekcji 8h 16min

  • Wstęp do kursu

    16min

    Wprowadzenie

    Podgląd lekcji

    6min

    Środowisko

    10min

  • Błędy typu Injection

    1h

    Czym jest SQL Injection

    8min

    Pobieranie poufnych danych

    Podgląd lekcji

    15min

    Parameters binding

    9min

    Inne techniki

    8min

    Przykłady SQL Injection

    8min

    Command Injection

    12min

  • Niepoprawna obsługa uwierzytelniania i sesji

    49min

    Niepoprawna obsługa sesji

    16min

    Przejmowanie sesji użytkownika

    8min

    Zabezpieczanie sesji

    23min

    Praktyczne przykłady z uwierzytelnianiem

    3min

  • Przejmowanie poufnych danych

    35min

    Ujawnienie poufnych danych

    6min

    Atak sslstrip

    14min

    Sposoby zabezpieczeń

    8min

    Przykłady ataków i zabezpieczeń

    7min

  • XML External Entities (XXE)

    20min

    Omówienie błędu

    13min

    Ochrona i przykłady z życia

    8min

  • Niepoprawna kontrola dostępu

    39min

    Niepoprawna kontrola dostępu

    21min

    Błędy związane z wgrywaniem plików

    13min

    Przykłady z kontrolą dostępu

    5min

  • Konfiguracja zabezpieczeń

    30min

    Błędna konfiguracja zabezpieczeń

    12min

    Problemy z TLS

    13min

    Przykłady z konfiguracją zabezpieczeń

    4min

  • Cross-Site Scripting (XSS)

    1h 4min

    Wprowadzenie do Cross-Site Scripting

    19min

    Zapobieganie atakom

    19min

    Content Security Policy (CSP)

    18min

    Przykłady XSS

    Podgląd lekcji

    9min

  • Niebezpieczna deserializacja

    42min

    Omówienie deserialziacji

    9min

    Deserializacja w Javie

    11min

    Zapobieganie deserializacji w Javie

    10min

    Deserializacja w PHP

    6min

    Przykłady z deserializacją

    6min

  • Używanie komponentów oraz inne problemy

    31min

    Komponenty ze znanymi podatnościami

    16min

    Przykłady z życia

    7min

    Niewystarczające logowanie i monitorowanie

    8min

  • Cross-Site Request Forgery (CSRF)

    39min

    Wstęp do CSRF

    16min

    Ochrona przed CSRF

    14min

    Przykłady CSRF w praktyce

    8min

  • Clickjacking

    17min

    Czym jest Clickjacking

    7min

    Ochrona przed Clickjackingiem

    8min

    Przykład wykorzystania Clickjackingu

    2min

  • Podstawy kryptografii

    55min

    Kryptografia symetryczna

    12min

    Kryptograficzna funkcja skrótu Hash

    9min

    Hash a przykłady

    8min

    Kryptografia klucza publicznego (asymetryczna)

    7min

    Asymetryczna kryptografia cz. 2

    10min

    Certyfikat klucza publicznego

    9min

  • Podsumowanie

    1min

    Zakończenie

    1min

Autor kursu

Grzegorz Goławski

Średnia ocen autora: 5

Bio
Od ponad 10 lat zawodowo zajmuje się projektowaniem i tworzeniem aplikacji webowych w Javie. Od kilku lat działa również w obszarze security i prowadzi warsztaty z bezpieczeństwa aplikacji webowych.

Zwolennik projektów open-source i Linuksa.
Inne kursy tego autora
Bezpieczeństwo Aplikacji Webowych

Dołącz do ponad 10 tys. zadowolonych z naszych kursów

Bardzo dobry kurs :)

Marek Piotrowski

24 września 2021

Mateusz Stefanowicz

27 czerwca 2023

Kurs Bezpieczeństwo Aplikacji Webowych

  • 49 lekcji wideo

  • 8h 16min materiału

  • Ostatnia rewizja 26.05.2020

  • Certyfikat w ramach ścieżek

  • Dostęp z urządzeń mobilnych

Dlaczego wybrać właśnie ten kurs?

Efektywna nauka

Kurs wideo to najbardziej efektywna a zarazem najprzyjemniejsza forma nauki. Jest on tak prowadzony, byś cały czas mógł go śledzić z zainteresowaniem i zaangażowaniem, a także czerpać satysfakcję ze zdobytej wiedzy!

