Bezpieczeństwo Aplikacji Webowych – szkolenie dla firm

To szkolenie jest przeznaczone dla zespołów QA, developerów oraz osób technicznych, które chcą w praktyczny sposób zrozumieć, jak identyfikować, analizować i eliminować podatności w aplikacjach webowych.
Nie musisz mieć doświadczenia pentesterskiego — wystarczy podstawowa znajomość działania aplikacji i chęć zdobycia realnych, praktycznych umiejętności w obszarze security.

Szkolenie trwa 2 dni (2 × 8 godzin) i jest mocno praktyczne. Uczestnicy pracują na podatnych aplikacjach, wykonują ćwiczenia hands-on oraz uczą się raportować wyniki w sposób użyteczny dla zespołów technicznych i biznesowych.

Naszym priorytetem jest efekt, dlatego szkolenie odbywa się w kameralnych grupach, co umożliwia pracę z prowadzącym, indywidualne wsparcie oraz omawianie przykładów z prawdziwych projektów.

Agenda szkolenia (2 dni)

1. Wprowadzenie

• Przedstawienie prowadzącego

• Zapoznanie się z uczestnikami i ich doświadczeniem

• Omówienie zakresu i celów szkolenia

2. Podstawy bezpieczeństwa aplikacji

• Triada bezpieczeństwa informacji (Confidentiality, Integrity, Availability)

• Information Security vs Cybersecurity

• Znaczenie bezpieczeństwa z punktu widzenia biznesu i prawa

3. Typy testów bezpieczeństwa

• Black Box

• Grey Box

• White Box

• Dobór podejścia pod konkretny projekt i poziom ryzyka

4. Kluczowe projekty i standardy OWASP

• OWASP Top 10

• OWASP Web Security Testing Guide

• OWASP Application Security Verification Standard

• OWASP Cheat Sheet Series

• Jak korzystać z OWASP w praktyce

5. Najczęstsze zagrożenia z OWASP Top 10

• Omówienie najnowszej listy

• Przykłady realnych ataków

• Jak rozpoznawać podatności w trakcie testów

6. Architektura aplikacji webowej a bezpieczeństwo

• Elementy współczesnej aplikacji webowej

• Główne komponenty i ich ryzyka

• Wektory ataku związane z frontendem, backendem, API, bazami danych i infrastrukturą

7. Narzędzia wykorzystywane podczas testów bezpieczeństwa

• Kali Linux

• Burp Suite

• OWASP ZAP

• Dirb / DirBuster

• Nikto

• SQLMap

• Dodatkowe narzędzia wspierające testy bezpieczeństwa

Wszystkie narzędzia przedstawione na praktycznych przykładach.

8. Laboratorium – praktyczne ćwiczenia oraz analiza podatności

Praca na podatnych środowiskach (np. DVWA, Juice Shop).
Zakres ćwiczeń obejmuje m.in.:

• Authentication Bypass

• Authorization Bypass

• Business Logic Vulnerabilities

• SQL Injection

• XSS (Reflected, Stored, DOM)

• File Upload Vulnerabilities

• SSRF

• Command Injection

• XXE

Dla każdej podatności uczestnicy zobaczą:

• jak ją wykryć

• jak ją wykorzystać

• jak jej zapobiegać

• jakie testy warto wdrożyć w projektach

9. Raportowanie wyników testów bezpieczeństwa

• Struktura skutecznego raportu

• Formułowanie rekomendacji dla zespołów developerskich

• Przykładowe raporty (PL oraz ENG)

10. Podsumowanie i sesja Q&A

• Najważniejsze wnioski

• Dobre praktyki wdrożeniowe

• Przykłady z projektów uczestników

• Inspiracje do dalszego rozwoju w obszarze security

W ramach przedmiotowego szkolenia, będziemy poruszać jeszcze kilka tematów – które będą naturalnie wynikały w trakcie dynamiki spotkania.

Chcesz aby zorganizować dedykowane spotkanie dla Twojej organizacji?
Skontaktuj się z nami na szkolenia@dlatesterow.pl lub poprzez zakładkę kontakt.