Kurs Bezpieczeństwo Aplikacji Webowych

Wprowadzenie

Koszyk Koszyk
  • Opis
  • Recenzje
  • Autor
  • Transkrypt
  • Pytania i odpowiedzi
  • QA

1 ocen

Wprowadzenie

Kwestia bezpieczeństwa aplikacji webowych lub stron WWW to temat, który staje się coraz bardziej popularny. Zarówno duże, jak i małe firmy stają się ofiarami ataków hakerów, a wyciek poufnych danych lub informacji może stanowić realne zagrożenie dla przedsiębiorstw. Dlatego jeżeli tworzysz lub zarządzasz aplikacją webową lub stroną WWW i chciałbyś wiedzieć, w jaki sposób odpowiednio ją zabezpieczyć, ten kurs jest właśnie dla Ciebie! Dowiesz się z niego nie tylko tego, jak hakerzy przełamują zabezpieczenia aplikacji oraz jakie konsekwencje może to za sobą nieść, ale też jak skutecznie chronić swoją aplikację lub stronę WWW oraz dane klientów przed atakami.

  1. SQL Injection oraz Command Injection
  2. Niepoprawna obsluga uwierzytelniania i sesji
  3. Clickjacking oraz ujawnienie poufnych danych
  4. Bledna konfiguracja zabezpieczen i kontroli dostepu
  5. XML External Entities (XXE) i Cross-Site Scripting (XSS)
  6. Uzywanie komponentów ze znanymi podatnosciami
  7. Niewystarczajace logowanie i monitorowanie
  8. Cross-Site Request Forgery (CSRF, XSRF)
  9. Niebezpieczna deserializacja
  10. I wiele, wiele wiecej!

Podstawy kryptografii

Pierwszym tematem, który został poruszony w kursie, jest kryptografia. By wprowadzić Cię w zagadnienia związane z bezpieczeństwem aplikacji webowych i stron WWW dowiesz się o podstawowych algorytmach kryptograficznych. Przekonasz się czym jest kryptografia symetryczna, asymetryczna, podpisywanie, funkcje skrótu czy certyfikaty. Poznasz również praktyczne przykłady ich użycia, nim przejdziemy do bardziej rozbudowanych zagadnień.

OWASP Top 10

Główna część kursu poświęconego bezpieczeństwie aplikacji webowych i stron WWW oparta jest na liście OWASP Top 10 – czyli liście dziesięciu najczęściej występujących błędów w aplikacjach webowych. Lista ta powstała w 2017 roku i opiera się na rzeczywistych danych uzyskanych od firm, organizacji i osób zawodowo zajmujących się testowaniem zabezpieczeń. W kursie omówimy każdy z najpopularniejszych błędów - poznasz praktyczne przykłady wykorzystania słabych punktów zabezpieczeń, metody działania hakerów i dowiesz się, jak skutecznie chronić przed nimi aplikację lub stronę. Co ważne, w większości przypadków, podatności zostaną zaprezentowane w aplikacji napisanej specjalnie na potrzeby kursu. Na koniec każdego rozdziału aplikacja będzie poprawiana, a omawiane błędy - eliminowane.

Błędy typu Injection oraz niepoprawna obsługa uwierzytelniania

W pierwszej kolejności w kursie omówione na praktycznych przykładach zostaną popularne błędy typu Injection, z SQL Injection na czele. Dowiesz się jak najczęściej wykorzystywane są przez hakerów tego typu błędy, co umożliwia im obejście uwierzytelniania oraz kradzież danych z aplikacji. Następnie omówione szczegółowo są błędy w implementacji uwierzytelniania i zarządzania sesjami użytkowników. Przekonasz się jak łatwo jest przejąć czyjąś sesję wtedy, gdy aplikacja nie stosuje podstawowych mechanizmów bezpieczeństwa. Po zapoznaniu się z tymi zagadnieniami dowiesz się, jak skutecznie uniknąć popełnienia tego typu błędów podczas zabezpieczania aplikacji lub strony WWW.

