Подача информации удобна, доступна. На все вопросы получены исчерпывающие ответы. Отношение очень до.. ...»
Светлана Назарова
Все очень понравилось. Организация на высшем уровне... ...»
Вербовская Надежда
Уже есть некоторые сдвиги в питон программировании... ...»
Александр
Курс действительно великолепный. Я бы расширила и углубила его еще на столько же часов. Занятия бы с.. ...»
Жанна

Атака и защита веб - сайтов по OWASP Top 10

Атака и защита веб - сайтов по OWASP Top 10
531 бел. руб.
Метка#: UZJR2L8LE9
Статус курса: Ведется набор
  • ЗаказатьOpen or Close
    Пожалуйста, укажите полное имя (Ф.И.О.), свой номер телефона, e-mail чтобы мы могли записать Вас на выбранный курс.
    *Фамилия, Имя, Отчество
    *Номер телефона
    *E-mail
    Почтовый адрес и комментарий к заявке
    *Введите код
    captchacaptchacaptchacaptcha

По окончании курса Вы будете уметь:

  • проводить анализ и выполнять последовательное тестирование всех способов атаки на веб-приложения по классификации OWASP Top 10.
Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы. Большинство выпускников наших курсов делают успешную карьеру и пользуются уважением работодателей.

Продолжительность курса - 24 ак. ч.

Программа курса:

для печати
  Тема Ак. часов  
   
  Модуль 1.Концепции веб-сайтов
  • Принципы работы веб-серверов и веб-приложений
  • Принципы безопасности веб-сайтов и веб-приложений
  • Что такое OWASP
  • Обзор классификации OWASP Top 10
  • Знакомство с инструментами для выполнения атак
  • Настройка лаборатории

Лабораторная работа:  Установка, настройка и запуск учебного сайта

2  
  Модуль 2.Инъекции
  • Что такое инъекции и почему они становятся возможными

Не SQL инъекции

  • HTML инъекции
  • Что такое iFrame
  • iFrame инъекции
  • Что такое LDAP
  • LDAP инъекции
  • Что такое почтовые заголовки
  • Инъекции в почтовых заголовках
  • Инъекции команд операционной системы
  • Инъекции PHP кода
  • Что такое включения на стороне сервера (SSI)
  • SSI инъекции  
  • Концепции языка структурированных запросов (SQL)

Простые SQL инъекции

  • SQL инъекции
  • Что такое AJAX/JSON/jQuery
  • SQL инъекции в AJAX/JSON/jQuery
  • Что такое CAPTCHA
  • SQL инъекции  в обход CAPTCHA
  • SQLite инъекции
  • Пример SQL инъекции в Drupal
  • Что такое хранимые SQL инъекции
  • Хранимые SQL инъекции
  • Хранимые SQLite инъекции
  • Концепции XML
  • Хранимые SQL инъекции в XML
  • Использование User-Agent
  • SQL инъекции в поле User-Agent

Слепые SQL инъекции

  • Слепые SQL инъекции на логической основе
  • Слепые SQL инъекции на временной основе
  • Слепые SQLite инъекции
  • Что такое протокол доступа к объектам (SOAP)
  • Слепые SQL Injection в SOAP
  • XML/XPath инъекции

Лабораторная работа:  Выполнение атак на учебный веб-сайт с применением инъекций и защита сайта от таких атак.

4  
  Модуль 3.Взлом аутентификации и сеанса

Атаки на аутентификацию

  • Обход CAPTCHA
  • Атака на функционал восстановления паролей
  • Атака на формы входа
  • Атака на управление выходом
  • Атаки на пароли
  • Использование слабых паролей
  • Использование универсального пароля

Атаки на управление сеансом

  • Атаки на административные порталы
  • Атаки на  Cookies
  • Атаки на передачу идентификатора сеанса в URL
  • Фиксация сеанса

Защита от атак на аутентификацию и управление сеансом
Лабораторная работа:  Выполнение атак на учебный веб-сайт с применением атак на аутентификацию и управление сеансом.

