TipoFormación presencial
REGISTRO

Contáctenos

Los campos marcados con un * son requeridos

 

CAST613-cartera

Descripción

Audiencia y requisitos previos

Esquema del curso

Horario y tarifas

Certificación

CAST 613 Hacking and Hardening Aplicación web corporativa / sitio web

El malware que daña las computadoras de escritorio puede divulgar credenciales de FTP o credenciales de administrador. Estas credenciales se pueden utilizar para acceder al servidor web, sitio web e incluso a otros recursos en la red de una empresa. Este curso pretende imitar las acciones de un invasor que explota las debilidades en la seguridad de la red sin los riesgos habituales. Es muy importante proteger sus datos y su sistema, ya que los ataques de piratería pueden dañar la reputación de una empresa hasta el punto de perder ingresos y clientes.

objetivos

  • Establecer un almacenamiento inseguro de contraseñas
  • Prueba de riesgos en la función 'recordarme'
  • Entender los datos inseguros y la desinfección
  • Inyección SQL ciega
  • Establecer prácticas de desinfección de entrada
  • Comprender XSS y la codificación de salida
  • Volver a autenticarse antes de acciones clave
  • Prueba de autenticación de fuerza bruta
  • Recolectar datos por inyección.
  • Automatiza los ataques con Havij

Público destinatario

Si ha tomado cursos de codificación segura en el pasado, puede pensar que va a ser lo mismo. Nada puede estar más lejos de la verdad. Este curso es un enfoque completamente diferente. La mayoría de los desarrolladores te dirán que si supiera cómo podrían entrar los hackers, generalmente es fácil de arreglar. Eso es solo eso. Los desarrolladores nunca han intentado entrar en su propio código o el código de otra persona. Tal vez ellos no tienen las habilidades para hacerlo. ¿Eso los hace simplemente una persona honesta? Quizás, pero en el mundo de hoy eso no es algo bueno sino algo muy malo. Debes conocer las cosas que te pueden pasar o no podrás protegerte. Los hackers realmente lo tienen muy fácil, solo necesitan encontrar el orificio 1 para entrar. El desarrollador debe tapar todos los agujeros. El desarrollador debe mantenerse al día con las últimas amenazas de seguridad. Algunos desarrolladores pueden argumentar que no es tarea del desarrollador asegurar la empresa, ese es el trabajo del departamento de seguridad. Eso es pura basura. Cada uno tiene una mano en proteger el ambiente corporativo. Cada uno comparte esta responsabilidad. Mientras el dedo señala que el pirata informático se está divirtiendo con toda su propiedad intelectual, información de recursos humanos o cualquier otra cosa que pueda monetizar. Este curso está diseñado para que, si comprende la lógica de programación, puede beneficiarse de este curso.

Duración del esquema del curso: 3 Days

1. Introducción

  • Sobre el curso y autor Tim Pierson
  • ¿Por qué desarrollé Hacking and Hardening your Corporate Website / WebApp: una perspectiva de desarrollador?
  • Presentamos el sitio vulnerable
  • Utilizando herramientas de prueba Pen muy costosas herramientas de alto precio como Firefox / Firebug o herramientas de desarrollador de Chrome (Viene con Chrome).
  • Al presentar algunos complementos gratuitos para Chrome y Firefox, ¿mencioné que eran gratuitos?
  • Monitoreando y componiendo solicitudes usando un proxy común como Fiddler, Paros o Burp Suite.
  • Modificando solicitudes y respuestas en Fiddler para cambiar lo que sale y lo que entra antes de que el navegador lo renderice.
  • El navegador simplemente lee el código de arriba a abajo. No tengo idea de qué es bueno, malo, malicioso o de otro tipo.
  • ¡Navegar por la Web es como darle a cada sitio web un caparazón en su caja!

