tipusAula Formació
REGISTRE

Entrenament de CAST 613 a Gurgaon

Descripció

Audiència i requisits previs

Esquema del curs

Horaris i càrrecs

certificació

Hacking and Hardening Corporate Web App / Web Site - Entrenament de CAST 613

Malware que corromp les computadores d'escriptori pot donar a conèixer les credencials d'FTP o les credencials d'administrador. Aquestes credencials es poden utilitzar per accedir al servidor web, al lloc web i fins i tot a altres recursos de la xarxa d'una empresa. Aquest curs pretén imitar les accions d'un invasor que exploti les debilitats en la seguretat de la xarxa sense els riscos habituals. És molt important protegir les seves dades i el sistema, ja que els atacs de pirateig poden danyar la reputació d'una empresa fins que perden ingressos i clients.

Objectius

  • Establir un emmagatzematge de contrasenyes insegur
  • Prova de riscos a la funció "Recorda'm"
  • Comprensió de dades no segures i sanejament
  • Injecció de ceguesa de SQL
  • Estableix pràctiques de sanejament d'entrada
  • Comprensió de XSS i codificació de sortida
  • Torneu a autenticar abans de les accions clau
  • Prova per a l'autenticació de la força bruta
  • Dades de la collita per injecció.
  • Automatitza els atacs amb Havij

Públic objectiu

Si heu pres cursos de codificació segurs en el passat, podeu pensar que això serà el mateix. Res no pot allunyar-se de la veritat. Aquest curs és un enfocament completament diferent. La majoria dels desenvolupadors us diran que si sabia com els hackers podrien entrar, normalment és fàcil de solucionar. Això és només. Els desenvolupadors mai no han intentat entrar al seu propi codi o codi d'un altre. Potser no tenen les habilitats per fer-ho. Això els fa només una persona honesta? Potser, però en el món d'avui no és bo, però molt malament. Vostè ha de ser conscient del que li pot passar o no podrà protegir-se. Els pirates informàtics en realitat tenen molt fàcil que només necessiten trobar forat 1 per entrar. El desenvolupador ha de connectar tots els forats. El desenvolupador ha de mantenir-se actualitzat amb les últimes amenaces de seguretat. Alguns desenvolupadors poden argumentar que no és el treball del desenvolupador per garantir l'empresa, que és el treball del departament de seguretat. Això és pur embargament. Cadascun té una mà per protegir l'entorn corporatiu. Cadascun comparteix aquesta responsabilitat. Tot i que el dit apunta que el hacker està gaudint de tota la vostra propietat intel·lectual, informació de recursos humans o qualsevol altra cosa que pugui obtenir ingressos. Aquest curs està dissenyat, de manera que si enteneu la lògica de programació, podeu beneficiar-vos d'aquest curs.

Durada del curs: 3 dies

1. Introducció

  • Sobre el curs i l'autor Tim Pierson
  • Per què he desenvolupat el pirateig i l'enduriment del vostre lloc web corporatiu / WebApp: una perspectiva del desenvolupador
  • Presentació del lloc web vulnerable
  • Utilitzant eines de prova de plomes molt costoses com a eines de desenvolupament d'alt preu com Firefox / Firebug o Chrome (Comes with Chrome).
  • Presentant alguns complements gratuïts a Chrome i Firefox, he mencionat que eren gratuïts?
  • Seguiment i composició de sol·licituds mitjançant un proxy com Fiddler, Paros o Burp Suite.
  • Modifiqueu les sol·licituds i les respostes a Fiddler per canviar el que surt i el que apareix abans que el navegador ho representi.
  • El navegador simplement llegeix el codi des de dalt a baix. No hi ha idea de què és bo, dolent, maliciós o no.
  • Navegar per la web és com donar a tots els llocs web que vagi a un intèrpret d'ordres a la vostra caixa.

2. Criptografia desxifrada

  • introducció
  • Encriptació: una definició
  • Algorisme de xifratge
  • Xifrat simètric
  • Xifratge asimètric
  • Temps d'esquerdes
  • Polítiques de contrasenya i per què simplement no funcionen!
  • No utilitzeu una paraula de pas cada vegada més! Utilitzeu una frase de pas en comptes d'això!
  • Hashing
  • Hash Collisions
  • Algorismes comuns de Hash
  • Firmes digitals: prova de qui som nosaltres.
  • Nivells de certificat digital: es redueix a Cost!
  • Treballant amb certificats SSL.
  • Confiem en el que coneixem - True Story.
  • IPSec: això solucionarà tot?
  • Infraestructura de clau pública
  • HeartBleed: què és tot el Hype? Ens hem de preocupar?
  • Còmput portàtil i portàtil: TrueCrypt - BYOB està aquí o està venint!
  • resum

3. Gestió del compte: la clau de tot?

  • introducció
  • Comprensió de la importància de la força de la contrasenya i els vectors d'atac
  • La meva diapositiva preferida al món
  • Passant la tècnica de la clau de mico!
  • Limitació de caràcters a les contrasenyes
  • Proporcionar (credencials per correu electrònic) en la creació del compte
  • Enumeració del compte
  • Denegació de servei mitjançant reinici de la contrasenya
  • Assegurem correctament els processos de restabliment
  • Mur de la Vergonya: delinqüents sense format
  • Com detectar un lloc web segur: tothom ha d'intentar-ho en la seva família.
  • Establir un emmagatzematge de contrasenya insegur
  • Prova de riscos a la funció "Recorda'm"
  • Torneu a autenticar abans de les accions clau
  • Proves d'autenticació de la força bruta
  • resum

