TypSchulung
REGISTRIEREN

Kontakt

Mit markierten Felder aus * sind erforderlich

 

CAST613-Portfolio

Beschreibung

Zielgruppe und Voraussetzungen

Kursübersicht

Zeitplan und Gebühren

Zertifizierung

CAST 613 Hacken und Härten der Corporate Web App / Website

Malware, die Desktopcomputer beschädigt, kann FTP-Anmeldeinformationen oder Administratoranmeldeinformationen weitergeben. Diese Anmeldeinformationen können dann für den Zugriff auf den Webserver, die Website und sogar andere Ressourcen im Netzwerk eines Unternehmens verwendet werden. Dieser Kurs soll die Aktionen eines Eindringlings imitieren, der Schwachstellen in der Netzwerksicherheit ohne die üblichen Risiken ausnutzt. Es ist sehr wichtig, Ihre Daten und Ihr System zu schützen, da Hackerangriffe den Ruf eines Unternehmens so schädigen können, dass er Umsatz und Kunden verliert.

Ziele

  • Stellen Sie einen unsicheren Passwortspeicher her
  • Testen Sie Risiken in der Funktion "An mich erinnern"
  • Verstehen Sie unsichere Daten und Bereinigung
  • Blind SQL-Injektion
  • Stellen Sie Praktiken zur Bereinigung von Eingaben her
  • Verstehen Sie XSS und Ausgangskodierung
  • Re-authenticate vor Schlüsselaktionen
  • Test auf Brute-Force-Authentifizierung
  • Ernte Daten über Injektion.
  • Automatisiere Angriffe mit Havij

Zielgruppe

Wenn Sie in der Vergangenheit sichere Codierkurse besucht haben, denken Sie vielleicht, dass dies derselbe sein wird. Nichts kann weiter von der Wahrheit entfernt sein. Dieser Kurs ist ein ganz anderer Ansatz. Die meisten Entwickler werden Ihnen sagen, wenn ich wüsste, wie die Hacker reinkommen, ist es normalerweise einfach zu beheben. Das ist es einfach. Die Entwickler haben nie versucht, in ihren eigenen Code oder den Code anderer Leute einzudringen. Vielleicht haben sie nicht die Fähigkeiten dazu. Macht das nur eine ehrliche Person? Vielleicht, aber in der heutigen Welt ist das keine gute Sache, aber eine sehr schlechte Sache. Du musst uns der Dinge bewusst sein, die dir passieren können oder du wirst dich nicht schützen können. Die Hacker haben es tatsächlich sehr leicht, sie müssen nur 1-Loch finden, um hineinzukommen. Der Entwickler muss alle Löcher verstopfen. Der Entwickler muss sich über die neuesten Sicherheitsbedrohungen auf dem Laufenden halten. Manche Entwickler argumentieren, dass es nicht die Aufgabe des Entwicklers ist, das Unternehmen zu sichern, sondern die Aufgabe der Sicherheitsabteilung. Das ist reiner Müll. Jeder trägt zum Schutz der Unternehmensumgebung bei. Jeder teilt diese Verantwortung. Während der Fingerzeig weitergeht, macht sich der Hacker mit all seinen geistigen Eigentumsrechten, Personalinformationen oder anderen Dingen, die er verdienen kann, amüsiert. Dieser Kurs ist so konzipiert, dass Sie, wenn Sie Programmierlogik verstehen, von diesem Kurs profitieren können.

Course Outline Dauer: 3 Tage

1. Einführung

  • Über den Kurs und Autor Tim Pierson
  • Warum ich Hacking und Hardening für Ihre Corporate Website / WebApp entwickelt habe: Eine Entwicklerperspektive
  • Die verletzliche Website vorstellen
  • Verwenden Sie sehr teure Pen-Test-Tools, die hochpreisige Tools wie Firefox / Firebug oder Chrome-Entwickler-Tools (kommt mit Chrome).
  • Einführung einiger kostenloser Add-ons zu Chrome und Firefox, habe ich erwähnt, dass sie kostenlos waren?
  • Überwachen und Erstellen von Anfragen mit einem gemeinsamen Proxy wie Fiddler, Paros oder Burp Suite.
  • Ändern von Anfragen und Antworten in Fiddler, um zu ändern, was rausgeht und was vor dem Browser erscheint.
  • Browser liest Code einfach von oben nach unten. Keine Ahnung, was gut, böse, bösartig oder anders ist.
  • Surfen im Internet ist so, als würde man jeder Website eine Shell auf die Box geben!