Ujawnienie poufnych danych i inne błędy

Kolejne trzy kategorie również będą dość rozbudowane. Pierwszą z nich jest ujawnienie poufnych danych. Poznasz praktyczne przykłady i wskazówki, by przekonać się na czym powinno polegać prawidłowe zabezpieczenie aplikacji przed wyciekiem danych. Następnie przejdziemy do błędu XXE, czyli XML External Entities. W rękach hakera błąd ten pozwala na otrzymanie dostępu do niemal dowolnego zasobu w sieci lokalnej, w której znajduje się serwer. Niesie to za sobą ogromne niebezpieczeństwo i przygotowując aplikację webową lub stronę WWW - należy odpowiednio ją przed nim zabezpieczyć. Następna, piąta już kategoria dotyczy niepoprawnej kontroli dostępu. Na przykładzie kilku ataków, takich jak directory traversal czy wgranie web shella, poznasz mechanizm działania niepoprawnej kontroli dostępu i dowiesz się, jak projektować i pisać aplikację, by nie popełniać tego typu błędów.

Błędna konfiguracja zabezpieczeń i XSS

W kolejnych częściach kursu zapoznasz się ze wszelkiego rodzaju błędami związanymi z niepoprawną konfiguracją środowiska i serwerów, a także błędami XSS - Cross-Site Scripting. Dowiesz się więcej o konfiguracji TLS i poznasz trzy rodzaje popularnej podatności XSS - Reflected XSS, Persistent XSS i DOM based XSS. Po zapoznaniu się z mechanizmem wykorzystywania takich błędów dowiesz się, jak nie dopuścić do ich wystąpienia w tworzonej przez Ciebie aplikacji webowej lub stronie WWW.

Deserializacja, używanie komponentów ze znanymi podatnościami i niewystarczające logowanie

Ostatnie trzy podatności, które znalazły się na rozbudowanej liście OWASP Top 10 to deserializacja, używanie komponentów ze znanymi podatnościami i niewystarczające logowanie oraz monitorowanie. Dowiesz się jak przesyłając odpowiednio przygotowane dane wejściowe można uzyskać zdalne wykonanie kodu po stronie serwera, oraz, oczywiście, jak przeciwdziałać takim atakom. Przekonasz się też jakie ryzyko niosą za sobą błędy związane z brakiem kontroli nad używanymi, zewnętrznymi komponentami oraz niewystarczającym logowaniem działań użytkowników.

Błędy spoza listy OWASP Top 10

znalazły się na liście OWASP Top 10, lecz mimo tego - warto je poznać. Ich popularność stopniowo maleje w związku z rozwojem frameworków, lecz nadal istnieje ryzyko ich wykorzystania przez hakerów. Pierwszym z tych błędów jest błąd CSRF, umożliwiający wykonanie pewnych akcji w ramach sesji zalogowanego użytkownika. Drugi to Clickjacking, czyli błąd umożliwiający przechwycenia kliknięcia i wykonanie niechcianej akcji.

Dla kogo jest ten kurs?

W związku z tym, że temat bezpieczeństwa jest niezwykle aktualny, a po wejściu w życie nowej, majowej ustawy dotyczącej bezpieczeństwa danych stanie się tylko bardziej popularny - kurs jest doskonałym wyborem dla osób z wielu branży i specjalizacji. Niezależnie od tego, czy jesteś testerem, developerem lub po prostu chcesz poznać najnowsze wytyczne dotyczące bezpieczeństwa aplikacji webowych i stron WWW - znajdziesz w kursie aktualne i przydatne informacje. Ogólne informacje o podatnościach zainteresują każdego, a wiedza z kursu pozwoli na szybkie wykrywanie oraz naprawianie ewentualnych błędów. Kurs przeznaczony jest zarówno dla developerów jak i testerów aplikacji webowych. Zawarte w nim informacje pomogą zrozumieć i poznać najczęstsze problemy związane z bezpieczeństwem aplikacji webowych. Testerzy znajdą w nim wiele praktycznych informacji o tym jak wykrywać błędy bezpieczeństwa. Developerzy z kolei dowiedzą się jak je naprawiać i jak zabezpieczać swoje aplikacje.

Dlaczego wybrać właśnie ten kurs?