2  
  Модуль 4.Межсайтовый скриптинг (XSS)
  • Концепции XSS

Отраженные XSS

  • Отраженная XSS в GET запросах
  • Отраженная XSS в POST запросах
  • Что такое JSON
  • Отраженная XSS в JSON
  • Что такое AJAX
  • Отраженная XSS в AJAX
  • Отраженная XSS в XML
  • Отраженная XSS в кнопке возврата
  • Что такое функция Eval
  • Отраженная XSS в функции Eval
  • Что такое атрибут HREF
  • Отраженная XSS в атрибуте HREF
  • Отраженная XSS в форме входа
  • Что такое phpMyAdmin
  • Пример отраженной XSS в phpMyAdmin
  • Что такое переменная PHP_SELF
  • Отраженная XSS в переменной PHP_SELF
  • Что такое заголовки HTTP
  • Отраженная XSS а заголовке Referer
  • Отраженная XSS в заголовке User-Agent
  • Отраженная XSS в пользовательских заголовках

Хранимые XSS

  • Хранимые XSS в записях блогов
  • Хранимые XSS при смене пользовательских данных
  • Хранимые XSS в Cookies
  • Хранимые XSS в SQLiteManager
  • Хранимые XSS в заголовках HTTP
  • Защита от XSS атак

Лабораторная работа:  Выполнение атак на учебный веб-сайт с помощью отраженных и хранимых XSS и защита сайта от таких атак.

2  
  Модуль 5.Прямые ссылки на объекты (DOR)
  • Концепции DOR
  • Пример атаки на небезопасную прямую ссылку при смене пароля пользователя
  • Пример атаки на небезопасную прямую ссылку при сбросе пароля пользователя
  • Пример атаки на небезопасную прямую ссылку при заказе билетов в интернет-магазине

Лабораторная работа:  Выполнение атак на учебный веб-сайт с помощью DOR и защита сайта от таких атак.

2  
  Модуль 6.Небезопасная конфигурация
  • Принципы атак на конфигурацию
  • Произвольный доступ к файлам в Samba
  • Файл междоменной политики Flash
  • Общие ресурсы в AJAX
  • Межсайтовая трассировка (XST)
  • Отказ в обслуживании (Large Chunk Size)
  • Отказ в обслуживании (Slow HTTP DoS)
  • Отказ в обслуживании (SSL-Exhaustion)
  • Отказ в обслуживании (XML Bomb)
  • Небезопасная конфигурация DistCC
  • Небезопасная конфигурация FTP
  • Небезопасная конфигурация NTP
  • Небезопасная конфигурация SNMP
  • Небезопасная конфигурация VNC
  • Небезопасная конфигурация WebDAV
  • Локальное повышение привилегий
  • Атака «Человек посередине» в HTTP
  • Атака «Человек посередине» в SMTP
  • Небезопасное хранение архивных файлов
  • Файл robots

Лабораторная работа:  Выполнение атак на конфигурацию учебного веб-сервера и защита от таких атак.

2  
  Модуль 7.Утечка чувствительных данных
  • Принципы атак, приводящих к утечке данных
  • Использование кодировки Base64
  • Открытая передача верительных данных по HTTP
  • Атаки на SSL BEAST/CRIME/BREACH
  • Атака на уязвимость Heartbleed
  • Уязвимость POODLE
  • Хранение данных в веб-хранилище HTML5 
  • Использование устаревших версий SSL
  • Хранение данных в текстовых файлах

Лабораторная работа:  Выполнение атак на учебный веб-сайт с применением техник раскрытия чувствительных данных и защита сайта от таких атак.

2  
  Модуль 8.Отсутствие контроля доступа к функциональному уровню
  • Принципы атак на функциональный уровень
  • Что такое обход каталога
  • Обход каталога в каталогах
  • Обход каталога в файлах
  • Предназначение заголовка хоста в HTTP
  • Атака на заголовок Host, приводящая к отравлению кэша
  • Атака на заголовок Host, приводящая к сбросу пароля
  • Концепции подключения локального или удаленного файла
  • Включение локального файла в SQLiteManager
  • Включение локального или удаленного файла (RFI/LFI)
  • Другие возможности ограничения доступа
  • Атака на ограничение доступа устройств
  • Атака на ограничение доступа к каталогам
  • Что такое подделка запросов на стороне сервера (SSRF)
  • Атака SSRF
  • Что такое внешние объекты XML (XXE)
  • Атака на XXE

Лабораторная работа:  Выполнение атак на функционал учебного веб-сервера и защита от таких атак.

2  
  Модуль 9.Подделка межсайтовых запросов (CSRF)
  • Принципы CSRF атак  
  • Подделка межсайтовых запросов при смене пароля
  • Подделка межсайтовых запросов при смене пользовательских данных
  • Подделка межсайтовых запросов при переводе денежных средств в интернет-банкинге

Лабораторная работа:  Выполнение атак на учебный веб-сайт с помощью CSRF и защита сайта от таких атак.

