Pentesting. Как взламывать код, чтобы писать его безопасно?

  • Ваша компания работает над продуктами с высокими требованиями к безопасности?
  • Ваши продукты работают с чувствительными данными?
  • Риски в случае утечки данных из разрабатываемых вами систем будут фатально дорогими?

Если есть хотя бы одно “да”, пора обучать команду думать о безопасности еще на стадии написания кода.

Наш девиз: никогда не узнаешь, как защитить систему, если не знаешь, как ее взломать. Корпоративный тренинг “Тестирование безопасности систем для DEV/SEC команд” – это мощный двухдневный интенсив. После знакомства с теорией участников тренинга ожидает командное соревнование, когда они сами смогут применить свои “хакерские” навыки и на реальных проектах будут искать уязвимости.

Что говорят сами участники?

“Понравилось, когда получалось выполнить задание (любое). Из заданий понравились те, где регистрировали админа, где перехватывали куки и входили на сайт под другим пользователем.”

“Узнал много новых техник: reverse shell, deserialization. Соревновательный эффект – тоже win.”

“Вообще было очень круто и интересно, сильно изменилось представление о процессе и способах взлома систем.”

Цели тренинга

  1.    Мотивировать разработчиков писать более безопасный код
  2.    Мотивировать команды использовать практики из известных методологий SDLC, OSSTMM, OWASP, ISO в процессах разработки
  3.    Научиться проводить тестирование на проникновение
  4.    Освоить необходимый инструментарий для тестирования безопасности
  5.   Предоставить команде готовые шаблоны документов для проведения анализа безопасности

Программа тренинга

  1.    Внедрение безопасности в процесс разработки (SDLC)
  2.    Защищенные архитектуры
  3.    Реестр рисков
  4.    Методологии оценки рисков и реестр рисков
  5.   Тестирование на проникновение на базе OWASP методологии и освоение необходимого инструментария

Время: (2 полных рабочих дня)

Лекции: 6 часов

Практика: 10 часов

Целевая аудитория​: архитекторы, разработчики, специалисты безопасности

Требования к месту проведения тренинга: аудитория, проектор, доска, наличие компьютера у каждого участника, доступ в Интернет

Количество человек​: до 10

Тренер​: Денис Колошко, CTO в IT Band Systems, практикующий пентестер, security эксперт, ​CISSP, OSWE

Чему научатся участники

  1.   Интегрировать принципы безопасности в цикл разработки (SDLC)
  2.   Оценивать риски для найденных уязвимостей
  3.   Тестировать веб ­системы на предмет безопасности на базе основных OWASP тест-­кейсов (Injections, XXE, XSS, CSRF, SSRF, Insecure Deserialization, Security Misconfiguration, Broken Authentication and Authorization и другие)
  4.   Использовать инструментарий, необходимый для проведения тестирования безопасности (nmap, Burp, Metasploit, Kali Linux, FoxyProxy, ncrack, User Agent Switcher, другие)
  5.   Самостоятельно далее осваивать тестирование безопасности на базе умений и навыков, полученных во время тренинга

Оставить заявку на проведение тренинга можно, заполнив онлайн-форму

Заказать

Либо, написав на электронную почту: veronica.yudina@it-band.by

 

Смотрите также:
Корпоративный тренинг “Тестирование безопасности систем для QA/BA/PM команд”
Тестирование на проникновение