Säkerhet i webbtjänster - Intensivkurs

Har ni koll på säkerheten i era webbtjänster - er hemsida t ex? Finns det sårbarheter som ni inte känner till. Vill ni ha koll och dessutom kunna testa regelbundet - då är Säkerhet i webbtjänster en kurs för er!

Översikt

Kursen är normalt 2 dagar men kan anpassas till längre eller kortare utbildning

Företagsintern kurs

Vill ni genomföra denna kurs skräddarsydd internt hos er? Anmäl intresse

Kursmål

Efter kursen Säkerhet i webbtjänster kommer du ha goda kunskaper i hur man identifierar olika typer av sårbarheter för webbsidor och så kallade webservices. Du kommer ha förståelse för hur system lagrar användaruppgifter och lösenord och kunna påpeka brister i hanterande av just detta. Du kommer också att ha praktisk erfarenhet av olika s.k pentestingverktyg såsom Burp Suite och ZAP samt inte minst ha kunskap för att åtgärda de sårbarheter som hittas.

Sammanfattning

Vilka risker tar ert företag ifall ni har sårbarheter i era webbsidor och webtjänster (API:er)? Under kursen Säkerhet i webbtjänster går vi igenom några exempel som inträffat på större företag. Vi börjar med det teoretiska bakom varför internets så kallade “routande natur” gör webben sårbar för "Man-In-The-Middle-attacker". Vi tittar dessutom på HTTP-protokollet och cookies - där det finns en stor exponeringsyta för manipulationer. Vi kommer att laborera och göra en så kallad “session hijacking” där vi stjäl en session-cookie som tillåter automatisk inloggning.

Vi går igenom CIA (Confidentiality, Integrity, Authenticity), vilket är de krav som ställs på säker kommunikation.

Bristfällig lösenordshantering är en stor källa för intrång. Vi går igenom denna problematik och lär oss kryptering/hashning samt knäcker lösenord som rent matematiskt är mer eller mindre oknäckbara.

Sista blocket handlar om penetration testing. Vi kommer att laborera och penetrera en hemsida tillsammans där vi växlar mellan teori och praktik för varje möjlig sårbarhet. Här utgår vi från OWASP Top 10 listan på sårbarheter. Därefter ser vi vilka automatiska verktyg det finns för penetration testning, ZAP och Burp Suite. Vi avslutar kort med WAF (Web Application Firewalls), som till viss del täcker upp och skyddar mot sårbarheter.

Vem bör deltaga

Alla som är med i utveckling eller förvaltning av IT-system som använder Internet.

Kursinnehåll

Introduktion

Vad är en webbtjänst?
Vad står på spel? Lista på läckor. Några exempel
Hur fungerar Internet? IP routing -> Man In The Middle-attacks
Installation av Docker och VirtualBox

HTTP-protokollet

Request/response
Informationsläckor webbserver
HTTP GET och POST - headers och payload, informationsöverföring
Ex exploit Shellshock 2014 - utnyttjade HTTP headers
Cookies
Praktik: vi gör Session hijacking

HTTPS

Confidentiality, Integrity, Authenticity
Vad löser HTTPS

Lösenordshantering i system

kryptering vs hashning
hur hasning är helt matematiskt rätt...men ändå går att knäcka
Vi gör en Dictionary hash password solver
Lösning: SALT och MFA

Penetration testing

OWASP Top 10 Sårbarheter
Manuellt - vi pentestar en sajt tillsammans
SQL Injection
Command Injection
XSS
Automatiskt vi kör ZAP/Burp Suite mot en sajt
Lösningar, utvecklare och WAF

Övningar

Säkerhet i webbtjänster innehåller ett flertal övningar där du får träna på de olika avsnitten i kursen, t ex penetrationstester och Session hijacking.

Lärare

Stefan Holmberg

Stefan är mycket erfaren kursledare och har jobbat med systemutveckling 1994. Stefan är en fullstack utvecklare och har bred kunskap som systemutvecklare med säkerhet i fokus.

Förkunskaper

Man bör ha grundläggande datorförståelse, dvs förstå grunder i vad nätverk och servrar osv är.

Tipsa kollega

Relaterade kurser