2. Kryptografie entschlüsselt

  • Einführung
  • Verschlüsselung - Eine Definition
  • Verschlüsselungsalgorithmus
  • Symmetrische Verschlüsselung
  • Asymmetrische Verschlüsselung
  • Knackzeit
  • Passwortrichtlinien und warum sie einfach nicht funktionieren!
  • Benutze kein Passwort mehr! Verwenden Sie stattdessen eine Pass-Phrase!
  • Hashing
  • Hash Kollisionen
  • Häufige Hash-Algorithmen
  • Digitale Signaturen - Beweisen, wer wir sind.
  • Digitale Zertifikatsstufen - Es kommt auf Kosten an!
  • Arbeiten mit SSL-Zertifikaten.
  • Wir vertrauen dem, was wir wissen - True Story.
  • IPSec - Wird das alles lösen?
  • Infrastruktur öffentlicher Schlüssel
  • HeartBleed - Was ist der Hype? Sollte uns das interessieren?
  • Laptop und portable Verschlüsselung: TrueCrypt - BYOB ist da oder wird kommen!
  • Zusammenfassung

3. Account Management - Der Schlüssel zu allem?

  • Einführung
  • Verstehen, wie wichtig Passwortstärke und Angriffsvektoren sind
  • Meine Lieblingsrutsche in der Welt
  • Passing the Monkey Wrench Technik!
  • Zeichen in Passwörtern begrenzen
  • Bereitstellen (E-Mail-Anmeldeinformationen) bei der Kontoerstellung
  • Kontoaufzählung
  • Dienstverweigerung durch Zurücksetzen des Kennworts
  • Korrekte Sicherung der Reset-Prozesse
  • Wall of Shame - Klartext-Täter
  • Wie man eine sichere Web site findet - jeder sollte das auf ihrer Familie versuchen.
  • Einrichten eines unsicheren Passwortspeichers
  • Testen auf Risiken in der Funktion "An mich erinnern"
  • Neuauthentifizierung vor Schlüsselaktionen
  • Testen auf Brute-Force-Authentifizierung
  • Zusammenfassung

4. Parameter Diddeln

  • Einführung
  • Identifizieren nicht vertrauenswürdiger Daten in HTTP-Anforderungsparametern
  • Anfragen erfassen und einfache Tools zur Manipulation von Parametern verwenden
  • Anwendungslogik über Parameter manipulieren
  • Testen Sie auf fehlende serverseitige Validierung, wenn Sie es nicht tun, ist es, als hätte das dicke Kind den Kuchen gesehen!
  • Modellbindung verstehen
  • Ausführen eines Massenangriffs
  • HTTP Verb Manipulation - Was ist ein Verb? Post, Get usw. Sind sie austauschbar, würden Sie überrascht sein?
  • Fuzz Testing - Sprühen Sie diese App wie ein Feuerwehrmann sprüht ein Feuer mit seinem Feuerwehrschlauch, dann sehen, ob es Schluckauf!
  • Zusammenfassung

5. Transport Layer Protection - Sicherheit während der Fahrt

  • Einführung
  • Die drei Ziele des Transportschichtschutzes
  • Einen Mann im mittleren Angriff zu verstehen, und wir alle fallen ihm jeden Tag zum Opfer!
  • Schutz sensibler Daten im Transit und im Ruhezustand.
  • Das Risiko, Cookies über unsichere Verbindungen zu senden
  • Das Laden von Anmeldeformularen über HTTP ist riskant
  • Was ist die Lösung? Http überall? Was ist mit dem Overhead?
  • Mixed-Mode-Inhalte ausnutzen
  • Der HSTS-Header
  • Zusammenfassung

