Wesprzyj Fundację Rozwoju
Strona główna
menu
Opcje dostępności
Wygląd strony
Domyślny Wysoki kontrast
Rozmiar tekstu
DomyślnyMniejszyWiększy

Pentester – Zaawansowane ataki na aplikacje WWW

Poziom
Kursy i szkolenia
Czas trwania
6-30 dni
Język
PL
Uzyskany tytuł
Świadectwo ukończenia kursu
Tryb
e-Learning Plus,
Online
Agnieszka_Szczepanczyk_ALK
Agnieszka Szczepańczyk
(+48) 22 519 22 68
O kursie
Program
Tutorzy
Zasady naboru
Opłaty

O kursie

Cel kursu

Kurs rozwija zaawansowane umiejętności w zakresie identyfikacji i eksploatacji luk w zabezpieczeniach aplikacji internetowych. Podczas realizowania kursu nauczysz się, jak rozpoznawać i wykorzystywać różne typy podatności bezpieczeństwa aplikacji WWW, takie jak np. Cross Site Scripting (XSS). Nauczysz się też obsługiwać dane z niezaufanych źródeł, przetwarzać złożone dane oraz obsługiwać błędy konfiguracji. Materiały w kursie zostały stworzone w oparciu o rekomendacje organizacji OWASP, która jest globalnym autorytetem w dziedzinie bezpieczeństwa aplikacji.

Zadania w kursie łączą teoretyczne podstawy zagrożeń z praktycznymi umiejętnościami ich wykorzystywania przy użyciu narzędzi, takich jak: Burp Suite, OWASP ZAP, GitTools oraz mongo Shell.

Dzięki kursowi:

  • Poznasz techniki rozpoznawania i wykorzystywania podatności w aplikacjach WWW,
  • Zrozumiesz różnorodność zagrożeń wynikających z ataków typu XSS, obsługi danych z niezaufanych źródeł oraz przetwarzania złożonych danych, 
  • Poznasz zasady poprawnej konfiguracji aplikacji WWW w celu minimalizacji ryzyka wystąpienia ataku, 
  • Nauczysz się identyfikować i eksploatować podatności XSS. Dowiesz się, jak bezpiecznie przetwarzać dane pochodzące z niezaufanych źródeł.

Atuty szkolenia

1
100% ONLINE

Kurs realizowany jest w 100% online i nie wymaga fizycznego pobytu na Uczelni.

2
DOSTĘP 24/7

Zadania dostępne są w chmurze na platformie CyberSkiller, co umożliwia naukę z każdego miejsca i o każdej porze.

3
NAUCZANIE PRAKTYCZNE

Kurs rozwija praktyczne umiejętności, które mają zastosowanie w pracy specjalisty ds. bezpieczeństwa aplikacji WWW oraz testera penetracyjnego.

Partner szkolenia

Adresaci szkolenia

Osoby posiadające doświadczenie w dziedzinie IT, które chcą specjalizować się w sektorze cyberbezpieczeństwa.

Idealnymi kandydatami są absolwenci kierunków technicznych, informatycy lub pracownicy działu IT, którzy chcą rozszerzyć swoje kompetencje o aspekty związane z bezpieczeństwem aplikacji WWW.

Osoba przystępująca do kursu musi posiadać umiejętności i wiedzę w zakresie:

  • Obsługi systemu Linux (zalecana dystrybucja Kali), 
  • Podstaw kryptografii,
  • Podstaw bezpieczeństwa aplikacji WWW.
GroupOfPeopleIllustration

Co zyskasz

  • Certyfikat ALK: Oficjalny certyfikat ukończenia szkolenia w zakresie cyberbezpieczeństwa sygnowany przez Akademię Leona Koźmińskiego.
  • Elastyczność i dostępność: Dzięki realizacji kursu 100% online możesz uczyć się w dogodnym dla ciebie czasie i miejscu, co jest szczególnie korzystne dla osób pracujących lub mających inne zobowiązania.
  • Wysoka jakość kształcenia: Studia są prowadzone przez doświadczonych ekspertów z Akademii Leona Koźmińskiego w dziedzinie cyberbezpieczeństwa, co gwarantuje aktualność i praktyczną wartość przekazywanej wiedzy.
  • Rozwój kariery i możliwości zatrudnienia: W trakcie realizowania kursu zdobędziesz ważne umiejętności wykorzystywane w pracy na stanowisku specjalisty ds. bezpieczeństwa aplikacji WWW oraz testera penetracyjnego.

