NFI Utbildning

Kontaktuppgifter
tfn: 08-615 19 60(vx)
epost: info@nfi.se
Besöksadress:
Götgatan 14
118 46 Stockholm

Säkerhet i webbtjänster - Intensivkurs

Har ni koll på säkerheten i era webbtjänster - er hemsida t ex? Finns det sårbarheter som ni inte känner till. Vill ni ha koll och dessutom kunna testa regelbundet - då är Säkerhet i webbtjänster en kurs för er!

Översikt

Kursen är normalt 2 dagar men kan anpassas till längre eller kortare utbildning

Företagsintern kurs

Vill ni genomföra denna kurs skräddarsydd internt hos er?

Kursmål

Efter kursen Säkerhet i webbtjänster kommer du ha goda kunskaper i hur man identifierar olika typer av sårbarheter för webbsidor och så kallade webservices. Du kommer ha förståelse för hur system lagrar användaruppgifter och lösenord och kunna påpeka brister i hanterande av just detta. Du kommer också att ha praktisk erfarenhet av olika s.k pentestingverktyg såsom Burp Suite och ZAP samt inte minst ha kunskap för att åtgärda de sårbarheter som hittas.

Sammanfattning

Vilka risker tar ert företag ifall ni har sårbarheter i era webbsidor och webtjänster (API:er)? Under kursen Säkerhet i webbtjänster går vi igenom några exempel som inträffat på större företag. Vi börjar med det teoretiska bakom varför internets så kallade “routande natur” gör webben sårbar för "Man-In-The-Middle-attacker". Vi tittar dessutom på HTTP-protokollet och cookies - där det finns en stor exponeringsyta för manipulationer. Vi kommer att laborera och göra en så kallad “session hijacking” där vi stjäl en session-cookie som tillåter automatisk inloggning.
Vi går igenom CIA (Confidentiality, Integrity, Authenticity), vilket är de krav som ställs på säker kommunikation.
Bristfällig lösenordshantering är en stor källa för intrång. Vi går igenom denna problematik och lär oss kryptering/hashning samt knäcker lösenord som rent matematiskt är mer eller mindre oknäckbara.
Sista blocket handlar om penetration testing. Vi kommer att laborera och penetrera en hemsida tillsammans där vi växlar mellan teori och praktik för varje möjlig sårbarhet. Här utgår vi från OWASP Top 10 listan på sårbarheter. Därefter ser vi vilka automatiska verktyg det finns för penetration testning, ZAP och Burp Suite. Vi avslutar kort med WAF (Web Application Firewalls), som till viss del täcker upp och skyddar mot sårbarheter.
Alla som är med i utveckling eller förvaltning av IT-system som använder Internet.

Introduktion

  • Vad är en webbtjänst?
  • Vad står på spel? Lista på läckor. Några exempel
  • Hur fungerar Internet? IP routing -> Man In The Middle-attacks
  • Installation av Docker och VirtualBox

HTTP-protokollet

  • Request/response
  • Informationsläckor webbserver
  • HTTP GET och POST - headers och payload, informationsöverföring
  • Ex exploit Shellshock 2014 - utnyttjade HTTP headers
  • Cookies
  • Praktik: vi gör Session hijacking

HTTPS

  • Confidentiality, Integrity, Authenticity
  • Vad löser HTTPS

Lösenordshantering i system

  • kryptering vs hashning
  • hur hasning är helt matematiskt rätt...men ändå går att knäcka
  • Vi gör en Dictionary hash password solver
  • Lösning: SALT och MFA

Penetration testing

  • OWASP Top 10 Sårbarheter
  • Manuellt - vi pentestar en sajt tillsammans
  • SQL Injection
  • Command Injection
  • XSS
  • Automatiskt vi kör ZAP/Burp Suite mot en sajt
  • Lösningar, utvecklare och WAF
Säkerhet i webbtjänster innehåller ett flertal övningar där du får träna på de olika avsnitten i kursen, t ex penetrationstester och Session hijacking.

 Lärare

Stefan Holmberg
Stefan är mycket erfaren kursledare och har jobbat med systemutveckling 1994. Stefan är en fullstack utvecklare och har bred kunskap som systemutvecklare med säkerhet i fokus.
Man bör ha grundläggande datorförståelse, dvs förstå grunder i vad nätverk och servrar osv är.
 Tipsa kollega
 

Företagsintern kurs

Vill ni genomföra denna kurs skräddarsydd internt hos er?

Översikt

Kursen är normalt 2 dagar men kan anpassas till längre eller kortare utbildning
 Tipsa kollega