Unia Europejska

Zajęcia dla uczniów, którzy ukończyli kurs Hacking i Cyberbezpieczeństwo część 2

Zostań mistrzem cyberbezpieczeństwa! Już teraz dowiedz się co możesz napotkać podczas korzystania z internetu, Opanuj najbardziej zaawansowane metody hackingu, aby wiedzieć jak się bronić przed złośliwymi atakami w sieci!

  • 1x w tygodniu - 2 x 45 minut (przez cały semestr)

  • 2 x 45 min (każde spotkanie)

  • Max. ilość osób (10)


płatność miesięczna od 265,00 zł


Wypróbuj nas! Jeśli zajęcia Ci się nie spodobają, masz możliwość bezpłatnej rezygnacji po pierwszej lekcji!

Masz jakieś pytania?

Wprowadzenie

Trzecia część kursu to kolejny krok ku opanowaniu umiejętności bronienia się przed cyberatakami. Uczniowie postawią pierwsze kroki w dziale informatyki śledczej, przeprowadzą testy bezpieczeństwa aplikacji webowych i dowiedzą się, jakie podatności wpływają na przeprowadzenie nieautoryzowanych operacji. Kurs jest okazją do poznania mechanizmów bezpieczeństwa popularnych przeglądarek internetowych oraz zdobycia wiedzy o tym, jak wdrożyć Content Security Policy (CSP). Pojęcia takie jak: Server-Side Template (SSTI), Same-Origin Policy (SOP), Cross-Origin Resource Sharing (CORS), Server-Side Request Forgery, Path Traversal, bezpieczeństwo API REST i wiele innych przestaną mieć przed Wami tajemnice.

Program kursu

Na zajęciach zapoznamy się z konceptem „Capture the flag”. Uczniowie dowiedzą się gdzie można ćwiczyć i rozwijać swoją wiedzę na gotowych zadaniach bezpiecznie i co najważniejsze LEGALNIE.
Przedstawienie narzędzia do ułatwiania analizy i szukania podatności. Znajdziemy podatności, które pozwolą nam na przeprowadzenie nieautoryzowanych operacji. A to wszystko przy pomocy Burp Suite Community
Przeprowadzimy prawdziwy test bezpieczeństwa aplikacji webowych. Znajdziemy podatności, które pozwolą nam na przeprowadzenie nieautoryzowanych operacji. A to wszystko przy pomocy Burp Suite Community
Dokonamy analizy kodu źródłowego aplikacji jedynie przy użyciu przeglądarki oraz narzędzi w nią wbudowanych.
Poznamy mechanizm bezpieczeństwa obecny w popularnych przeglądarkach internetowych. Sprawdzimy jak wdrożyć CSP w nagłówkach HTTP oraz bezpośrednio w kodzie HTML.
Zapoznamy się z podstawowym mechanizmem obrony przeglądarek (SOP) oraz poznamy powody na których CORS jest nam potrzebny. Spróbujemy również obejść oba te zabezpieczenia.
Na lekcji zapoznamy się ze sposobami na pozyskiwanie informacji różnego typu o danym systemie.
Podczas tej lekcji wiedza z zakresu XSS zostanie rozszerzona i poznamy XSS DOM oraz przećwiczymy realne przykłady błędów typu reflected, stored a także DOM w praktyce.
Celem lekcji jest przypomnienie i rozszerzenie wiadomości z SQL Injection i poznanie nowych technik wyszukiwania tej podatności w aplikacjach webowych. Podczas zajęć wykorzystujemy platformę szkoleniową PortSwigger.
Uzyskamy niekontrolowany dostęp do plików oraz katalogów, do których nie powiniśmy mieć dostępu. Będziemy manipulować ścieżka dostępu poprzez dodawanie odpowiednich ciągów znaków.
Celem lekcji jest praktyczne wykorzystanie umiejętności znanych z terminala i wiersza poleceń w celu testowania bezpieczeństwa aplikacji webowych czyli tzw. Path traversal.
Lekcja dotyczy zabezpieczenia dostępu do zasobów (np. plików lub podstron) przed niepowołanym dostępem lub nieodpowiednimi prawami dostępu. Drugim celem lekcji jest poznanie OAuth2.0 i wyjaśnienie jak działa logowanie np “przez Google”
Na zajęciach poznamy kolejny atak na strony www, który można wykonać na aplikacje internetowe. Tym razem celem będą szablony, które służą do tworzenia interaktywnych stron, które mogą mieć dynamiczne dane - fachowo nazywa się to silnikiem szablonów i pozwala na zdalne wykonanie kodu na maszynie ofiary.
Jak legalnie łamać zabezpieczenia aplikacji a jeszcze na tym zarabiać? To połączenie możliwe jest dzięki programom Bug Bunty. Poznamy najpopularniejsze z nich oraz sposób zgłaszania błędów.
Kolejny temat związany z 3 lub 4 literowymi skrótami - tym razem temat lekcji dotyczyć będzie przekonywania serwera aby sam siebie zaatakował i pokazał nam to czego nie powinniśmy zobaczyć. Jak to zrobimy? Przez błędy i niedopatrzenia programistów!
Patrzycie gdzie klikacie? A co jeśli wam powiem, że wasz klik może być klikiem na innej strony? Bardzo popularny atak pozwalający na ominięcie innych zabezpieczeń, który był wykorzystywany np do nabijania lajków na facebooku - teraz już to zabezpieczyli ale warto dowiedzieć się jak to się działo.
Na lekcji zamienimy się w przemytników którzy co prawda nie będą przemycać złota ani kosztowności, Na platformie port swigger przećwiczymy przekonywanie serwera aby wykonał więcej pracy niż powinien i postaram się wstrzyknąć dodatkowe zapytania tak aby przeszły niezauważone przez systemy bezpieczeństwa aplikacji.
W nowoczesnych stronach internetowych prócz klasycznej komunikacji przez protokół HTTP występuje coś jeszcze. Tak naprawdę mało kto wie że wiele stron korzysta z dodatkowego mechanizmu, który jest nazwany WebSocket. A do czego można go wykorzystać i jak go można zhakować? Tego dowiesz się na tej lekcji.

Informacja o plasowaniu ofert

Kursy są wyświetlane w zależności od wieku potencjalnych uczestników (pierwsze wyświetlane są kursy dla najmłodszych) oraz poziomu zaawansowania (pierwsze wyświetlane są kursy dla najmniej zaawansowanych uczestników). Wyświetlanie kursów nie jest uzależnione od dokonania jakichkolwiek płatności na naszą rzecz przez ich organizatorów lub od płatnej reklamy.

Miejsce na dodatkowy tekst