Program

Długość kursu: 4 tygodnie, 8h tygodniowo, 32h łącznie.

Przebieg szkolenia:

W trakcie szkolenia nauka podzielona jest na rozwiązywanie zadań na platformie CyberSkiller ze wsparciem tutora oraz udział w konsultacjach online.

Tydzień 1: Spotkanie online 2h “Wprowadzenie do zaawansowanych ataków na aplikacje WWW”:

  • Poznanie się osób prowadzących i uczestniczących,
  • Poznanie modelu pracy (nauka na platformie, realizacja zadań, konsultacje),
  • Wprowadzenie do ataków na aplikacje WWW,
  • Określenie wspólnych i indywidualnych celów nauki.

Praca na platformie 6h “Cross Site Scripting (XSS)”:

  • Podatność typu Stored XSS,
  • Podatność typu Reflected XSS,
  • Podatność typu DOM XSS,
  • Podatność typu XSS (inny wektor),
  • Podatność typu XSS (filtrowane tagi),
  • Podatność typu XSS (lepiej filtrowane tagi),
  • Podatność typu XSS (walidacja wejścia).

Tydzień 2 (praca na platformie 7h + 1h konsultacji online)   “Obsługa danych z niezaufanego źródła”:

  • Odczyt nieoczekiwanego pliku,
  • Odczyt nieoczekiwanego pliku przy użyciu filtrów PHP,
  • Uruchomienie złośliwej komendy poprzez wgranie pliku,
  • Zabezpieczone wgrywanie plików,
  • Zdalny odczyt nieoczekiwanego pliku,
  • Trywialny Web Application Firewall (WAF),
  • Walidacja pobieranych dokumentów (WAF),
  • Niebezpieczna przeglądarka logów,
  • Zabezpieczona przeglądarka logów,
  • Wysyłanie maili.

Tydzień 3 (praca na platformie 7h + 1h konsultacji online)   “Przetwarzanie złożonych danych”:

  • Niezabezpieczone parsowanie plików XML,
  • Atak odmowy usługi za pomocą bomby XML,
  • Niezabezpieczone deserializowanie obiektu,
  • Zabezpieczone parsowanie plików XML,
  • Od deserializacji obiektu do wykonania kodu na serwerze,
  • Realny atak na framework za pomocą deserializacji obiektów.

Tydzień 4 (praca na platformie 7h + 1h konsultacji online)   “Błędy konfiguracji”:

  • Publicznie dostępny panel administracyjny,
  • Niebezpieczna konfiguracja serwera bazy danych,
  • Publicznie dostępny serwer deweloperski,
  • Wykorzystanie domyślnych haseł,
  • Nieaktualne oprogramowanie ze znanymi podatnościami,
  • Publicznie dostępny backup,
  • Przegląd udostępnionego repozytorium kodu.
Course Catalog

Organizacja

  • 100% online – Kurs jest w 100% online i nie wymaga fizycznego pobytu na Uczelni.
  • E-learning Plus – Kurs jest zorganizowany w formule e-learning plus, która polega na połączeniu pracy na platformie edukacyjnej CyberSkiller, konsultacji grupowych online oraz konsultacji asynchronicznych na MS Teams.
  • Platforma CyberSkiller – W ramach realizacji kursu uzyskasz dostęp do platformy edukacyjnej CyberSkiller, która umożliwia rozwiązywanie zadań dostępnych w ramach kursu. Na platformie dostępne są materiały tekstowe i materiały wideo z teorią i wsparciem do rozwiązania zadań. Zadania programistyczne posiadają moduł automatycznego sprawdzania, dzięki czemu możesz w kilka sekund zweryfikować poprawność wykonanych zadań.
  • Konsultacje grupowe online – Raz w tygodniu odbywają się grupowe konsultacje, na których możesz zadawać pytania, a tutorzy rozwiązują wybrane zadania na forum grupy.
  • Konsultacje asynchroniczne – Wszyscy uczestnicy i tutorzy mają ciągły dostęp do MS Teams. Możesz tam zadawać pytania tutorom w formie indywidualnych wiadomości lub na forum grupy; tutor udziela odpowiedzi w ciągu maksymalnie 48 godzin.
  • Tutorzy – Nauczanie wspierane jest przez Tutorów, czyli wykładowców Akademii Leona Koźmińskiego, którzy monitorują realizację materiału przez kursantów.
  • Sprzęt – Do realizowania kursu niezbędne jest posiadanie komputera o minimalnych parametrach: min. 4GB pamięci RAM, system operacyjny Kali Linux. 
  • Czas – Kurs trwa 4 tygodnie, łącznie 32 godziny nauki.

