Plan Szkolenia

Wprowadzenie

  • Przegląd OWASP, jego cel i znaczenie w bezpieczeństwie sieciowym
  • Wyjaśnienie listy OWASP Top 10
    • A01:2021-Broken Access Control awansuje z piątej pozycji; 94% aplikacji zostało przetestowanych pod kątem jakiejś formy złamanej kontroli dostępu. 34 wspólne wyliczenia słabości (CWE) zmapowane do Broken Access Control miały więcej wystąpień w aplikacjach niż jakakolwiek inna kategoria.
    • A02:2021 - Awarie kryptograficzne przesuwają się o jedną pozycję w górę na #2, wcześniej znane jako Narażenie danych wrażliwych, które było raczej szerokim objawem niż główną przyczyną. Ponownie skupiono się tutaj na awariach związanych z kryptografią, które często prowadzą do ujawnienia wrażliwych danych lub naruszenia bezpieczeństwa systemu.
    • A03:2021-Injection spada na trzecią pozycję. 94% aplikacji zostało przetestowanych pod kątem jakiejś formy wstrzyknięcia, a 33 CWE zmapowane do tej kategorii mają drugie miejsce pod względem liczby wystąpień w aplikacjach. Cross-site Scripting jest teraz częścią tej kategorii w tej edycji.
    • A04:2021-Insecure Design to nowa kategoria na rok 2021, skupiająca się na zagrożeniach związanych z błędami projektowymi. Jeśli naprawdę chcemy "pójść w lewo" jako branża, wymaga to większego wykorzystania modelowania zagrożeń, bezpiecznych wzorców i zasad projektowania oraz architektur referencyjnych.
    • A05:2021-Błędna konfiguracja bezpieczeństwa awansuje z #6 w poprzedniej edycji; 90% aplikacji zostało przetestowanych pod kątem jakiejś formy błędnej konfiguracji. Wraz z coraz większą liczbą zmian w wysoce konfigurowalnym oprogramowaniu, nie jest zaskakujące, że ta kategoria awansowała. Poprzednia kategoria dla XML External Entities (XXE) jest teraz częścią tej kategorii.
    • A06:2021-Vulnerable and Outdated Components była wcześniej zatytułowana Using Components with Known Vulnerabilities i zajęła 2. miejsce w ankiecie społeczności Top 10, ale miała również wystarczającą ilość danych, aby znaleźć się w Top 10 poprzez analizę danych. Kategoria ta awansowała z #9 w 2017 roku i jest znaną kwestią, którą z trudem testujemy i oceniamy ryzyko. Jest to jedyna kategoria, która nie ma żadnych wspólnych podatności i zagrożeń (CVE) zmapowanych do uwzględnionych CWE, więc domyślny exploit i wagi wpływu 5.0 są uwzględnione w ich wynikach.
    • Kategoria A07:2021 - Błędy identyfikacji i uwierzytelniania była wcześniej Uszkodzonym uwierzytelnianiem i spadła z drugiej pozycji, a teraz obejmuje CWE, które są bardziej związane z błędami identyfikacji. Kategoria ta nadal stanowi integralną część pierwszej dziesiątki, ale wydaje się, że pomaga w tym zwiększona dostępność znormalizowanych ram.
    • A08:2021 - Błędy integralności oprogramowania i danych to nowa kategoria na rok 2021, skupiająca się na przyjmowaniu założeń związanych z aktualizacjami oprogramowania, krytycznymi danymi i potokami CI/CD bez weryfikacji integralności. Jeden z najwyższych ważonych skutków danych Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) został zmapowany do 10 CWE w tej kategorii. Niezabezpieczona deserializacja z 2017 roku jest teraz częścią tej większej kategorii.
    • A09:2021 - Awarie rejestrowania i monitorowania bezpieczeństwa były wcześniej niewystarczającym rejestrowaniem i monitorowaniem i zostały dodane z ankiety branżowej (#3), awansując z #10 poprzednio. Kategoria ta została rozszerzona o więcej rodzajów awarii, jest trudna do przetestowania i nie jest dobrze reprezentowana w danych CVE/CVSS. Jednak awarie w tej kategorii mogą mieć bezpośredni wpływ na widoczność, ostrzeganie o incydentach i kryminalistykę.
    • A10:2021-Server-Side Request Forgery został dodany z ankiety społeczności Top 10 (#1). Dane pokazują stosunkowo niski wskaźnik zachorowalności przy ponadprzeciętnym pokryciu testami, a także ponadprzeciętne oceny potencjału exploitów i wpływu. Kategoria ta reprezentuje scenariusz, w którym członkowie społeczności bezpieczeństwa mówią nam, że jest to ważne, nawet jeśli nie jest to obecnie zilustrowane w danych.