4. Parameter Diddling

  • introducció
  • Identificació de dades no confiables en els paràmetres de sol · licitud HTTP
  • Capturar sol·licituds i utilitzar eines senzilles per a la manipulació de paràmetres
  • Manipular la lògica de l'aplicació mitjançant paràmetres
  • S'està provant la validació del costat del servidor que falta, si no ho fa, és com tenir el fill grossista veure el pastís!
  • Comprensió de l'enllaç del model
  • Execució d'un atac d'assignació massiva
  • Controvèrsies de verbs HTTP: Què és un verb? Publicar, Obtenir, etc. Són intercanviables, se't sorprendria?
  • Proves de Fuzz: la polvorització d'aquesta aplicació, com un bombarder, fa polvoritzar un foc amb la seva mànega d'incendis i, a continuació, veure si es tracta d'hipo!
  • resum

5. Protecció de la capa de transport - Seguretat durant el viatge

  • introducció
  • Els tres objectius de la protecció de la capa de transport
  • Entendre un home en l'atac central, i tots ens vam veure víctimes cada dia.
  • Protecció de dades sensibles en trànsit i Rest.
  • El risc d'enviar cookies a través de connexions no segures
  • Com la càrrega de formularis d'inici de sessió a través d'HTTP és arriscada
  • Quina és la solució? Http a tot arreu? Què passa amb les despeses generals?
  • Explotació de contingut en mode mixt
  • Capçalera HSTS
  • resum

6. Cross Scripting Site (XSS) - La veritat ¿Acabo de fer el que em diuen?

  • introducció
  • Comprensió de dades no fiables i sanejament
  • Establir pràctiques d'higienització d'ingressos - Mantenir-lo net
  • Comprensió de XSS i codificació de sortida
  • Identificació de l'ús de la codificació de sortida - i tornant a sortir!
  • 3 tipus de XSS, reflectits, emmagatzemats i DOM
  • El lliurament d'una càrrega útil mitjançant XSS reflectit
  • Comprovació del risc de persistència XSSv
  • L'encapçalament X-XSS-Protection
  • resum

7. Galetes - No només per Hansel i Gretel

  • introducció
  • Galetes 101: tot el que volíeu saber però tenia por de preguntar-ho.
  • Gestió de sessions: HTTP és com un pacient d'Alzheimer, com la pel·lícula, 50 First Dates ™.
  • Entenent Http Només galetes, què són i per què hem d'utilitzar?
  • Comprensió de galetes segures. No, no posant les galetes d'àvia en un tauler de galetes tancat!
  • Deshabilitant les galetes: realment necessitem?
  • Restringir l'accés de les galetes per la ruta: ara hi ha una idea!
  • Reducció del risc amb la caducitat de les galetes: fes-ho curt!
  • Ús de les cookies de sessió per reduir encara més el risc
  • resum

8. Explicació d'implementació interna: què està passant a l'interior de la bèstia?

  • introducció
  • Com un atacant crea un perfil de risc de lloc web, assegureu-vos que no encaieu amb aquest perfil.
  • Divulgació de la capçalera de la resposta del servidor: expliqueu-ho com si fos o no és el que voleu?
  • Localitzar llocs web en risc: fer-ho segur no és un d'ells
  • Empremta digital HTTP de servidors: Determineu el lloc web WebApp que s'està executant
  • Divulgació a través de robots.txt - Digueu al món on no mirar!
  • Els riscos en font HTML: el que el vostre HTML està dient a tothom, tant si ho saps com si no.
  • Fuga de missatge d'error intern: missatges d'error que diuen Massa massa!
  • Manca de controls d'accés a les dades de diagnòstic: primer que hackers proveu és posar la vista en mode de depuració
  • resum

9. Injecció de SQL: Injecció de SQL: Què és un comandament, quines dades?

  • contorn
  • Comprensió de la injecció de SQL
  • Proves per a riscos d'injecció: "Utilitzeu eines molt cares de preus com Chrome o FireFox".
  • Descobrint l'estructura de la base de dades mitjançant injecció
  • Recol·lecció de dades mitjançant injecció. Simplement imprimiu l'esquema complet en les condicions adequades.
  • Automatització d'atacs amb Havij
  • Injecció de ceguesa de SQL: com l'home cec encara pot trobar forats
  • Patrons d'aplicacions segures
  • resum

10. Atacs de lloc creuat - Política d'origen mateix. Tothom es trenca perquè no ho hem de fer?

  • introducció
  • Comprensió d'atacs entre llocs: aprofitant l'autoritat d'un usuari aprovat
  • Prova d'un risc de falsificació de sol·licituds creuades
  • El paper dels tokens contra la falsificació: algunes coses que us ajudaran
  • S'està provant la falsificació de sol·licituds creuades contra les API
  • Muntant un atac de clics pirates: què feu clic de totes maneres?
  • resum

Siusplau, escriu-nos a info@itstechschool.com i contacteu-nos a + 91-9870480053 per al preu del curs i el cost de certificació, programació i ubicació

Sol·liciteu una consulta

certificació

Per a més informació amablement contacti'ns.


opinions