startVi kan utbildning!Vad vill du kunna?
Nu kan du gå alla våra kurser på distans! Läs mer

NFI Utbildning

Kontaktuppgifter
tfn: 08-615 19 60(vx)
epost: info@nfi.se
Besöksadress:
Götgatan 14
118 46 Stockholm
Kurstillfällen
OBS! Nu kan du gå alla våra kurser på distans! Ange bara att du vill delta på distans då du bokar.

27-28 jan
31 mars - 1 apr
16-17 maj
22-23 aug
Tipsa kollega

Skriv ut
Kursfakta

Längd:  2 dagar

Pris:  13950 kronor (exkl. moms)

Tider:
Dag 1:  09:30 till 16:30
Dag 2:  09:00 till 16:30

Inregistrering: kl. 09:00

Kursort: Götgatan 14, Stockholm

Hitta hit    


Internkurs
Vill ni genomföra denna kurs skräddarsydd internt hos er? Skicka en intresseanmälan genom att klicka på knappen nedan
Intresseanmälan
Kursutbud > Databashantering och datasökning > Säkerhet i webbtjänster - Intensivkurs

Säkerhet i webbtjänster - Intensivkurs

Har ni koll på säkerheten i era webbtjänster - er hemsida t ex? Finns det sårbarheter som ni inte känner till. Vill ni ha koll och dessutom kunna testa regelbundet - då är Säkerhet i webbtjänster en kurs för er!

OBS! Nu kan du gå alla våra kurser på distans! Ange bara att du vill delta på distans då du bokar.

Kurstillfällen
27-28 jan
31 mars - 1 apr
16-17 maj
22-23 aug
Tipsa kollega  
Kursfakta

Längd:  2 dagar
Pris:  13950 kronor (exkl. moms)
Inregistrering: kl. 09:00
Tider:
Dag 1:  09:30 till 16:30
Dag 2:  09:00 till 16:30
Kursort: Götgatan 14, Stockholm
Hitta hit    


Internkurs
Vill ni genomföra denna kurs skräddarsydd internt hos er? Skicka en intresseanmälan genom att klicka på knappen nedan
Intresseanmälan

 Kursmål

Efter kursen Säkerhet i webbtjänster kommer du ha goda kunskaper i hur man identifierar olika typer av sårbarheter för webbsidor och så kallade webservices. Du kommer ha förståelse för hur system lagrar användaruppgifter och lösenord och kunna påpeka brister i hanterande av just detta. Du kommer också att ha praktisk erfarenhet av olika s.k pentestingverktyg såsom Burp Suite och ZAP samt inte minst ha kunskap för att åtgärda de sårbarheter som hittas.

 Vem bör deltaga?

Alla som är med i utveckling eller förvaltning av IT-system som använder Internet.
 

 Sammanfattning

Vilka risker tar ert företag ifall ni har sårbarheter i era webbsidor och webtjänster (API:er)? Under kursen Säkerhet i webbtjänster går vi igenom några exempel som inträffat på större företag. Vi börjar med det teoretiska bakom varför internets så kallade “routande natur” gör webben sårbar för "Man-In-The-Middle-attacker". Vi tittar dessutom på HTTP-protokollet och cookies - där det finns en stor exponeringsyta för manipulationer. Vi kommer att laborera och göra en så kallad “session hijacking” där vi stjäl en session-cookie som tillåter automatisk inloggning.

Vi går igenom CIA (Confidentiality, Integrity, Authenticity), vilket är de krav som ställs på säker kommunikation.

Bristfällig lösenordshantering är en stor källa för intrång. Vi går igenom denna problematik och lär oss kryptering/hashning samt knäcker lösenord som rent matematiskt är mer eller mindre oknäckbara.

Sista blocket handlar om penetration testing. Vi kommer att laborera och penetrera en hemsida tillsammans där vi växlar mellan teori och praktik för varje möjlig sårbarhet. Här utgår vi från OWASP Top 10 listan på sårbarheter. Därefter ser vi vilka automatiska verktyg det finns för penetration testning, ZAP och Burp Suite. Vi avslutar kort med WAF (Web Application Firewalls), som till viss del täcker upp och skyddar mot sårbarheter.

 Övningar

Säkerhet i webbtjänster innehåller ett flertal övningar där du får träna på de olika avsnitten i kursen, t ex penetrationstester och Session hijacking.

 Lärare

Stefan Holmberg
Stefan är mycket erfaren kursledare och har jobbat med systemutveckling 1994. Stefan är en fullstack utvecklare och har bred kunskap som systemutvecklare med säkerhet i fokus.

 Förkunskaper

Man bör ha grundläggande datorförståelse, dvs förstå grunder i vad nätverk och servrar osv är.

 Kursinnehåll

Introduktion

  • Vad är en webbtjänst?
  • Vad står på spel? Lista på läckor. Några exempel
  • Hur fungerar Internet? IP routing -> Man In The Middle-attacks
  • Installation av Docker och VirtualBox

HTTP-protokollet

  • Request/response
  • Informationsläckor webbserver
  • HTTP GET och POST - headers och payload, informationsöverföring
  • Ex exploit Shellshock 2014 - utnyttjade HTTP headers
  • Cookies
  • Praktik: vi gör Session hijacking

HTTPS

  • Confidentiality, Integrity, Authenticity
  • Vad löser HTTPS

Lösenordshantering i system

  • kryptering vs hashning
  • hur hasning är helt matematiskt rätt...men ändå går att knäcka
  • Vi gör en Dictionary hash password solver
  • Lösning: SALT och MFA

Penetration testing

  • OWASP Top 10 Sårbarheter
  • Manuellt - vi pentestar en sajt tillsammans
  • SQL Injection
  • Command Injection
  • XSS
  • Automatiskt vi kör ZAP/Burp Suite mot en sajt
  • Lösningar, utvecklare och WAF

Boka
 E-post: info@nfi.se  Tel: 08-615 19 60  Hitta till oss