Typeالتدريب الفصول الدراسية
اشترك

تدريب CAST 613 في جورجاون

التفصيل

الجمهور والمتطلبات الأساسية

بالطبع مخطط

الجدول الزمني والرسوم

شهادة

Hacking and Hardening Corporate Web App / Web Site - CAST 613 Training

يمكن للبرامج الضارة التي تفسد أجهزة الكمبيوتر المكتبية إفشاء بيانات اعتماد FTP أو بيانات اعتماد المسؤول. يمكن بعد ذلك استخدام بيانات الاعتماد هذه للوصول إلى خادم الويب ، وموقع الويب ، وحتى الموارد الأخرى على شبكة الشركة. يهدف هذا المساق إلى محاكاة أعمال الغازي باستغلال نقاط الضعف في أمن الشبكات دون المخاطر المعتادة. من المهم جدًا حماية بياناتك ونظامك نظرًا لأن هجمات القرصنة قد تضر بسمعة الشركة إلى درجة أنها تفقد عائدها وعملائها.

اهدافنا

  • إنشاء تخزين كلمة مرور غير آمنة
  • اختبر المخاطر في ميزة "تذكرني"
  • فهم البيانات غير الآمنة والتعقيم
  • أعمى مزود حقن
  • إنشاء ممارسات لتعقيم المدخلات
  • فهم XSS وترميز المخرجات
  • أعد المصادقة قبل الإجراءات الأساسية
  • اختبار للمصادقة على القوة الغاشمة
  • بيانات الحصاد عن طريق الحقن.
  • أتمتة الهجمات مع حافيج

الجمهور المستهدف

إذا كنت قد تلقيت دورات ترميز آمنة في الماضي ، فقد تعتقد أن هذا سيكون هو نفسه. لا شيء أوضح من الحقيقة. هذه الدورة هي نهج مختلف تماما. سيخبرك معظم المطورين أنه إذا عرفت كيف يمكن للقراصنة الدخول ، فمن السهل عادة إصلاحها. هذا هو فقط. لم يحاول المطورون اختراق شفرةهم الخاصة أو رمز شخص آخر. ربما ليس لديهم المهارات اللازمة للقيام بذلك. هل هذا يجعلهم مجرد شخص شريف؟ ربما ، لكن في عالم اليوم ، هذا ليس شيئًا جيدًا ولكنه شيء سيء جدًا. يجب أن ندرك الأشياء التي يمكن أن تحدث لك أو لن تتمكن من حماية نفسك. المتسللون فعلا من السهل جدا أنهم بحاجة فقط إلى البحث عن ثقب 1 للدخول. يجب على المطور سد جميع الثقوب. يجب على المطور أن يكون مواكبا لأحدث التهديدات الأمنية. قد يطالب بعض المطورين بأن وظيفة المطور ليست مهمة المطور ، أي مهمة قسم الأمن. هذا هو القمامة النقية. كل لديه يد في حماية بيئة الشركات. كل حصة هذه المسؤولية. في حين أن الإصبع يشير إلى أن الهاكر يستمتع بنفسه بكل الملكية الفكرية ، أو معلومات الموارد البشرية ، أو أي شيء آخر يمكنه استثماره. تم تصميم هذه الدورة التدريبية حتى إذا فهمت منطق البرمجة يمكنك الاستفادة من هذه الدورة.

Course Outline المدة: 3 Days

1.المقدمة

  • حول الدورة والمؤلف تيم Pierson
  • لماذا قمت بتطوير القرصنة وتصلب موقع شركتك / WebApp: وجهة نظر مطور
  • تقديم الموقع الضعيف
  • استخدام أدوات اختبار تكلفة باهظة التكلفة للغاية مثل أدوات Firefox / Firebug أو مطوري برامج Chrome (تأتي مع Chrome).
  • تقديم بعض الإضافات المجانية إلى Chrome و Firefox ، هل أذكر أنها كانت مجانية؟
  • مراقبة وإنشاء الطلبات باستخدام وكيل شائع مثل Fiddler أو Paros أو Burp Suite.
  • تعديل الطلبات والاستجابات في Fiddler لتغيير ما يحدث وما يأتي قبل أن يقوم المتصفح بجعله.
  • المتصفح ببساطة يقرأ التعليمات البرمجية من الأعلى إلى الأسفل. لا توجد فكرة عما هو جيد أو سيئ أو ضار أو غير ذلك.
  • يشبه تصفح الويب كل موقع تذهب إليه على قوقعة!

