WebHacking v praxi – zraniteľnosti webových aplikácií

GOPAS SR, a.s.

Popis kurzu

Obsah kurzu

Čo vás naučíme

Náš ojedinelý kurz Webhackingu v praxi vám umožní do detailu pochopiť a vyskúšať metódy, pomocou ktorých bývajú vedené útoky proti webovým aplikáciám. V priebehu kurzu si postupne vysvetlíme a vyskúšame všetko, čo potrebujete poznať pre obranu proti technikám útokov zneužívajúcich identity koncových užívateľov, útokov vedúcich ku krádeži uložených dát, alebo k defacementu webových stránok, či kompletnému ovládnutiu webového servera.

Požadované vstupné znalosti

Kurzu sa môžu zúčastniť všetci, ktorí majú znalosti na úrovni kurzov INTHTML, INJS a INTPH1, alebo aspoň základné praktické skúsenosti s tvorbou webových stránok s využitím HTML, JavaScriptu a PHP Znalosti a skúsenosti v oblasti správy databázového systému MS SQL Server 2012

Metódy výučby

Odborný výklad s praktickými ukážkami a príkladmi, praktické cvičenia na počítačoch.

Študijné materiály

Knižné publikácie podľa ponuky odborných vydavateľstiev.

Osnova kurzu

Úvod

• Úvod do HTTP protokolu
• Autentizácie na webových stránkach
• Metódy autorizácie (použitie cookies, premenné v URL, FlashVars, ---- Browser Fingerprinting)
• Session Prediction
• Session Fixation
• Web Parameters Tampering

Útoky proti užívateľom

• Open Redirect
• Content Spoofing, Cross-Site Messaging
• Cross-Site Request Forgery (CSRF)
• Clickjacking
• Cross-Site Scripting (XSS)
• Cross-Site Flashing
• CRLF injetion
• JavaScript Hijacking

Útoky proti databáze

• Úvod do SQL, Information Schema
• SQL injection
• Blind SQL injection
• Time based SQL injection
• Forced Browsing

Útoky proti webovej aplikácii

• Directory Listning
• Full Path Disclosure
• Server-Side Request Forgery (SSRF)
• Zraniteľnosti XML (napr. XXE)
• Insecure Direct Object References
• Nedostatočná autorizácia
• Nezabezpečený download
• Nezabezpečený upload
• Code Injection
• Command Injection
• Local File Disclosure
• Remote File Include
• Local File Include
• Problémy zdieľaných webhostingov
• Buffer overflow
• Server-Site exploitace
• ExploitKity
• Nástroje pre automatické testovanie webových aplikácií

Cieľová skupina

Kurz je určený vývojárom a prevádzkovateľom webových aplikácií, ktorí chcú porozumieť postupom útočníkov pri napádaní webových aplikácii. Na mnohých praktických ukážkach si ukážeme, ako je možné zneužiť konkrétne zraniteľnosti webovej aplikácie k defacementu stránok, krádeži uložených dát, alebo ku krádeži a zneužitiu identity koncových užívateľov.

Kurz môžeme odporučiť taktiež bežným užívateľom so základnými znalosťami tvorby webových stránok, ktorí by sa radi dozvedeli o možných útokoch, ktoré im pri bežnom surfovaní hrozia. Behom tohto kurzu sa dozviete mnoho informácií ako zlepšiť bezpečnostné návyky pri prechádzaní webových stránok, aby ste obmedzili možné riziká.

Pretože v priebehu kurzu používame operačný systém Windows, je možné všetky preberané postupy vďaka multiplatformovým nástrojom aplikovať aj na iných operačných systémoch. Jednotlivé zraniteľnosti sú potom demonštrované na webovej aplikácii vytvorené v PHP s použitím databázového systému MySQL. Princípy útokov sú ale viac-menej zhodné aj pri použití iných programovacích jazykov.

V cene kurzu je zahrnutá príručka.

Kontaktná osoba

+421 902 903 132
info@gopas.sk

Hodnotenie