Bezpieczeństwo JWT

Pierwsza edycja za nami

Zakończyliśmy pierwszą edycję szkolenia.

Chcesz otrzymać informację, gdy ruszymy z drugą edycją?

Zapisz się do newslettera.

Jesteś pentesterem/programistą?

Chcesz dowiedzieć się jak działają tokeny JWT?

Jak sprawdzać ich bezpieczeństwo? Na co zwrócić uwagę? Jakie błędy można popełnić?

Zapisz się na darmowe szkolenie.

FAQ - pytania i odpowiedzi

  • Czy szkolenie jest bezpłatne?

    Tak - jest w 100% bezpłatne. Po jego zakończeniu poproszę Cię jedynie o wypełnienie krótkiej, nieobowiązkowej, anonimowej ankiety.

  • Jestem programistą. Czy to szkolenie jest dla mnie?

    W ramach projektu pokazuję celowo źle napisany kod i omawiam błędy jakie w nim występują. Dzięki temu dowiesz się jakie pułapki czyhają na programistę, który chce korzystać z tego rozwiązania.

    Materiały w Internecie skupiają się na opisie błędów ale mało kto pokazuję jak je naprawiono i co było ich przyczyną.

    Narzędzia pokazane podczas szkolenia można również użyć do testowania aplikacji korzystającej z JWT - nie tylko pod kątem bezpieczeństwa.

  • Jestem pentesterem. Dowiem się czegoś nowego?

    Przygotowałem kilka zadań o różnym poziomie skomplikowania. Możesz je uruchomić na swoim komputerze i sprawdzić, czy dasz radę rozwiązać je samemu.

    Na szkoleniu pokażę sposoby na automatyzację oraz narzędzia, z których można skorzystać.

  • Co muszę mieć zainstalowane na swoim komputerze?

    docker i docker-compose oraz Burp Suite w wersji darmowej (community)

  • Czy wymagana jest jakaś wcześniejsza wiedza?

    Podstawowa znajomość systemu Windows/Linux.

  • Jak będzie wyglądało to szkolenie?

    Szkolenie opiera się na praktycznej wiedzy. Przygotowałem dla Was zestaw małych, podatnych aplikacji. Każda zawiera inny błąd powiązany z tematyką JWT.

    Aplikacje te każdy uczestnik będzie mógł uruchomić lokalnie, na swoim komputerze przy pomocy dockera. Pliki Dockerfile oraz dokładniejsza instrukcja zostanie wysłana do uczestników dzień przed planowanym szkoleniem.

    Całość rozpoczniemy krótką prezentacją. Opowiem co to jest JWT, czym różni się od JWS i JWE. Dowiesz się dlaczego to rozwiązanie stało się takie popularne i jakie problemy rozwiązuje.

    Następnie przejdę do omawiania problemów. Zobaczysz slajdy, gdzie w prosty sposób wytłumaczę na czym polega dana podatność.

    Potem zobaczymy błąd w praktyce i spróbujemy zaatakować podaną aplikację przy użyciu Burpa. Na koniec prześledzimy kod źródłowy i zastanowimy się co poszło nie tak i jakie błędy popełnił programista.

  • Czy będzie można zadawać pytania?

    Tak, cały czas będzie dostępny czat, na którym będzie się można dzielić swoimi spostrzeżeniami.

  • Po co Ci mój email?

    Otrzymasz na niego materiały oraz instrukcję. Dzięki temu nie będziemy tracić czasu na przygotowania. Wyślę Ci również przypomnienie abyś nie przegapił wydarzenia.

  • Czy muszę podawać swój adres email?

    Nie jest to konieczne. Wtedy nie otrzymasz materiałów dzień przed szkoleniem.

  • Ile potrwa szkolenie?

    Około dwóch godzin. Całość może się jednak przedłużyć w zależności od ilości pytań zadawanych przez uczestników.

  • Jakie tematy będą poruszane?

    • Różnica pomiędzy JWT/JWS/JWE
    • Jakie algorytmy występują w tokenach
    • CVE-2015-2951
    • CVE-2018-0114
    • CVE-2019-7644
    • KID Injection
    • Łamanie haszy metodą siłową
  • Czy otrzymam certyfikat uczestnictwa?

    Nie

  • Z jakiej platformy będziemy korzystać?

    Całość odbędzie się na YouTube.

  • Czym szkolenie różni się od webinaru/live?

    Szkolenie podzielone jest na segmenty - każda część to inna podatność. Będę odpowiadał na pytania uczestników na bieżąco a nie tyko na końcu - tak jak to ma miejsce podczas normalnego webinaru.

    Live to zazwyczaj zaprezentowanie treści prezentacji. Tym razem połowa czasu zostanie przeznaczona na demonstrację jak przeprowadzić ataki w praktyce.

  • Czy warsztaty będzie można oglądnąć w późniejszym terminie? Czy będzie nagrywany?

    Nie, wymagane jest uczestnictwo na żywo.

  • Ten termin mi nie pasuje. Czy będzie dostępne nagranie?

    Nagranie nie będzie dostępne. Niestety nie da się dostosować do każdego. Zapraszam do kolejnej edycji szkolenia.

  • Dlaczego nie udostępnisz nagrania?

    Celem szkolenia jest uzyskanie praktycznej wiedzy. Kursanci powinni więc spróbować rozwiązać zadania samodzielnie na podstawie udzielonych wskazówek. Podczas tego procesu mogą pojawić się pytania - stąd istotne jest uczestnictwo na żywo.

  • Czy planujesz kolejną edycję tego szkolenia?

    Tak, jednak nie jestem w stanie podać konkretnych dat.

  • Nie znam Cię. Kim jesteś i skąd wiem, że to szkolenie będzie wartościowe?

    Od dwóch lat nagrywam darmowe materiały na YouTube. Sprawdź je i oceń samemu.

  • Czy liczba uczestników jest ograniczona?

    Nie

  • Mam inne pytanie/coś jest niejasne?

    Napisz email na [email protected]