2. تشفير فك تشفير

  • المقدمة
  • التشفير - تعريف
  • خوارزمية التشفير
  • تشفير متماثل
  • تشفير غير متماثل
  • وقت الكراك
  • سياسات كلمة المرور ولماذا ببساطة لا تعمل!
  • لا تستخدم كلمة مرور كل مرة! استخدم عبارة مرور بدلاً من ذلك!
  • تجزئة
  • تصادم تجزئة
  • خوارزميات هاش مشتركة
  • التوقيعات الرقمية - إثبات من نحن نقول نحن.
  • مستويات الشهادات الرقمية - يتعلق الأمر بالتكلفة!
  • العمل مع شهادات SSL.
  • نحن نثق بما نعرفه - قصة حقيقية.
  • IPSec - هل هذا سيحل كل شيء؟
  • البنية التحتية للمفتاح العام
  • HeartBleed - ما هو كل الضجيج؟ يجب أن نهتم؟
  • تشفير أجهزة الكمبيوتر المحمولة والمحمولة: TrueCrypt - BYOB هنا أو قادم!
  • موجز

3. إدارة الحساب - مفتاح كل ذلك؟

  • المقدمة
  • فهم مدى أهمية قوة كلمة المرور وناقلات الهجوم
  • الشريحة المفضلة في العالم
  • تمرير تقنية القرد وجع!
  • الحد من الشخصيات في كلمات المرور
  • توفير (بيانات اعتماد البريد الإلكتروني) عند إنشاء الحساب
  • حساب التعداد
  • الحرمان من الخدمة عن طريق إعادة تعيين كلمة المرور
  • بشكل صحيح تأمين عمليات إعادة تعيين
  • جدار العار - نص عادي المخالفين
  • كيفية اكتشاف موقع ويب آمن - يجب على الجميع تجربة هذا على عائلتهم.
  • إنشاء تخزين كلمة مرور غير آمنة
  • اختبار المخاطر في ميزة "تذكرني"
  • إعادة المصادقة قبل الإجراءات الرئيسية
  • اختبار للمصادقة على القوة الغاشمة
  • موجز

4. المعلمة Diddling

  • المقدمة
  • تحديد البيانات غير الموثوق بها في معلمات طلب HTTP
  • التقاط الطلبات واستخدام أدوات سهلة لمعالجة المعلمات
  • معالجة منطق التطبيق عبر المعلمات
  • اختبار التحقق من صحة جانب الخادم المفقود ، إذا كنت لا تفعل ذلك ، يشبه وجود طفل الدهون مشاهدة الكعكة!
  • فهم نموذج ملزم
  • تنفيذ هجوم احالة جماعي
  • HTTP الفعل العبث - ما هو الفعل؟ Post، Get etc. هل هم قابلون للتبادل سوف يفاجأون؟
  • اختبار الزغب - رش هذا التطبيق مثل رشاش رجل اطفاء النار مع خرطوم الحريق له ، ثم معرفة ما إذا كان ذلك السقطات!
  • موجز

5. حماية طبقة النقل - السلامة أثناء التنقل

  • المقدمة
  • الأهداف الثلاثة لحماية طبقة النقل
  • فهم رجل في الهجوم الأوسط ، وكلنا ضحية لها كل يوم!
  • حماية البيانات الحساسة في العبور ، وفي الراحة.
  • خطر إرسال ملفات تعريف الارتباط عبر اتصالات غير آمنة
  • إن تحميل نماذج تسجيل الدخول عبر HTTP أمر محفوف بالمخاطر
  • ما هو الحل؟ المتشعب في كل مكان؟ ماذا عن النفقات العامة؟
  • استغلال محتوى الوضع المختلط
  • رأس HSTS
  • موجز

