Bezpečnost webových aplikací v praxi – OWASP Top 10 a API (HCK4)

Bezpečnost, Kyberbezpečnost

Kurz vás provede nejčastějšími bezpečnostními chybami v moderních aplikacích podle aktuálního žebříčku OWASP Top 10. Zaměříme se nejen na technické zranitelnosti, ale i na návrhové chyby a procesní slabiny, které vedou k ohrožení aplikací v reálném provozu. Významnou součástí kurzu je téma Secure Design, tedy jak navrhovat bezpečné systémy už od prvních fází vývoje.

Kurz je postaven velmi prakticky – každé téma doprovázejí reálné ukázky útoků, rozbory kódu i praktická hands-on cvičení, která účastníci samostatně řeší. Samostatný blok je věnován bezpečnosti REST a SOAP API, které dnes tvoří komunikační základ většiny webových i mobilních aplikací.

Privátní školení a termíny na míru

Toto téma je možné zrealizovat pouze jako privátní, a to nejen formou uzavřeného firemního kurzu, ale také jako individuální konzultaci pro jednotlivce.

V případě kurzu na míru je níže uvedená osnova pouze inspirací. Finální obsah vzdělávání, jeho délka i termíny budou přizpůsobeny konkrétním vstupním znalostem, potřebám a cílům účastníků.

Cenovou nabídku vám rádi připravíme na základě vstupů zaslaných e-mailem nebo zadaných prostřednictvím poptávkového formuláře. Cena privátního školení vychází z náročnosti požadované obsahové náplně školení, časového rozsahu a celkového počtu přihlášených osob.

KDE A KDY KURZ PROBÍHÁ?

Kontaktujte nás

S námi máte na výběr: Přijďte na kurz osobně do naší učebny, nebo se ke kurzu připojte online. Pokud preferujete online formu, uveďte prosím do poznámky v objednávce "Připojím se virtuálně".
Více informací k hybridní formě školení naleznete zde.
Vlastní

Náplň kurzu:

Skrýt detaily
  • Úvod do aplikační bezpečnosti
    1. Mentalita útočníka a principy secure mindsetu
    2. Shrnutí známých reálných incidentů a dopadů
    3. Seznámení s projektem OWASP a významem Top 10
    4. Vztah k DevSecOps a bezpečnostní kultuře ve firmě
  • A01: Broken Access Control
    1. Proč vznikají chyby v řízení přístupu
    2. Nejčastější typy chyb: IDOR, chybějící kontroly na úrovni serveru
    3. Příklady reálných incidentů a nesprávných implementací
    4. Prevence a detekce nedostatečné kontroly přístupů
  • A02: Cryptographic Failures
    1. Selhání v šifrování přenosu a ukládání dat
    2. Chyby v používání algoritmů, nesprávná implementace TLS
    3. Špatné ukládání hesel a hashovacích funkcí
    4. Doporučení pro ukládání, transport a správu citlivých dat
  • A03: Injection
    1. Typy injekčních útoků: SQL, OS, LDAP, NoSQL
    2. Vstupy bez validace a jejich průnik do interpretrů
    3. Vliv frameworků na vkládání hodnot do dotazů nebo příkazů
    4. Techniky prevence a bezpečného zpracování vstupů
  • A04: Insecure Design / SSDLC
    1. Rozdíl mezi chybou návrhu a implementace
    2. Principy bezpečného návrhu (secure-by-design)
    3. Threat modeling a identifikace rizik v rané fázi vývoje
    4. Vzory bezpečných návrhů a příklady jejich použití
    5. Zpětná kontrola návrhu vs. dodatečná oprava zranitelnosti
  • A05: Security Misconfiguration
    1. Nejčastější slabiny v konfiguračních souborech a nástrojích
    2. Defaultní účty, otevřené porty, chybějící hlavičky, špatné CORS
    3. Význam bezpečných výchozích hodnot
    4. Automatizované skenování a kontrola konfigurace
  • A06: Vulnerable and Outdated Components
    1. Rizika závislosti na starších verzích knihoven a modulů
    2. Identifikace zranitelností pomocí CVE, SBOM
    3. Proces aktualizací a řízení závislostí
    4. Důležitost testování po aktualizaci
  • A07: Identification and Authentication Failures
    1. Prolomení hesel, session hijacking, slabá autentizace
    2. Špatně nastavené cookies, neobnovované tokeny
    3. Význam vícefaktorové autentizace (MFA)
    4. Odlišnosti v autentizaci u klasických aplikací a API
  • A08: Software and Data Integrity Failures
    1. Neověřené moduly, aktualizace a dodavatelské řetězce
    2. Integrita build procesů (CI/CD)
    3. Signování kódu a aktualizací
    4. Důvěra v externí repozitáře a knihovny
  • A09: Security Logging and Monitoring Failures
    1. Co a kdy logovat z pohledu bezpečnosti
    2. Vztah k forenzní analýze a detekci incidentů
    3. Nejčastější chyby: absence logů, nechráněné logy
    4. Základy integrace do SIEM a alertingu
  • A10: Server-Side Request Forgery (SSRF)
    1. Princip SSRF a proč je stále častější
    2. Příklady chyb při zpracování uživatelských URL nebo webhooků
    3. Možnosti zneužití v cloudu nebo interních sítích
    4. Ochranné mechanismy (allowlist, metadata blocking)
  • Bezpečnost REST a SOAP API
    1. Rozdíly mezi klasickou aplikací a REST/SOAP rozhraním
    2. Vstupy, autentizace a autorizace na úrovni API
    3. Problémy s rate limitingem, pagination, IDOR, HPP
    4. Management tokenů a datová izolace mezi tenanty
    5. Propojení s OWASP API Top 10 a dopady do návrhu
Předpokládané znalosti:
Základní znalost vývoje nebo testování webových aplikací. Orientace v HTTP, webových technologiích, případně shellu.
Časový rozvrh:
2 dny (9:00hod. - 17:00hod.)

