ТипОбучение в клас
РЕГИСТРИРАЙ СЕ

Kонтакти

Полетата отбелязани със * се изисква

 

CAST613-портфолио

Описание

Аудитория и предпоставки

Дизайн на курса

График и такси

сертифициране

CAST 613 Хакерство и втвърдяване на корпоративно уеб приложение / уеб сайт

Злонамереният софтуер, който корумпира настолните компютри, може да разкрие идентификационни данни за FTP или администраторски данни. Тези идентификационни данни могат да бъдат използвани за достъп до уеб сървъра, уеб сайта и дори други ресурси в мрежата на компанията. Този курс има за цел да имитира действията на нашественика, използващ слабости в мрежовата сигурност без обичайните рискове. Много е важно да защитите данните и системата си, тъй като хакерските атаки могат да увредят репутацията на компанията до такава степен, че губят приходи и клиенти.

Цели

  • Установяване на несигурно съхранение на пароли
  • Тест за рисковете в функцията "запомни ме"
  • Разберете опасни данни и хигиенизиране
  • Сляпо SQL инжекция
  • Създаване на практики за дезинфекция на входни данни
  • Разберете XSS и кодиране на изход
  • Повторно удостоверяване преди ключовите действия
  • Тест за автентификация на груба сила
  • Събиране на данни чрез инжектиране.
  • Автоматизира атаките с Хавид

Целева публика

Ако сте направили сигурни курсове за кодиране в миналото, може да мислите, че това ще бъде същото. Нищо не може да бъде по-далеч от истината. Този курс е напълно различен подход. Повечето разработчици ще ви кажат, че ако знаех как хакерите могат да влязат, обикновено е лесно да ги коригирате. Това е точно това. Разработчиците никога не са се опитвали да влязат в собствения си код или някой друг код. Може би нямат умения да го правят. Това ли ги прави просто честен човек? Може би, но в днешния свят това не е нещо добро, а много лошо. Трябва да сме наясно с нещата, които могат да ви се случат, или няма да можете да се защитите. Хакерите действително имат много лесно, те просто трябва да намерят 1 дупка, за да влязат. Разработчикът трябва да включи всички дупки. Разработчикът трябва да поддържа актуални последни заплахи за сигурността. Някои разработчици могат да твърдят, че не е задачата на разработчика да осигури предприятието, т.е. Това е чист боклук. Всеки има ръка за защита на корпоративната среда. Всеки споделя тази отговорност. Докато пръстът, който сочи към хакера, се наслаждава на цялата ви интелектуална собственост, на информацията за човешките ресурси или на каквото и да било друго, от което може да си осигурява пари. Този курс е проектиран така, че ако разбирате логиката на програмирането, можете да се възползвате от този курс.

Продължителност на курса: 3 дни

1. Въведение

  • За курса и автор Тим Пиърсън
  • Защо разработих хакерство и втвърдяване на вашия корпоративен уебсайт / WebApp: перспектива за разработчици
  • Въвеждане на уязвимия уебсайт
  • Използвайки много скъпи инструменти за тестване на писалки с инструменти с висока цена, като Firefox / Firebug или инструментите за разработчици на Chrome (идва с Chrome).
  • Представяне на няколко безплатни добавки към Chrome и Firefox, Споменах ли, че са безплатни?
  • Мониторинг и съставяне на заявки, използвайки общ proxy като Fiddler, Paros или Burp Suite.
  • Промяна на заявките и отговорите в Fiddler, за да промените това, което излиза и какво се получава, преди браузърът да го направи.
  • Браузърът просто чете кода от горе до долу. Няма представа какво е добро, лошо, злонамерено или по друг начин.
  • Сърфирането в мрежата е като даването на всеки уебсайт на черупка на кутията си!

2. Криптография декриптирана

  • Въведение
  • Криптиране - определение
  • Encryption Algorithm
  • Симетрично криптиране
  • Асиметрично криптиране
  • Пляскане
  • Политиката на паролите и защо просто не работят!
  • Не използвайте пропуск Word Всеки път! Използвайте вместо това пропуск!
  • хеширане
  • Сблъсъкът на хешове
  • Общи алгоритми за хеш
  • Цифрови подписи - Доказване на кого казваме, че сме.
  • Цифрови сертификати Нива - идва на цена!
  • Работа със SSL сертификати.
  • Вярваме, че знаем - истинска история.
  • IPSec - Ще реши ли всичко това?
  • Инфраструктурата на публичните ключове
  • HeartBleed - Каква е цялата хип? Трябва ли да ни пука?
  • Лаптоп и преносимо криптиране: TrueCrypt - BYOB е тук или идва!
  • обобщение

3. Управление на сметките - ключът към всичко това?

