Web Application Hacking powered by OWASP Juice-Shop and OWASP ZAP

(Bilety na warsztat wyprzedane).

TL; DR Na przykładzie OWASP Juice Shop nauczysz się testować bezpieczeństwo aplikacji webowych czyli jak wygląda hackowanie w praktyce oraz jak znaleźć mogące dużo kosztować błędy, zanim znajdzie je ktoś inny. OWASP Juice Shop to utworzona w celach dydaktycznych, celowo niezabezpieczona aplikacja internetowa napisana w całości w JavaScript. Podatności, które w niej znajdziecie i wykorzystacie znajdują się m. in. na liście OWASP Top Ten, jednak wyjdziemy również poza ten zakres. Podczas warsztatów poznacie podstawowe techniki wykorzystywane podczas testów bezpieczeństwa i samodzielnie przeprowadzicie testy penetracyjne aplikacji. Poznacie również możliwości takich narzędzi jak OWASP ZAP, czy Burp Suite oraz użyjecie ich w celu automatyzacji tych „nudnych” części i ułatwienia sobie życia. Na koniec poruszymy również najważniejszy fragment testów bezpieczeństwa, czyli… pisanie raportu. Może nie jest to tak sexy jak hackowanie i łamanie aplikacji, ale to raport jest najważniejszą dla biznesu częścią i to na jego podstawie oceniana będzie wasza praca. Jak powinien wyglądać dokument podsumowujący pracę testera? Czym są błędy typu pierwszego i drugiego (false-positive i false-negative)? Dlaczego ich obecność w raporcie może położyć każdą przyszłą współpracę? To wszystko zostanie poruszone abyście mogli wczuć się w rolę pentestera i przejść przez każdy etap jego pracy. Dzięki temu będziecie mieli większą świadomość nt. różnych podatności i zagrożeń waszych aplikacji. PS. Jako bonus pokażemy sposób włączenia OWASP ZAPa do pipelina CI/CD aby jeszcze bardziej zautomatyzować (i miejmy nadzieję zwiększyć częstotliwość ich wykonywania) testy bezpieczeństwa przy użyciu już istniejącej infrastruktury testowej.