2. Criptografía descifrada

  • Introducción
  • Cifrado - Una definición
  • Algoritmo de cifrado
  • Cifrado Simétrico
  • Cifrado asimétrico
  • Tiempo de crack
  • Políticas de contraseñas y por qué simplemente no funcionan.
  • ¡No use una Palabra de Pase de Nuevo! Use una frase de pase en su lugar!
  • Hashing
  • Colisiones hash
  • Algoritmos Hash Comunes
  • Firmas digitales: demostrando quién decimos que somos.
  • Niveles de certificado digital: todo se reduce a Costo
  • Trabajando con certificados SSL.
  • Confiamos en lo que sabemos - Historia verdadera.
  • IPSec: ¿Esto resolverá todo?
  • Infraestructura de Clave Pública
  • HeartBleed - ¿Qué es todo el bombo? ¿Deberíamos importarnos?
  • Laptop y encriptación portátil: TrueCrypt - ¡BYOB está aquí o viene!
  • Resumen

3. Gestión de cuentas: ¿la clave para todo?

  • Introducción
  • Comprender la importancia de la contraseña y de los vectores de ataque.
  • Mi diapositiva favorita en el mundo
  • Pasando la técnica de llave inglesa!
  • Limitar caracteres en contraseñas
  • Proporcionar (Credenciales de correo electrónico) en la creación de la cuenta
  • Enumeración de la cuenta
  • Denegación de servicio mediante restablecimiento de contraseña
  • Asegurando correctamente los procesos de reinicio
  • Muro de la vergüenza - Delincuentes de texto sin formato
  • Cómo detectar un sitio web seguro: todos deben intentar esto en su familia.
  • Establecer un almacenamiento de contraseña inseguro
  • Prueba de riesgos en la función 'recordarme'
  • Volver a autenticarse antes de acciones clave
  • Prueba de autenticación de fuerza bruta
  • Resumen

4. Parámetro Diddling

  • Introducción
  • Identificar datos que no son de confianza en los parámetros de solicitud HTTP
  • Captura de solicitudes y uso de herramientas sencillas para manipular parámetros
  • Manipular la lógica de la aplicación a través de parámetros
  • Probando la falta de validación del lado del servidor, si no lo haces, es como tener al niño gordo viendo el pastel.
  • Comprender el enlace del modelo
  • Ejecutando un ataque de asignación masiva
  • Manipulación del verbo HTTP - ¿Qué es un verbo? Publicar, Obtener, etc. ¿Son intercambiables, te sorprenderías?
  • Prueba de Fuzz: rociar esa aplicación como un bombero rocía un fuego con su manguera de fuego, y luego ver si es Hiccups.
  • Resumen

5. Protección de la capa de transporte: seguridad durante el viaje

  • Introducción
  • Los tres objetivos de la protección de la capa de transporte
  • Comprender a un hombre en el ataque medio, ¡y todos somos víctimas de él todos los días!
  • Protección de datos confidenciales en tránsito y en reposo.
  • El riesgo de enviar cookies a través de conexiones inseguras
  • Cómo cargar formularios de inicio de sesión a través de HTTP es arriesgado
  • ¿Cual es la solución? Http en todas partes? ¿Qué hay de los gastos generales?
  • Explotando el contenido de modo mixto
  • El encabezado HSTS
  • Resumen

6. Cross Site Scripting (XSS) - La verdad es que solo hago lo que me dicen

  • Introducción
  • Comprender datos no confiables y desinfección
  • Estableciendo prácticas de desinfección de entrada - Manténgalo limpio entrando
  • Comprender XSS y la codificación de salida
  • Identificando el uso de la codificación de salida y ¡volviendo!
  • 3 tipos de XSS, reflejado, almacenado y DOM
  • Entrega de una carga útil a través de XSS reflejado
  • Prueba del riesgo de XSSv persistente
  • El encabezado X-XSS-Protection
  • Resumen