  • Въведение
  • Разбиране колко важна е силата на паролата и векторите на атаката
  • Любимата ми слайд в света
  • Преминаване на техниката с гаечен ключ!
  • Ограничаване на символите в паролите
  • Предоставяне (имейл адреси) за създаване на сметка
  • Изброяване на профила
  • Отказ на услугата чрез нулиране на паролата
  • Правилно осигуряване на процесите на нулиране
  • Стената на срама - нарушители на обикновения текст
  • Как да разпознаете сигурен уеб сайт - Всеки трябва да опита това на своето семейство.
  • Установяване на несигурно съхранение на пароли
  • Тестване на рисковете в функцията "запомни ме"
  • Повторно удостоверяване преди ключовите действия
  • Тестване за автентификация на груба сила
  • обобщение

4. Параметър

  • Въведение
  • Идентифициране на ненадеждни данни в HTTP параметрите на заявката
  • Записване на заявки и използване на лесни инструменти за манипулиране на параметрите
  • Манипулиране на логиката на приложението чрез параметри
  • Тестването за липсващото потвърждаване от страна на сървъра, ако не го направите, е като да имате мазнините да гледат пай!
  • Запознаване със свързването на модела
  • Извършване на атака на масовата задача
  • HTTP глагол манипулиране - Какво е глагол? Post, Get и т.н. Дали са взаимозаменяеми, ще се изненадате?
  • Fuzz тестване - Пръскане, че App като пожарникар е спрей пожар с огъня му маркуч, а след това вижте дали хълцане!
  • обобщение

5. Защита на транспортния слой - Безопасност по време на пътуването

  • Въведение
  • Трите цели на защитата на транспортния слой
  • Разбирането на човек в средната атака и ние всички ние ставаме жертва на него всеки ден!
  • Защита на чувствителните данни при транзит и при почивка.
  • Рискът от изпращане на "бисквитки" през несигурни връзки
  • Как зареждането на формуляри за вход чрез HTTP е рисковано
  • Какво е решението? HTTP Навсякъде? Какво ще кажеш за режийни?
  • Използване на съдържание със смесен режим
  • HSTS заглавката
  • обобщение

6. Cross Scripting (XSS) - истината Просто правя това, което ми е казано

  • Въведение
  • Разбиране на ненадеждни данни и дезинфекция
  • Създаване на практики за дезинфекция на входни материали - Непрекъснато влизане в мрежата
  • Разбиране на XSS и кодиране на изход
  • Идентифициране на използването на кодиране на изход - и връщане назад!
  • 3 типове XSS, отразени, съхранявани и DOM
  • Предоставяне на полезен товар чрез отразена XSS
  • Тестване за риска от перманентен XSSv
  • Защитната глава X-XSS
  • обобщение

7. Бисквитки - не само за Хензел и Гретел

  • Въведение
  • Cookies 101 - Всичко, което искате да знаете, но се страхувахте да попитате!
  • Управление на сесии - HTTP е като пациент на Алцхаймер - като филма, 50 First Dates ™!
  • Разбирането на HTTP Само "бисквитките", какви са те и защо трябва да ги използваме?
  • Разбиране на сигурни "бисквитки". Не не поставяйте бисквитките на баба в заключена бисквитка с бисквитки!
  • Деактивиране на "бисквитките" - наистина ли имаме нужда от тях?
  • Ограничаване на достъпа до "бисквитки" по пътя - Сега има идея!
  • Намаляване на риска с изтичане на "бисквитките" - Съкратете го!
  • Използване на сесийни "бисквитки" за допълнително намаляване на риска
  • обобщение

8. Вътрешно оповестяване на изпълнението - какво се случва вътре в звяра

  • Въведение
  • Как атакуващият създава рисков профил на уебсайта. Уверете се, че не сте подготвили този профил.
  • Откриване на заглавието на отговор на сървъра - Кажете, че е така, или не е това, което сте възнамерявали?
  • Намирането на уебсайтове в риск - Осигуряването на сигурност не е едно от тях
  • HTTP снемане на пръстови отпечатъци на сървъри - Определяне на това, което ви WebApp WebSite работи
  • Разкриване чрез robots.txt - Кажете на света къде да не гледате!
  • Рисковете в HTML източник - Какво ви казва HTML Всеки, независимо дали го знаете или не!
  • Вътрешно изтичане на съобщение за грешка - Съобщения за грешка, които казват "Пътят твърде много!"
  • Липса на контрол на достъпа на диагностични данни - първото нещо, което хакерите се опитват да сложат в режим на отстраняване на грешки
  • обобщение

9. SQL инжектиране - SQL инжекция - Какво представлява команда, какво е данните?

  • Очертание
  • Разбиране на SQL инжекцията
  • Тестване за рискове при инжектиране - "Използване на скъпи инструменти като Chrome и FireFox!"
  • Откриване на структурата на база данни чрез инжектиране
  • Събиране на данни чрез инжектиране. Просто отпечатайте цялата схема под подходящи условия.
  • Автоматизира атаките с Хавид
  • Сляпо SQL инжекция - Как Слепият човек все още може да намери дупки
  • Обезопасени шаблони за приложения
  • обобщение

10. Атаки срещу кръстосани сайтове - Политика за идентичност. Всеки друг го нарушава, защо не?

  • Въведение
  • Разбирането на атаките на кръстосани обекти - Използване на органа на одобрен потребител
  • Тестване на риска от фалшифициране на заявка за кръстосано посещение
  • Ролята на символите против фалшифицирането - Няколко неща, които ще помогнат
  • Тестване на подправяне на заявки за кръстосан сайт срещу API
  • Монтиране на щурмова атака - На какво кликвате?
  • обобщение

Предстоящи събития

В момента няма предстоящи събития.

Моля, пишете ни на адрес info@itstechschool.com & свържете се с нас на + 91-9870480053 за цената на курса и разходите за сертифициране, график & местоположение

Дайте ни запитване

сертифициране

За повече информация любезно свържете се с нас.


Отзиви