Tutorzy

dr Damian Rusinek

Tytuł doktora nauk technicznych w dyscyplinie informatyka uzyskał na Politechnice Warszawskiej, po obronieniu rozprawy doktorskiej pt. „Adaptacyjny system doboru poziomu bezpieczeństwa w  "bezprzewodowych sieciach sensorowych przy użyciu języka QoP-ML" (2016).

Damian rozpoczął karierę w dziedzinie cyberbezpieczeństwa w 2010 roku, rozpoczynając studia doktoranckie na UMCS oraz IPPT PAN. Wcześniej był programistą rozwiązań serwerowych. Pracował na UMCS jako asystent od 2013 r., a później - od 2016 do 2021 r. - jako adiunkt. W 2016 roku swoją specjalistyczną wiedzę wykorzystał w branży komercyjnej, gdzie przeprowadził ponad 100 testów penetracyjnych oraz przeglądów kodu źródłowego, głównie dla sektora bankowości oraz fin-tech. Uzyskał również certyfikat eCPTX. W 2018 roku Damian zagłębił się w dziedzinę bezpieczeństwa technologii blockchain, będąc pionierem w opracowaniu standardu bezpieczeństwa SCSVS - najbardziej wszechstronnej listy kontrolnej bezpieczeństwa dla projektów opartych na technologii blockchain do chwili obecnej. 

W 2022 roku Damian podjął kolejny istotny krok, założenie firmy Composable Security, która specjalizuje się w ocenie oraz konsultacjach dotyczących bezpieczeństwa projektów blockchain. W ciągu tego okresu był prelegentem na różnych konferencjach, w tym EthCC, Web3 Security Conference, ETHWarsaw, EthZurich, OWASP AppSec Global, Confidence, InfoShare. Damian jest również zaangażowany w ruch ""whitehat"", w ramach którego zgłaszał podatności bezpieczeństwa w jednej z największych na świecie giełd oraz wielu projektach opartych na technologii blockchain, co pozwoliło uchronić przed kradzieżą dziesiątki milionów dolarów.

Zasady naboru

Pierwszą czynnością w procesie rekrutacji jest wypełnienie formularza zgłoszeniowego, który dostępny jest na stronie internetowej uczelni.

Rejestracja online

Prosimy oczekiwać na kontakt mailowy opiekuna szkolenia lub kursu.

Agnieszka_Szczepanczyk_ALK
Masz pytania? Zapraszamy do kontaktu
Agnieszka Szczepańczyk
(+48) 22 519 22 68
aszczepanczyk@kozminski.edu.pl

Opłaty

* Oferowana zniżka nie kumuluje się z innymi ewentualnymi rabatami.

Koszt szkolenia
Cena regularna szkolenia 4350 zł brutto (stawka zw. z VAT)
Cena szkolenia dla studentów i absolwentów studiów I, II stopnia, studiów podyplomowych i MBA w ALK 3915 zł netto (stawka zw. z VAT)*

Pierwszą czynnością w procesie rekrutacji jest wypełnienie formularza zgłoszeniowego online.  

Po zarejestrowaniu się na szkolenie każdy z kandydatów otrzyma mailowo INDYWIDUALNY NUMER KONTA do dokonania płatności za szkolenie. 

Osoby zainteresowane otrzymaniem faktury proszone są o kontakt z Panią Agnieszką Fabiańską e-mail agaf@kozminski.edu.pl