7. Cookies: no solo para Hansel y Gretel

  • Introducción
  • Cookies 101: ¡Todo lo que quería saber pero tenía miedo de preguntar!
  • Gestión de sesiones: HTTP es como un paciente de Alzheimer: ¡como la película, 50 First Dates ™!
  • Entender solo las cookies de Http, ¿qué son y por qué debemos usarlas?
  • Entender las cookies seguras ¡No, no ponga las galletas de las abuelas en un tarro de galletas bloqueado!
  • Inhabilitando las cookies: ¿Realmente las necesitamos?
  • Restringir el acceso a las cookies por ruta: ahora hay una idea.
  • Reducir el riesgo con la caducidad de las cookies. ¡Hazlo corto!
  • Usar cookies de sesión para reducir aún más el riesgo
  • Resumen

8. Divulgación de implementación interna: qué está pasando dentro de la bestia

  • Introducción
  • Cómo un atacante construye un perfil de riesgo del sitio web, asegúrese de no encajar en ese perfil.
  • Divulgación del encabezado de respuesta del servidor: dígalo como es, ¿o no es eso lo que pretendía?
  • Localizar sitios web en riesgo: Making Sure Yours no es uno de ellos
  • Huella dactilar HTTP de servidores: determinar qué WebApp se está ejecutando
  • Divulgación a través de robots.txt: ¡dígale al mundo dónde no mirar!
  • Los riesgos en la fuente HTML: lo que su HTML le está diciendo a todos, ya sea que lo sepan o no.
  • Fuga interna del mensaje de error - ¡Mensajes de error que dicen demasiado!
  • La falta de controles de acceso a los datos de diagnóstico: lo primero que intentan los hackers es poner la vista en modo de depuración
  • Resumen

9. Inyección SQL - Inyección SQL - ¿Qué es un comando, qué son los datos?

  • contorno
  • Comprender la inyección de SQL
  • Prueba de riesgos de inyección: "¡Usar herramientas caras de alto precio como Chrome y FireFox!"
  • Descubriendo la estructura de la base de datos mediante inyección
  • Recolectando datos por inyección. Simplemente imprima todo el esquema en las condiciones adecuadas.
  • Automatizando ataques con Havij
  • Inyección SQL ciega: cómo el ciego aún puede encontrar agujeros
  • Patrones de aplicaciones seguras
  • Resumen

10. Ataques de sitios cruzados: la misma política de origen. Todos los demás lo rompen, ¿por qué no deberíamos?

  • Introducción
  • Comprender los ataques cruzados en el sitio: aprovechar la autoridad de un usuario aprobado
  • Pruebas para una solicitud cruzada de riesgo de falsificación
  • El papel de los tokens antifalsificación: algunas cosas que ayudarán
  • Prueba de falsificación de solicitudes entre sitios contra API
  • Al montar un ataque de clickjacking, ¿de qué estás haciendo clic de todos modos?
  • Resumen

Por favor escríbanos a info@itstechschool.com y contáctanos en + 91-9870480053 por el precio del curso y el costo de certificación, el horario y la ubicación

Envíenos una consulta

Certificación

Para más información amablemente contáctenos .


Reseñas




PALABRAS CLAVE BÚSQUEDA

  • CAST 613 Hacking and Hardening Aplicación web corporativa / Sitio web de capacitación en gurgaon
  • CAST 613 Hackear y endurecer el costo de certificación de la aplicación web corporativa / sitio web en Gurgaon
  • Institute for CAST 613 Hacking and Hardening Aplicación web corporativa / sitio web en gurgaon
  • CAST 613 Hacking and Hardening Aplicación web corporativa / sitio web en Gurgaon
  • CAST 613 Hacking and Hardening Aplicación web corporativa / certificación del sitio web en gurgaon
  • CAST 613 Hacking and Hardening Aplicación web corporativa / Sitio web en Gurgaon
  • Best CAST 613 Hacking and Hardening Aplicación web corporativa / Formación en sitios web en línea
  • CAST 613 Hacking and Hardening Aplicación web corporativa / formación en sitios web