6. Cross Site Scripting (XSS) - Wahrheit Ich tue nur, was mir gesagt wurde

  • Einführung
  • Nicht vertrauenswürdige Daten und Bereinigung verstehen
  • Einführung von Verfahren zur Bereinigung von Eingabedaten - Halten Sie es sauber
  • Verständnis für XSS und Ausgabe-Encoding
  • Identifizieren der Verwendung der Ausgabecodierung - und zurückkommen!
  • 3-Typen von XSS, Reflected, Stored und DOM
  • Liefern einer Nutzlast über reflektiertes XSS
  • Testen auf das Risiko von persistentem XSSv
  • Der X-XSS-Protection-Header
  • Zusammenfassung

7. Kekse - nicht nur für Hänsel und Gretel

  • Einführung
  • Cookies 101 - Alles, was Sie wissen wollten, aber Angst hatten zu fragen!
  • Session Management - HTTP ist wie ein Alzheimer-Patient - wie der Film, 50 First Dates ™!
  • Understanding Http Nur Cookies, was sind sie und warum sollten wir sie verwenden?
  • Sichere Cookies verstehen. Nein, nicht Großmutter Cookies in einem verschlossenen Keksdose!
  • Cookies deaktivieren - Brauchen wir sie wirklich?
  • Cookie-Zugriff nach Pfad einschränken - Jetzt gibt es eine Idee!
  • Reduzieren Sie das Risiko mit dem Ablauf des Cookies - Halten Sie es kurz!
  • Sitzungscookies verwenden, um das Risiko weiter zu reduzieren
  • Zusammenfassung

8. Interne Implementierung - Was passiert in der Bestie?

  • Einführung
  • Wie ein Angreifer ein Website-Risikoprofil erstellt, Stellen Sie sicher, dass Sie dieses Profil nicht anpassen.
  • Antwort des Server-Antwortheaders - Sagen Sie es wie es ist, oder ist das nicht das, was Sie beabsichtigten?
  • Auf gefährdeten Websites suchen - Making Sure Yours gehört nicht dazu
  • HTTP-Fingerprint von Servern - Bestimmen Sie, was Ihre WebApp WebSite ausführt
  • Offenlegung über robots.txt - Sagen Sie der Welt, wo Sie nicht hinschauen sollen!
  • Die Risiken in der HTML-Quelle - Was Ihr HTML sagt Jeder, ob Sie es wissen oder nicht!
  • Interner Fehler bei Fehlermeldungen - Fehlermeldungen, die viel zu viel sagen!
  • Fehlende Zugriffssteuerung auf Diagnosedaten - Erste Schritte Hackers Versuchen Sie, das Sichtgerät in den Debug-Modus zu versetzen
  • Zusammenfassung

9. SQL Injection - SQL Injection - Was ist ein Befehl, was sind Daten?

  • Skizzieren
  • SQL-Injektion verstehen
  • Testen auf Injektionsrisiken - "Verwenden von sehr teuren Tools wie Chrome und FireFox!"
  • Datenbankstruktur durch Injektion entdecken
  • Daten durch Injektion gewinnen. Drucken Sie das gesamte Schema einfach unter den richtigen Bedingungen aus.
  • Angriffe mit Havij automatisieren
  • Blind SQL Injection - Wie der Blinde noch Löcher finden kann
  • Sichere App-Muster
  • Zusammenfassung

10. Siteübergreifende Angriffe - Gleiche Herkunftsrichtlinien Jeder andere bricht es warum sollten wir nicht?

  • Einführung
  • Cross-Site-Angriffe verstehen - Die Autorität eines zugelassenen Benutzers nutzen
  • Testen auf ein Cross-Site-Request-Fälschungsrisiko
  • Die Rolle der Anti-Fälschungs-Token - Ein paar Dinge, die helfen werden
  • Cross-Site-Request-Fälschung gegen APIs testen
  • Einen Clickjacking-Angriff starten - Worauf klicken Sie überhaupt?
  • Zusammenfassung

Bitte schreiben Sie uns an info@itschschool.com & Kontaktieren Sie uns unter + 91-9870480053 für den Kurs Preis & Zertifizierungskosten, Zeitplan und Standort

Lass uns eine Anfrage fallen

Zertifizierung

Für mehr Informationen bitte kontaktieren Sie uns..


Bewertungen