W mediach coraz częściej pojawiają się informacje o problemach z bezpieczeństwem serwisów WWW. Problem ten dotyka nie tylko dużych portali internetowych, serwisów aukcyjnych czy społecznościowych, ale coraz częściej również serwisów internetowych firm i instytucji. Nic w tym dziwnego, gdyż coraz częściej serwis internetowy współczesnej instytucji, to bardzo złożona aplikacja, umożliwiająca klientom, partnerom czy pracownikom korzystanie ze specjalnie przygotowanych dla nich usług i informacji.
Audyt Bezpieczeństwa systemów IT – Testy Penetracyjne aplikacji webowych,
22-24 kwietnia 2009
Centrum Konferencyjno-Kongresowe
ul. Bobrowiecka 9, Warszawa
Istotniejsze zagrożenia związane z serwisem WWW to między innymi:
– wykorzystanie podmienionej strony do propagacji złośliwego oprogramowania i dokonywania oszustw,
– wykorzystanie przejętych kont uprawnionych użytkowników do podjęcia działań w ich imieniu, ale bez ich wiedzy i zgody,
– zablokowania dostępu do usług, z których korzystają uprawnieni użytkownicy.
Tego typu zdarzenia pociągają za sobą przede wszystkim bezpośrednie straty finansowe, związane z przerwami w dostępie do usług, koniecznością wypłaty kar umownych, ujawnieniem tajemnic handlowych czy konsekwencjami prawnymi (np. niedopełnienia wymagań związanych z ochrona danych osobowych klientów). Oprócz tego zdarzenia te powodują straty pośrednie. Ujawnienie zaistniałego incydentu zachwiania bezpieczeństwa ma znaczący wpływ na opinię publiczną i wizerunek firmy.
Aby uchronić się przed negatywnymi konsekwencjami nadużyć w serwisach WWW konieczne jest właściwe ich zaprojektowanie, zapewnianie jakości kodu i ich należyte przetestowanie.
Penetracyjny test bezpieczeństwa, czyli symulowany atak, jest jednym z najskuteczniejszych sposobów testowania bezpieczeństwa systemów IT, a w tym aplikacji webowych i serwisów internetowych.
Zagadnienia poruszone podczas warsztatów:
1. Metodyka audytu i testów penetracyjnych
2. Identyfikacja i wykorzystanie podatności serwera WWW
3. Testowanie podatności aplikacji WWW na szereg ataków (XSS, XSRF, SQLI, i wiele innych)
4. Testowanie aplikacji AJAXowych
5. Metody ukrywania ataku i omijania filtrów
6. Przeprowadzanie testów penetracyjnych skomplikowanych aplikacji
7. Fuzzing aplikacji WWW
Warsztaty skierowane są do testerów penetracyjnych, jak i do osób odpowiedzialnych za techniczny audyt systemów informatycznych i techniczną analizę ryzyka informacyjnego w instytucjach finansowych, firmach telekomunikacyjnych, przedsiębiorstwach branży energetycznej czy urzędach administracji publicznej. Zainteresują także architektów, projektantów i deweloperów aplikacji WWW, pozwalając w praktyce poznać sposób myślenia i działania włamywacza.
Laboratorium komputerowe – warsztaty będą odbywać się przy stanowiskach komputerowych. Każdy z uczestników otrzyma komplet materiałów warsztatowych zawierający m.in. płytę LiveDVD z zestawem narzędzi i oprogramowania, niezbędnych do przeprowadzenia testów penetracyjnych aplikacji webowych.
Koszty uczestnictwa:
przy rejestracji do 16 kwietnia – 2650 PLN (+VAT = 3233 PLN)
przy rejestracji po 16 kwietnia – 3000 PLN (+VAT = 3660 PLN)
Dodatkowe informacje i zapisy: www.akademia.linuxmagazine.pl
Wszelkie pytania można również kierować pod numery telefonu: (022)642 25 19; (022)742 14 56-57 lub na adres e-mail: [email protected]