Wiedza ekspertów

Wiedza, którą otrzymujesz w tym kursie, to nie tylko sucha teoria, ale również wskazówki od praktyka z wieloletnim doświadczeniem, dzięki którym dużo łatwiej będzie Ci opanować materiał i pracować efektywniej.

Praktyczne przykłady

Uczysz się na praktycznych przykładach. Kurs, który masz przed sobą to esencja praktycznej wiedzy i doświadczenia a także wzorów, które oszczędzą Ci godziny pracy i poszukiwań.

Pytania i odpowiedzi

Przeczytaj najczęściej zadawane pytania

Masz więcej pytań?

Porozmawiaj z nami na na czacie

Wyślij nam e-mail

Zadzwoń +48 880880606

Czy każdy kurs ma pliki źródłowe?

Nie każdy. Jeśli pliki są dostępne dla danego kursu, znajdziesz je w zakładce źródła. Niektóre kursy nie posiadają źródeł ponieważ nie są potrzebne, inne nie mogły być zamieszczone np. ze względu na prawa autorskie do wykorzystania komercyjnych prac naszych autorów. Staramy się aby kursy były maksymalnie praktyczne i chętnie pokazujemy zaplecze zawodowe naszych autorów, ale niekiedy nie możemy dołączyć go w postaci źródeł.

Jak jest skonstruowany kurs?

Kurs składa się z rozdziałów oraz lekcji. Staramy się, aby optymalnie kursy miały 5-7 rozdziałów po około 5-10 lekcji w każdym. W ten sposób nauka jest optymalna a podtrzymanie uwagi staje się łatwiejsze. Rekomendujemy przerabianie nie więcej niż jednego rozdziału naraz a po jego przerobieniu powtórzenie materiału we własnym zakresie.

Jak najlepiej wykorzystać kurs?

Potraktuj kurs jako inspirację do własnej pracy. Tam, gdzie się da staraj się powtarzać czynności, które wykonuje autor. Nie powtarzaj ich jednak bezmyślnie - spróbuj zmodyfikować przykłady i dostosować je do swoich potrzeb. W ten sposób przyswoisz materiał jeszcze lepiej!

Jak mogę uzyskać dostęp do kursu?

Możesz albo wykupić ten konkretny kurs przez koszyk, uzyskując do niego (i jego rewizji) bezterminowy dostęp, albo wykupić wariant abonamentu, który obejmuje dany kurs i w ten sposób oglądać go oraz inne materiały na platformie tak długo, jak Twój abonament jest aktywny.

Czy kurs jest aktualny?

Staramy się aby wszystkie materiały na stronie były aktualne. Nie znaczy to, że kurs powstał bardzo niedawno. Często na stronie znajdziesz trochę starsze kursy, jednak regularnie wykonujemy ich rewizję i zmieniamy lekcje - czy to przez dodanie stosownych komentarzy z aktualizacją, czy poprzez nagranie danej lekcji jeszcze raz. Datę ostatniej rewizji znajdziesz w informacjach o kursie.

Czym się różni kurs od warsztatu i ścieżki?

Kursy to kilku godzinne, kompleksowe opracowanie danego zagadnienia, podzielone na lekcje i rozdziały. Często uzupełniają je Warsztaty, które mają formę jednej dłuższej, praktycznej lekcji (30min-1h), natomiast ścieżki stanowią zbiór jednych i drugich materiałów - ułożoną z kursów i warsztatów playlistę, która pozwala Ci kompleksowo opanować dane zagadnienie.

We frontendzie nie można stać w miejscu, niezależnie od tego, czy jest się początkującym, czy zaawansowanym. Narzędzia i techniki się zmieniają, więc trzeba cały czas trzymać rękę na pulsie. Jako twórca kursów i programista mogę spokojnie polecić eduweb.pl jako aktualne i dobre źródło wiedzy.

Adam Romański

helloroman.com

Zacznij naukę w Bezpieczeństwo Aplikacji Webowych

  • 49 lekcji wideo

  • 8h 16min materiału

  • Ostatnia rewizja 26.05.2020

  • Certyfikat w ramach ścieżek

  • Dostęp z urządzeń mobilnych