  1. Kurs wideo to najbardziej efektywna a zarazem najprzyjemniejsza forma nauki. Jest on tak prowadzony, byś cały czas mógł go śledzić z zainteresowaniem i zaangażowaniem, a także czerpać satysfakcję ze zdobytej wiedzy!
  2. Wiedza, którą otrzymujesz w tym kursie, to nie tylko sucha teoria, ale również wskazówki od praktyka z wieloletnim doświadczeniem, dzięki którym dużo łatwiej będzie Ci opanować materiał i pracować efektywniej.
  3. Uczysz się na praktycznych przykładach. Kurs, który masz przed sobą to esencja praktycznej wiedzy i doświadczenia a także wzorów, które oszczędzą Ci godziny pracy i poszukiwań.
5 godzin 22 minuty

Kurs PHP

Techniki Zaawansowane

Język PHP od lat cieszy się niezrównaną popularnością - głównie ze względu na swoją prostotę, jak również i możliwości, jakie oferuje. Wprowadzenie na rynek wersji siódmej tego języka przyniosło wiele istotnych zmian, a zarazem umocniło jego pozycję na rynku. W tym Kursie znajdziesz wiele przydatnych, zaawansowanych technik, które pozwolą Ci tworzyć jeszcze lepsze, bardziej rozbudowane projekty. Stworzymy nie tylko strony internetowe, ale i zaawansowane systemu pracujących na maszynach serwerowych w oparciu o architekturę mikroserwisową. Każdy, kto miał już do czynienia z językiem PHP, znajdzie tutaj coś dla siebie.

Miroslaw Karczmarczyk

8 godzin 33 minuty

Kurs Laravel

Techniki Pracy

Laravel to obok Symfony jeden z najpopularniejszych frameworków PHP na świecie. Powstał tuż po tym, gdy język PHP wkroczył w swoisty renesans, zyskując narzędzia takie jak Composer czy rozpoczynając drogę do standardów znanych dzisiaj jako PSR. Rozwój samego języka PHP i przełomowa wersja 7 pozwoliły na nowo zaufać tej technologii, a Laravel pojawiając się w idealnym czasie, odpowiedział na potrzeby wielu programistów. Dziś, kilka lat później, framework ten wciąż cieszy się rosnącą popularnością. Kurs ten pozwoli Ci od podstaw poznać to narzędzie i budować bez frustracji ambitne aplikacje internetowe.

Piotr Palarz

5 godzin 21 minut

Kurs PHP 7

od Podstaw

PHP to, obok takich języków jak Java czy Python, jeden z najpopularniejszych języków programowania. Dzięki swojej prostocie, a także ogromnej liczbie entuzjastów i bibliotek, wiele osób wybiera go jako narzędzie do nauki podstaw algorytmiki i struktur danych. Konstrukcja języka jest na tyle prosta, że nie wymaga ona wcześniejszej znajomości innego języka, a wręcz sprawia, że jest to świetny wstęp do bardziej skomplikowanych języków.

Miroslaw Karczmarczyk

8 godzin 51 minut

Kurs Test Driven Development

Testy Jednostkowe w PHP

Jeżeli programujesz w PHP i masz dość wysypujących się aplikacji oraz powtarzających się błędów, to bardzo dobrze trafiłeś. Ten kurs nauczy Cię jak pisać najpierw testy, a później kod. Poznasz moje najlepsze techniki oraz strategie, które sprawdzają się w tworzeniu nowych aplikacji oraz w pracy z Legacy Code. Zmienisz swoje nastawienie do testów, pozbędziesz się wszystkich wymówek i nauczysz się jak zastosować TDD w praktyce.

Paweł Rekowski

1 godzina

Nowości w PHP 7

Witaj w Warsztacie, który stanowi wprowadzenie do nowości wprowadzonych w najnowszej wersji PHP oznaczonej cyferką 7. Ponieważ czeka nas mała rewolucja w kodowaniu back-endu, warto zapoznać się z tym, co jest przyszłością PHP. W Warsztacie, poza omówieniem najciekawszych zmian, które wprowadza PHP 7, dowiesz się także jak migrować do nowego języka ze starszych wersji, jak PHP 5.6, czego należy spodziewać się przy migracji kodu, jakie struktury starszej wersji są przestarzałe w PHP 7, jak również dlaczego i kiedy warto przesiąść się na nową odsłonę tego popularnego języka. Zaprezentujemy też szereg nowych, ciekawych funkcji, które pojawiają się w wersji 7.<br><br> Na Warsztat zaprasza Mateusz Manaj