2  
  Модуль 10.Использование компонентов с известными уязвимостями
  • Концепции инвентаризации уязвимостей
  • Что такое переполнение буфера
  • Локальные атаки на переполнение буфера
  • Удаленные атаки на переполнение буфера
  • SQL инъекция в Drupal (Drupageddon)
  • Уязвимость Heartbleed
  • Удаленное исполнение кода в PHP CGI
  • Атака на функцию PHP Eval
  • Уязвимость в phpMyAdmin BBCode Tag XSS
  • Уязвимость Shellshock
  • Подключение локального файла в SQLiteManager
  • Инъекция PHP кода в SQLiteManager
  • XSS в SQLiteManager

Лабораторная работа:  Выполнение атак на учебный веб-сервер с использованием эксплойтов на известные уязвимости и защита сервера от таких атак.

2  
  Модуль 11.Невалидированные редиректы
  • Концепции редиректа в веб-приложениях
  • Пример невалидированного редиректа 1
  • Пример невалидированной пересылки 2

Лабораторная работа:  Выполнение атак на учебный веб-сайт с помощью невалидированных редиректов и защита сайта от таких атак.

2  
  Аудиторная нагрузка в классе с преподавателем 24+12
бесплатно
 
  По окончании обучения на курсе проводится итоговая аттестация. Аттестация проводится в виде теста на последнем занятии или на основании оценок практических работ, выполняемых во время обучения на курсе.    

Дорогие слушатели, сервис организации обучения "EDUCATOR" и учебный центр "СПЕЦИАЛИСТ" при МГТУ им. Н.Э. Баумана г.Москва, подготовили для вас данный курс в режиме онлайн. Обучение построено посредством вебинаров, что дает возможность освоить данную дисциплину слушателю из любой точки Республики Беларусь или Мира. Для комфортного обучения понадобится только средство коммуникации (компьютер, ноутбук, планшет или смартфон) и доступ к интернету.

 

Преподователь: Клевогин Сергей Павлович

Предварительная подготовка

 

Требуемая подготовка: Успешное окончание курса Тактическая периметровая защита предприятия или эквивалентная подготовка.

Требуемая подготовка: Успешное окончание курса Английский язык для IT специалистов (pre - intermediate) или знание технического английского языка.

Рекомендуемая подготовка (необязательная): Успешное окончание курса CEH. Этичный хакинг и тестирование на проникновение или эквивалентная подготовка.

Расписание занятий:

Дорогие слушатели, мы составили гибкое расписание занятий для вас. Для комфортного освоения материала обучение проходит в:

  • Утренних группах (10.00-13.00);
  • Утро-день (10.00-17.10);
  • Дневных (14.00-17.10);
  • Вечерних группах (18.30-21.30);
  • Группах выходного дня.

Время проведения онлайн обучения - "Московское" (для жителей Республики Беларусь оно совпадает с местным). Это позволит вам выбрать наиболее удобное для вас время и темп обучения.

Для уточнения расписания курса воспользуйтесь "интерактивным расписанием", свяжитесь с методистам по телефонам,через форму онлайн консультанта или укажите в форме заявке курса.

Повышение квалификации

Вы решили расти как специалист? Повысить свою квалификацию? Мы подготовили вам комплексные программы повышения квалификации (см. здесь) по различным направлениям (специализациям) IT сферы. Программа повышения квалификации включает в себя все необходимые материалы для полного объема знаний согласно заявленной специализации.

Желаем вам успехов в освоении выбранных программ!

Написать отзыв

Ваше имя:

Ваш отзыв:

Примечание: HTML разметка не поддерживается! Используйте обычный текст.

Оценка: Плохо           Хорошо

Введите код, указанный на картинке:


Educator | Сервис организации дистанционного обучения ©2013.
TopEnergy.by - создание сайта | продвижение сайта
Занятия транслируются из Учебного Центра "Специалист" при МГТУ имени Н.Э. Баумана
 

Заказать
Пожалуйста, укажите полное имя (Ф.И.О.), свой номер телефона, e-mail чтобы мы могли записать Вас на выбранный курс.

*Фамилия, Имя, Отчество
*Номер телефона
*E-mail
Почтовый адрес и комментарий к заявке
*Введите код
captchacaptchacaptchacaptcha