Uszkodzona kontrola Access

  • Praktyczne przykłady uszkodzonych kontroli dostępu
  • Bezpieczne kontrole dostępu i najlepsze praktyki

Awarie kryptograficzne

  • Szczegółowa analiza błędów kryptograficznych, takich jak słabe algorytmy szyfrowania lub niewłaściwe zarządzanie kluczami.
  • Znaczenie silnych mechanizmów kryptograficznych, bezpiecznych protokołów (SSL/TLS) i przykładów nowoczesnej kryptografii w bezpieczeństwie sieciowym

Ataki typu injection

  • Szczegółowy podział ataków wstrzykiwania SQL, NoSQL, OS i LDAP
  • Techniki łagodzące wykorzystujące przygotowane instrukcje, sparametryzowane zapytania i uciekające dane wejściowe

Niebezpieczny projekt

  • Badanie błędów projektowych, które mogą prowadzić do luk w zabezpieczeniach, takich jak niewłaściwa walidacja danych wejściowych.
  • Strategie bezpiecznej architektury i zasady bezpiecznego projektowania

Błędna konfiguracja zabezpieczeń

  • Przykłady błędnych konfiguracji w świecie rzeczywistym
  • Kroki zapobiegające błędnej konfiguracji, w tym narzędzia do zarządzania konfiguracją i automatyzacji

Podatne na ataki i przestarzałe komponenty

  • Identyfikacja ryzyka związanego z używaniem podatnych bibliotek i frameworków
  • Najlepsze praktyki w zakresie zarządzania zależnościami i aktualizacji

Błędy identyfikacji i uwierzytelniania

  • Typowe problemy z uwierzytelnianiem
  • Bezpieczne strategie uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe i właściwa obsługa sesji

Awarie integralności oprogramowania i danych

  • Skupienie się na kwestiach takich jak niezaufane aktualizacje oprogramowania i manipulowanie danymi
  • Bezpieczne mechanizmy aktualizacji i kontrole integralności danych

Rejestrowanie zabezpieczeń i monitorowanie błędów

  • Znaczenie rejestrowania informacji istotnych dla bezpieczeństwa i monitorowania podejrzanych działań
  • Narzędzia i praktyki prawidłowego rejestrowania i monitorowania w czasie rzeczywistym w celu wczesnego wykrywania naruszeń

Fałszowanie żądań po stronie serwera (SSRF)

  • Wyjaśnienie, w jaki sposób atakujący wykorzystują luki w zabezpieczeniach SSRF, aby uzyskać dostęp do systemów wewnętrznych
  • Taktyki łagodzące, w tym właściwa walidacja danych wejściowych i konfiguracje zapory sieciowej

Najlepsze praktyki i bezpieczne kodowanie

  • Kompleksowa dyskusja na temat najlepszych praktyk bezpiecznego kodowania
  • Narzędzia do wykrywania luk w zabezpieczeniach

Podsumowanie i kolejne kroki

Wymagania

  • Ogólne zrozumienie cyklu życia tworzenia stron internetowych
  • Doświadczenie w tworzeniu i zabezpieczaniu aplikacji internetowych

Uczestnicy

  • Deweloperzy internetowi
  • Liderzy
 14 godzin

Liczba uczestników


cena netto za uczestnika

Szkolenia otwarte są realizowane w przypadku uzbierania się grupy szkoleniowej liczącej co najmniej 5 osób na dany termin.

Opinie uczestników (7)

Komponenty interaktywne i przykłady.

Raphael - Global Knowledge
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Praktyczne podejście i wiedza trenera

RICARDO
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Wiedza trenera była fenomenalna

Patrick - Luminus
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

ćwiczenia, nawet jeśli wykraczają poza moją strefę komfortu.