Mateusz Manaj

1 godzina

Testowanie Aplikacji w Symfony2

Jeżeli tworzysz aplikacje WWW to wiesz, jak ważne jest ich testowanie i sprawdzanie poprawności działania. Ciągłe przeklikiwanie aplikacji po kilku zmianach w kodzie, może niejednego developera doprowadzić do szewskiej pasji i skutecznie zniechęcić do dalszej pracy. Jeżeli chciałbyś się dowiedzieć w jaki sposób możesz zautomatyzować proces testowania aplikacji napisanych w Symfony2, obowiązkowo obejrzyj warsztat "Symfony2 - Testowanie Aplikacji", w którym Maciej Żukiewicz (autor kursów <a href="http://eduweb.pl/kursy/php/symfony-techniki-pracy.html">"Symfony Framework - Techniki Pracy"</a> i <a href="http://eduweb.pl/kursy/symfony/symfony-techniki-zaawansowane.html">"Symfony Framework - Techniki Zaawansowane"</a>) pokaże Ci, jak pisać testy jednostkowe i funkcjonalne. Dowiesz się m.in. jak napisać testy sprawdzające walidację formularzy, wysyłkę wiadomości e-mail czy też uprawnienia zalogowanych użytkowników. <br><br> Zapraszamy serdecznie.

Maciej Żukiewicz

26 minut

Formularze dla Symfony z jQuery

Komponent do pracy z formularzami w Symfony2 posiada mnóstwo wbudowanych typów pól, jednak z czasem te domyślne pola nie wystarczają. W tej lekcji dowiesz się jak stworzyć nowe typy pól formularzy, dziedziczące po domyślnych oraz jak do takiego pola zintegrować plugin jQuery Masked Input. Na warsztat zaprasza Maciej Żukiewicz.

Maciej Żukiewicz

1 godzina 30 minut

Framework Silex - Podstawy

W trakcie warsztatu, poznasz micro-framework języka PHP "Silex". Dzięki niemu, w przeciągu 90 minut pokażę Ci jak stworzyć od podstaw mini bloga. Do jego napisania skorzystamy z komponentów frameworka "Silex". Nauczysz się korzystania z systemu szablonów Twig, dowiesz się w jaki sposób połączyć się z bazą danych za pomocą Doctrine, a także jak wysłać maile przy użyciu Swift Mailer oraz jak dynamicznie tworzyć i walidować formularze. <br/><br/> Serdecznie zapraszam, Maciej Żukiewicz

Grzegorz Róg

1 godzina

System Szablonów TWIG

Podczas warsztatu "System szablonów TWIG" dowiesz się czym jest system szablonów oraz do czego się go wykorzystuje. Omówimy plusy i minusy TWIG'a, a także nauczysz się jak zainstalować, a następnie uruchomić tą bibliotekę we własnym projekcie. Poznasz także podstawowe konstrukcię oraz mechanizmy TWIG'a. Dzięki tej bibliotece będziesz mógł szyciej i bezpieczniej kodować dynamiczne szablony. <br/><br/> Serdecznie zapraszam, Maciej Żukiewicz

Grzegorz Róg

1 godzina 30 minut

Kalendarz w PHP cz.2

Część druga z cyklu PHPCalendar. Pierwsza część warsztatu znajduje się pod adresem: <a href="http://eduweb.pl/live/kalendarz-z-notatkami-i-notyfikacjami-email-w-php">http://eduweb.pl/live/kalendarz-z-notatkami-i-notyfikacjami-email-w-php</a>. <br><Br>Tym razem zajmiemy się kalendarze od strony zarządzania. Dodamy m.in. nowe funkcjonalności tj. dodawanie i edycję zdarzeń, usuwanie ich, mailing z przypomnieniem do autora wpisu w kalendarzu. Ale to nie wszystko. W tej części pokażę Ci kilka tricków dotyczących technik programowania, które możesz użyć w swojej pracy. Dodatkowo opracujemy automatyczną wysyłkę maili minutę przed rozpocząciem zdarzenia kalendarza. <br><br> Serdecznie zapraszam, Mateusz Manaj

Mateusz Manaj

1 godzina

Kalendarz z notatkami i notyfikacjami email w PHP

Naszym zadaniem w czwartkowym warsztacie będzie zbudowanie własnego kalendarza wyświetlającego poszczególne dni miesiąca oraz widok jednego konkretnego dnia po jego wybraniu. Dodatkowo zbudujemy na podstawie tego kalendarza, tzw. scheduler za którego pomocą będziesz mógł dodawać własne zdarzenia lub też być informowany przez samą aplikację poprzez e-mail. Wykorzystamy do tego najlepsze techniki pracy z technologiami PHP po stronie serwera, jak również JavaScript, HMTL i CSS po stronie klienta.<br><br> Na Warsztat zaprasza Mateusz Manaj.