6. عبر الموقع البرمجة (XSS) - الحقيقة أنا فقط أفعل ما قيل لي

  • المقدمة
  • فهم البيانات غير الموثوقة والتعقيم
  • إنشاء ممارسات لتعقيم المدخلات - اجعلها نظيفة
  • فهم XSS وترميز المخرجات
  • تحديد استخدام ترميز الإخراج - والعودة!
  • أنواع 3 من XSS ، Reflected ، مخزنة و DOM
  • تقديم حمولة عبر XSS المنعكس
  • اختبار لخطر استمرار XSSv
  • رأس X-XSS-Protection
  • موجز

7. ملفات تعريف الارتباط - ليس فقط لهانزل وجريتل

  • المقدمة
  • ملفات تعريف الارتباط 101 - كل ما تريد معرفته ولكنك كنت خائفا من السؤال!
  • إدارة الجلسة - HTTP يشبه مرضى الزهايمر - مثل الفيلم ، 50 First Dates ™!
  • فهم ملفات تعريف الارتباط (Http) فقط ملفات تعريف الارتباط ، ما هي ولماذا يجب علينا استخدامها؟
  • فهم ملفات تعريف الارتباط الآمنة. لا وضع غراندم كوكيز في كوكي جرة مقفلة!
  • تعطيل ملفات تعريف الارتباط - هل نحن حقا بحاجة إليها؟
  • تقييد الوصول إلى ملفات تعريف الارتباط حسب المسار - هناك الآن فكرة!
  • تقليل المخاطر مع انتهاء صلاحية ملفات تعريف الارتباط - اجعلها قصيرة!
  • استخدام ملفات تعريف الارتباط للجلسة لزيادة تقليل المخاطر
  • موجز

8. كشف التنفيذ الداخلي - ما يحدث داخل الوحش

  • المقدمة
  • كيف ينشئ المهاجم ملفًا شخصيًا لمخاطر موقع الويب ، تأكد من عدم ملاءمته لهذا الملف الشخصي.
  • كشف رأس استجابة الخادم - أخبِر الأمر كما هو ، أو ليس هذا ما كنت تقصده؟
  • تحديد مواقع المواقع المعرضة للخطر - تأكد من عدم وجود أي منها
  • مسح بصمات HTTP للخوادم - تحديد موقع WebApp WebSite قيد التشغيل
  • الإفصاح عن طريق ملف robots.txt - أخبر العالم أين لا تنظر!
  • المخاطر في مصدر HTML - ما تقوله HTML للجميع ، سواء كنت تعرف ذلك أم لا!
  • تسرب رسالة خطأ داخلي - رسائل الخطأ التي تقول أن الكثير جدًا!
  • عدم وجود ضوابط الوصول على البيانات التشخيصية - الأشياء الأولى قراصنة المحاولة هو وضع البصر في وضع التصحيح
  • موجز

9. SQL Injection - SQL Injection- ما هي القيادة ، ما هي البيانات؟

  • الخطوط العريضة
  • فهم حقن SQL
  • اختبار مخاطر الحقن - "استخدام أدوات باهظة الثمن عالية السعر مثل Chrome و FireFox!"
  • اكتشاف بنية قاعدة البيانات عن طريق الحقن
  • حصاد البيانات عن طريق الحقن. ببساطة قم بطباعة المخطط بأكمله تحت الظروف المناسبة.
  • أتمتة الهجمات مع حافيج
  • حقن SQL للمكفوفين - كيف لا يزال بإمكان الرجل المكفوف العثور على الثقوب
  • أنماط التطبيق الآمنة
  • موجز

10. هجمات عبر الموقع - سياسة الأصل نفسه. الجميع يكسر لماذا لا يجب علينا؟

  • المقدمة
  • فهم الهجمات عبر الموقع - الاستفادة من سلطة المستخدم المعتمد
  • اختبار لموقع التزوير طلب التزوير
  • دور الرموز المضادة للتزوير - بعض الأشياء التي من شأنها أن تساعد
  • اختبار طلب عبر موقع التزوير ضد واجهات برمجة التطبيقات
  • تصعيد هجوم انتزاع - ماذا تنقر على أي حال؟
  • موجز

يرجى الكتابة لنا على info@itstechschool.com و الاتصال بنا في + شنومكس-شنومكس ل سعر الدورة و شهادة التكلفة والجدول الزمني والمكان

إسقاط الاستعلام

شهادة

لمزيد من المعلومات يرجى إتصل بنا.


تعليقات الزوار