Nathalie - Luminus
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Trener jest bardzo pouczający i naprawdę zna temat

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Trainor jest naprawdę ekspertem w tej dziedzinie.

Reynold - SGL Manila (Shared Service Center) Inc.
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Praktyczne laboratorium pozyskiwania powłoki z zaatakowanej maszyny

Catalin
Szkolenie - OWASP Top 10

Przetłumaczone przez sztuczną inteligencję

Propozycje terminów

OWASP Top 10

2025-06-19 09:00
14 godzin
Lublin
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2025-07-03 09:00
14 godzin
Zamość
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2025-07-17 09:00
14 godzin
Zielona Góra
2580 PLN (Zdalne)
2680 PLN (Stacjonarne)

OWASP Top 10

2025-07-31 09:00
14 godzin
Kraków
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

OWASP Top 10

2025-08-14 09:00
14 godzin
Tarnów
2580 PLN (Zdalne)
2780 PLN (Stacjonarne)

Szkolenia Powiązane

Web Security Testing - Bezpieczeństwo i testowanie WebAplikacji przy wykorzystaniu OWASP

21 godzin

To prowadzone przez instruktora szkolenie na żywo (na miejscu lub zdalnie) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zabezpieczyć swoje aplikacje i usługi internetowe.

Pod koniec tego szkolenia uczestnicy będą mogli integrować, testować, chronić i analizować swoje aplikacje i usługi internetowe za pomocą OWASP struktury i narzędzi testowych

Więcej...

OWASP Mobile Security Testing Guide

 21 godzin

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zastosować zasady, procesy, techniki i narzędzia testowania MSTG w celu zabezpieczenia swoich aplikacji i usług mobilnych.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

  • Zapoznanie się z technikami testowania w celu opracowania strategii skutecznego wdrożenia testów bezpieczeństwa w cyklu życia oprogramowania.
  • Wykonywanie technik testowania w celu sprawdzenia ogólnych luk i zagrożeń w aplikacjach mobilnych.
  • Uruchomienie różnych procesów testowania bezpieczeństwa w celu zabezpieczenia aplikacji mobilnych na Androida i iOS.
Więcej...

OWASP Web Security Testing Guide

 21 godzin

To prowadzone przez instruktora szkolenie na żywo w Polsce (online lub na miejscu) jest przeznaczone dla programistów, inżynierów i architektów, którzy chcą zastosować ramy, zasady i techniki testowania WSTG w celu zabezpieczenia swoich aplikacji i usług internetowych.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

  • Używanie WSTG do wdrażania procesów i technik testowania w cyklu życia tworzenia stron internetowych.
  • Badanie różnych technik testowania w celu dostosowania frameworka WSTG do potrzeb biznesowych.
  • Wykonywanie różnych metod testowania bezpieczeństwa w celu ochrony aplikacji internetowych przed zagrożeniami i atakami.
  • Utworzenie raportu z oceny w celu udokumentowania ustaleń i wyników testów bezpieczeństwa.
Więcej...

How to Write Secure Code

 35 godzin

This Course in Polsce aims to help in the following:

  1. Help Developers to master the techniques of writing Secure Code
  2. Help Software Testers to test the security of the application before publishing to the production environment
  3. Help Software Architects to understand the risks surrounding the applications
  4. Help Team Leaders to set the security base lines for the developers
  5. Help Web Masters to configure the Servers to avoid miss-configurations
Więcej...

Secure Developer Java (Inc OWASP)

 21 godzin

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w Javie za pomocą metodologii testowania Open Web Application Security Project (OWASP). Open Web Application Security Project to społeczność internetowa, która tworzy ogólnodostępne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych.

Więcej...

Secure Developer .NET (Inc OWASP)

 21 godzin

Ten kurs obejmuje koncepcje i zasady bezpiecznego kodowania w ASP.net za pomocą metodologii testowania Open Web Application Security Project (OWASP), OWASP to społeczność internetowa, która tworzy ogólnodostępne artykuły, metodologie, dokumentację, narzędzia i technologie w dziedzinie bezpieczeństwa aplikacji internetowych;

Ten kurs bada funkcje bezpieczeństwa Dot Net Framework i sposoby zabezpieczania aplikacji internetowych;                         

Więcej...

Powiązane Kategorie

Category for OWASP
OWASP