Mateusz Manaj

1 godzina

Framework CakePHP cz. 2

W tym warsztacie pokażę Ci w jaki sposób bazując na wcześniej pobranej i skonfigurowanej wersji cake PHP wykonać własny blog czy system komentarzy. Dodatkowo zademonstruję kilka przydatnych technik pracy z tym framework'iem. <br><br> Serdecznie zapraszam, Mateusz Manaj

Mateusz Manaj

40 minut

Cake PHP - Wprowadzenie

Część pierwsza cyklu warsztatów o CakePHP. W tym warsztacie pokażę Ci w jaki sposób pobrać, zainstalować i uruchomić framework CakePHP. Dowiesz się w jak prosty sposób możesz zbudować własną stronę czy aplikację w oparciu o ten produkt. <br><br> Serdecznie zapraszam, Mateusz Manaj

Mateusz Manaj

1 godzina

PHP i Terminal

W tym warsztacie zajmiemy się tematyką linuxa - wyjaśnieniem zadań crontaba, w jaki sposób je dodawać i edytować oraz pokażę kilka sztuczek, które na pewno przydadzą się każdemu. Dodatkowo opracujemy sposób połączenia się poprzez PHP z konsolą linux'a poprzez serwer SSH2.0. Dzięki temu będziesz w stanie opracować własne rozwiązania zarządzania serwerem tak jak to robi się w wielu komercyjnych panelach zarządzania serwerami poprzez aplikacje webowe. <br><br> Gorąco zapraszam, Mateusz Manaj

Mateusz Manaj

1 godzina

Rozszerzenie PDO dla PHP

Podczas tego warsztatu dowiesz się w jaki sposób korzystać z jednego z najnowszych rozszerzeń języka PHP - PDO. Dzięki niemu będziesz mógł jeszcze łatwiej komunikować się z różnymi bazami danych w celu pobrania, modyfikacji lub usunięcia danych. Jednocześnie Twoje aplikacje staną się bardziej odporne na ataki typu SQL Injection, dzięki omawianym w warsztacie instrukcjom preparowanych (prepared statement). Wiedza zawarta w tym warsztacie na pewno przyda Ci się podczas Tworzenia własnych nowoczesnych projektów! Serdecznie zapraszam, Maciej Żukiewicz.

Mateusz Manaj

1 godzina

XML w PHP

Zobacz Warsztat poświęcony pracy z dokumentami XML na przykładzie galerii wykonanej we flashu w AS3.0.<br><br> Tworzenie, edycja i zarządzanie kodem XML, to tylko przedsmak tego co zobaczysz w tym warsztacie. Napiszemy również bardzo prosty konwerer tablicy do kodu XML na rekurencyjny sposób w całe 5 minut.<br><br> Oprócz tego pokarzę Ci narzędzia do wersjonowania, katalogowania i wykonywania automatycznej dokumentacji Twojego kodu. <br><br> Na Warsztat Zaprasza Mateusz Manaj.

Mateusz Manaj

1 godzina 23 minuty

Programowanie obiektowe w PHP cz III

W trakcie warsztatu ukazane zostaną korzyści wykorzystania metod magicznych w narzędziach takich jak: - obiekt wspomagający pracę z sesją - narzędzie logowania zdarzeń w systemie do pliku/bazy danych - sterownik bazy danych - szkielet strony www umożliwający zastrzeganie dostępu do podstron Dowiesz się również czym jest serializacja oraz klonowanie obiektów, i się jak obsługiwać te mechanizmy.

