Detail kurzu
WebHacking v praxi – zraniteľnosti webových aplikácií
GOPAS SR, a.s.
Popis kurzu
Toto školenie vás zasvätí do tajov webhackingu a zraniteľností webových aplikácii. Umožní vám do detailu pochopiť aj vyskúšať metódy, pomocou ktorých sa prevádzajú útoky na webové aplikácie a pridružené systémy. V priebehu kurzu si postupne vysvetlíme a vyskúšame všetko, čo potrebujete poznať pre obranu proti technikám útokov zneužívajúcich identity koncových užívateľov, útoky vedúce ku krádeži uložených dát, alebo k defacementu webových stránok, či kompletnému ovládnutiu webového servera. Tento kurz vás naučí ako si otestovať bezpečnosť svojich webových aplikácii skôr, než to za vás urobí nevítaný votrelec.
Obsah kurzu
Čo vás naučíme
Náš ojedinelý kurz Webhackingu v praxi vám umožní do detailu pochopiť a vyskúšať metódy, pomocou ktorých bývajú vedené útoky proti webovým aplikáciám. V priebehu kurzu si postupne vysvetlíme a vyskúšame všetko, čo potrebujete poznať pre obranu proti technikám útokov zneužívajúcich identity koncových užívateľov, útokov vedúcich ku krádeži uložených dát, alebo k defacementu webových stránok, či kompletnému ovládnutiu webového servera.
Požadované vstupné znalosti
Kurzu sa môžu zúčastniť všetci, ktorí majú znalosti na úrovni kurzov INTHTML, INJS a INTPH1, alebo aspoň základné praktické skúsenosti s tvorbou webových stránok s využitím HTML, JavaScriptu a PHP Znalosti a skúsenosti v oblasti správy databázového systému MS SQL Server 2012
Metódy výučby
Odborný výklad s praktickými ukážkami a príkladmi, praktické cvičenia na počítačoch.
Študijné materiály
Knižné publikácie podľa ponuky odborných vydavateľstiev.
Osnova kurzu
Úvod
- Úvod do HTTP protokolu
- Autentizácie na webových stránkach
- Metódy autorizácie (použitie cookies, premenné v URL, FlashVars, ---- Browser Fingerprinting)
- Session Prediction
- Session Fixation
- Web Parameters Tampering
Útoky proti užívateľom
- Open Redirect
- Content Spoofing, Cross-Site Messaging
- Cross-Site Request Forgery (CSRF)
- Clickjacking
- Cross-Site Scripting (XSS)
- Cross-Site Flashing
- CRLF injetion
- JavaScript Hijacking
Útoky proti databáze
- Úvod do SQL, Information Schema
- SQL injection
- Blind SQL injection
- Time based SQL injection
- Forced Browsing
Útoky proti webovej aplikácii
- Directory Listning
- Full Path Disclosure
- Server-Side Request Forgery (SSRF)
- Zraniteľnosti XML (napr. XXE)
- Insecure Direct Object References
- Nedostatočná autorizácia
- Nezabezpečený download
- Nezabezpečený upload
- Code Injection
- Command Injection
- Local File Disclosure
- Remote File Include
- Local File Include
- Problémy zdieľaných webhostingov
- Buffer overflow
- Server-Site exploitace
- ExploitKity
- Nástroje pre automatické testovanie webových aplikácií
Cieľová skupina
Kurz je určený vývojárom a prevádzkovateľom webových aplikácií, ktorí chcú porozumieť postupom útočníkov pri napádaní webových aplikácii. Na mnohých praktických ukážkach si ukážeme, ako je možné zneužiť konkrétne zraniteľnosti webovej aplikácie k defacementu stránok, krádeži uložených dát, alebo ku krádeži a zneužitiu identity koncových užívateľov.
Kurz môžeme odporučiť taktiež bežným užívateľom so základnými znalosťami tvorby webových stránok, ktorí by sa radi dozvedeli o možných útokoch, ktoré im pri bežnom surfovaní hrozia. Behom tohto kurzu sa dozviete mnoho informácií ako zlepšiť bezpečnostné návyky pri prechádzaní webových stránok, aby ste obmedzili možné riziká.
Pretože v priebehu kurzu používame operačný systém Windows, je možné všetky preberané postupy vďaka multiplatformovým nástrojom aplikovať aj na iných operačných systémoch. Jednotlivé zraniteľnosti sú potom demonštrované na webovej aplikácii vytvorené v PHP s použitím databázového systému MySQL. Princípy útokov sú ale viac-menej zhodné aj pri použití iných programovacích jazykov.
V cene kurzu je zahrnutá príručka.
Kontaktná osoba
Hodnotenie
Organizátor
Podobné kurzy
podľa názvu a lokality