Vybrané zákaznické reference

Asseco Central Europe, a.s., Jan P.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení se mi velmi líbilo. Lektor mi přišel opravdu zkušený a je vidět, že ho téma zajímá a baví. Z hlediska cílové skupiny mi přišlo spíše pro BE/ fullstack vývojáře. Komplexita byla více než dostatečná, mohlo by navazovat školení se zaměřením čistě na vývoj FE."
innogy Česká republika, a.s., Jiří H.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Dobrý den, nemohu hodnotit jinak než kladně. Profesionalita, znalosti a zároveň přátelský/osobní přístup lektora byly dokonalé."
Česká správa sociálního zabezpečení, Jan K.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo úžasné a lektor s neuvěřitelnými vědomostmi."
Česká správa sociálního zabezpečení, Jana F.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Velmi přínosné školení, skvělá odbornost lektora."
Česká správa sociálního zabezpečení, Martin M.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Školení bylo perfektní. Na dané téma by se dalo mluvit a proškolit mnohem více, kdyby bylo více času. Lektor mi i za ten týden naučil opravdu spousty nových věcí a dozvěděl jsem se spousty nových informací. "
ITS akciová společnost, Jan V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Přátelský přístup lektora, srozumitelný výklad, hezká prezentace. Informací a materiálů je tolik, že by to vydalo klidně i na měsíční školení :) Díky"
T-Mobile Czech Republic a.s., Radomír M.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Výborné přehledové školení na Web jak pro vývojaře webů, tak pro it security. Možnost se kdykoliv přerušit zeptat se na detaily atp."
AlbisTech s.r.o., Tomáš V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"Můj dojem ze školení je výborný. Lektor byl profesionál s velkým množstvím znalostí a zkušeností. Bylo vidět, že problematice opravdu rozumí. Získal jsem plno informací a materiálů, které mi velmi pomohou v dalším profesním růstu. Jsem velice spokojený."
ententee s.r.o., Petr V.
Bezpečnost webových aplikací v praxi – OWASP Top 10 a API ( HCK4)
"velká profesionalita pana Šottla - jak odborná, tak trenérská. Perfektně splnil obtížné zadání- do 3 hodin kondenzovat ochutnávku 2 denního kurzu, abychom mohli definovat individuální follow-upy. Velmi ochotně nad rámec tréninku dodal tipy na dlší studium problematiky... -> 5* "