Mateusz Manaj

1 godzina

Programowanie obiektowe w PHP cz II

W tym warsztacie zajmiemy się podstawami programowania obiektowego w języku PHP. Dowiesz się m.in.: <br><br> - czym jest klasa oraz w jaki sposób definiować własne klasy; - jak tworzyć instancje (egzemplarze klasy); - poznasz konstruktory oraz inne metody magiczne; - dowiesz się czym jest hermetyzacja i jak do tego celu używać modyfikatorów dostępu; - dowiesz się jak stosować metody oraz właściwości statyczne; - poznasz sposoby na badanie obiektów. <br><br> Warsztat jest drugą z dwóch części o podstawach programowania obiektowego w PHP. <br><br> Prowadzący: Maciej Żukiewicz

Mateusz Manaj

1 godzina

Rysowanie w PHP

W tym warsztacie Mateusz Manaj pokaże Ci w jaki sposób pracować z grafiką w PHP:<br><br> 1. Odczytywanie informacji o bibliotece GD/2<br> 2. Odczytywanie szczegółowych informacji o pliku graficznym<br> 3. Rysowanie podstawowych kształtów na formatce<br> 4. Tworzenie „animacji” w PHP<br> 5. Tworzenie wykresu kołowego w 2D i 3D<br> 6. Ładowanie obrazów na formatkę<br> 7. Praca z obrazami i nakładanie napisów i innych elementów graficznych<br> 8. Poprawianie wyglądu/szczegółów gotowych grafik ładowanych z pliku<br> 9. Tworzenie inteligentnych (samocentrujących) znaków wodnych na obrazach<br> 10. Masa funkcji które przydadzą Ci się w codziennej pracy m.in. grayscale, negative, photoFrame, scale i wiele więcej.<br>

Mateusz Manaj

1 godzina 10 minut

Bezpieczeństwo Skryptów PHP cz. II

Jest to drugi Warsztat na temat bezpieczeństwa skryptów PHP. Poznasz w nim bardziej zaawansowane metody i przykłady ataków a jednocześnie zabezpieczania naszych witryn i aplikacji.<br><br>Co w Warsztacie?<br><br> 1. SQL Injection – teoria, przykłady ataków, przykłady skryptów, zabezpieczenie się przed sql injection 2. Bezpieczny upload plików: a. podgląd wysyłanego nagłówka do serwera razem z plikiem, modyfikacja mime-type w live http headers) b. Umieszczanie kodu html, JS i php w plikach graficznych, zaawansowana obsługa formatu EXIF i wykorzystanie tego jako potencjalnej dziury w zabezpieczeniach c. Null byte hack – teoria, przykłady z wykorzytaniem formularza przesyłania plików

Mateusz Manaj

1 godzina 10 minut

Programowanie Obiektowe w PHP cz. I

W tym warsztacie zajmiemy się podstawami programowania obiektowego w języku PHP. Dowiesz się m.in.:<br><br> - czym jest klasa oraz w jaki sposób definiować własne klasy;<br> - jak tworzyć instancje (egzemplarze klasy); - poznasz konstruktory oraz inne metody magiczne;<br> - dowiesz się czym jest hermetyzacja i jak do tego celu używać modyfikatorów dostępu;<br> - dowiesz się jak stosować metody oraz właściwości statyczne;<br> - poznasz sposoby na badanie obiektów. <br><br> Warsztat jest pierwszą z dwóch części o podstawach programowania obiektowego w PHP. <br><br> Prowadzący: Maciej Żukiewicz

Mateusz Manaj

1 godzina 30 minut

Bezpieczeństwo skryptów PHP

W tym Warsztacie zajmiemy się bezpieczeństwem witryn i skryptów napisanych w PHP pod kątem najbardziej popularnych luk i ataków na internetowe serwisy. <br><br> 1. Prezentacja omawianego problemu + wyjaśnienie o czym będziemy mówić<br><br> 2. Wyjaśnienie czym są ataki XSS a. Podział na reflected XSS i stored XSS – wyjaśnienie różnic<br> b. Demonstracja stosowania reflected XSS w praktyce na b. prostym (naiwnym) i trudniejszym przykładzie<br> c. Demonstracja stosowania stored XSS w praktyce na b. prostym (naiwnym) i trudniejszym przykładzie<br><br> 3. Jak chronić się przed takimi atakami najprostszymi sposobami gotowymi do zaimplementowania w 5 min.<br><br> 4. Jak dodatkowo zabezpieczać swoje dane 5. Pokazanie aplikacji testujących zabezpieczenia na naszej witrynie lub aplikacji (Black Box testing)<br><br> 6. Dodatek live http headers do firefoxa (demonstracja możliwości)<br><br> 7. Odpowiedzi na zadawane pytania (na koniec lub też w trakcie)

Mateusz Manaj

Autor: Grzegorz Goławski

Od ponad 10 lat zawodowo zajmuje się projektowaniem i tworzeniem aplikacji webowych w Javie. Od kilku lat działa również w obszarze security i prowadzi warsztaty z bezpieczeństwa aplikacji webowych.<br><br> Zwolennik projektów open-source i Linuksa.

Recenzje Kurs Bezpieczeństwo Aplikacji Webowych

5

1 dodanych ocen

2020-06-06

Bardzo dobry kurs. Autor w jasny i przystępny sposób prezentuje zagrożenia i ataki na aplikacje webowe. Wszystko pokazane na prostych przykładach. Bez owijania w bawełnę. Must-have dla wszystkich, którzy tworzą strony internetowe. Ta wiedza się szybko nie zdezaktualizuje.

Tomasz Pisarek

Ten kurs nie posiada jeszcze transkryptu. Choć bardzo się staramy, wygenerowanie transkryptów do wszystkich kursów jest bardzo czasochłonne. W wielu przypadkach wymaga zaangażowania drogiego oprogramowania i godzin pracy przy poprawianiu transkryptu tak, aby był on możliwie jak najlepszy.

Zależy nam na tym, aby przygotować transkrypty do wszystkich naszych treści. To jedyny sposób dla osób niedosłyszących, aby mogły wygodnie uczyć się technologii. Poza tym, transkrypty ułatwiają skanowanie kursu w poszukiwaniu informacji i jego indeksowanie.

Szukamy osób, które mogłyby nam pomóc w poprawianiu transkryptów. Jeśli masz chwilę wolnego czasu i interesuje Cię dany kurs, w zamian za taką pomoc chętnie udostępnimy Ci wybrany materiał. Wyślij swoje zgłoszenie tutaj, jeśli możesz pomóc nam rozwijać platformę.

  • Informacje
  • Lekcje

Autor: Grzegorz Goławski

Czas: 8 godzin 16 minut

Aktualizacja: 2020-05-26

  • Certyfikat w ramach Ścieżki
  • Dostęp z urządzeń przenośnych
  • Licencje dla firm i szkół
Podaruj w prezencie

Wstęp do kursu

  • Wprowadzenie

  • Środowisko

Błędy typu Injection

  • Czym jest SQL Injection

  • Pobieranie poufnych danych

  • Parameters binding

  • Inne techniki

  • Przykłady SQL Injection

  • Command Injection

Niepoprawna obsługa uwierzytelniania i sesji

  • Niepoprawna obsługa sesji

  • Przejmowanie sesji użytkownika

  • Zabezpieczanie sesji

  • Praktyczne przykłady z uwierzytelnianiem

Przejmowanie poufnych danych

  • Ujawnienie poufnych danych

  • Atak sslstrip

  • Sposoby zabezpieczeń

  • Przykłady ataków i zabezpieczeń

XML External Entities (XXE)

  • Omówienie błędu

  • Ochrona i przykłady z życia

Niepoprawna kontrola dostępu

  • Niepoprawna kontrola dostępu

  • Błędy związane z wgrywaniem plików

  • Przykłady z kontrolą dostępu

Konfiguracja zabezpieczeń

  • Błędna konfiguracja zabezpieczeń

  • Problemy z TLS

  • Przykłady z konfiguracją zabezpieczeń

Cross-Site Scripting (XSS)

  • Wprowadzenie do Cross-Site Scripting

  • Zapobieganie atakom

  • Content Security Policy (CSP)

  • Przykłady XSS

Niebezpieczna deserializacja

  • Omówienie deserialziacji

  • Deserializacja w Javie

  • Zapobieganie deserializacji w Javie

  • Deserializacja w PHP

  • Przykłady z deserializacją

Używanie komponentów oraz inne problemy

  • Komponenty ze znanymi podatnościami

  • Przykłady z życia

  • Niewystarczające logowanie i monitorowanie

Cross-Site Request Forgery (CSRF)

  • Wstęp do CSRF

  • Ochrona przed CSRF

  • Przykłady CSRF w praktyce

Clickjacking

  • Czym jest Clickjacking

  • Ochrona przed Clickjackingiem

  • Przykład wykorzystania Clickjackingu

Podstawy kryptografii

  • Kryptografia symetryczna

  • Kryptograficzna funkcja skrótu Hash

  • Hash a przykłady

  • Kryptografia klucza publicznego (asymetryczna)

  • Asymetryczna kryptografia cz. 2

  • Certyfikat klucza publicznego

Podsumowanie

  • Zakończenie