TypeFormation en classe
INSCRIVEZ-VOUS

Contactez-Nous

Les champs marqués d'une * sont obligatoires

 

Portefeuille CAST613

Description

Public et prérequis

Plan de cours

Horaire et frais

certificat

CAST 613 Piratage et renforcement de l'application Web / site Web d'entreprise

Les logiciels malveillants qui corrompt les ordinateurs de bureau peuvent divulguer des informations d'identification FTP ou des informations d'identification d'administrateur. Ces informations d'identification peuvent ensuite être utilisées pour accéder au serveur Web, au site Web et même à d'autres ressources sur le réseau d'une entreprise. Ce cours est destiné à imiter les actions d'un envahisseur exploitant les faiblesses de la sécurité du réseau sans les risques habituels. Il est très important de protéger vos données et votre système, car les attaques de piratage peuvent nuire à la réputation d'une entreprise au point de perdre des revenus et des clients.

Objectifs

  • Établir un stockage de mot de passe non sécurisé
  • Testez les risques dans la fonction "Mémorisez-moi"
  • Comprendre les données et la désinfection dangereuses
  • Injection SQL aveugle
  • Établir des pratiques d'assainissement des intrants
  • Comprendre XSS et l'encodage de sortie
  • Ré-authentifier avant les actions-clés
  • Test d'authentification force brute
  • Récolte des données par injection.
  • Automatiser les attaques avec Havij

Public visé

Si vous avez suivi des cours de codage sécurisés dans le passé, vous pouvez penser que cela va être le même. Rien ne peut être plus éloigné de la vérité. Ce cours est une approche complètement différente. La plupart des développeurs vous diront que si je savais comment les Hackers pourraient entrer, il est généralement facile de réparer. C'est juste ça. Les développeurs n'ont jamais essayé d'entrer dans leur propre code ou celui de quelqu'un d'autre. Peut-être qu'ils n'ont pas les compétences pour le faire. Est-ce que cela les rend juste une personne honnête? Peut-être, mais dans le monde d'aujourd'hui ce n'est pas une bonne chose mais une très mauvaise chose. Vous devez être au courant des choses qui peuvent vous arriver ou vous ne serez pas en mesure de vous protéger. Les hackers l'ont vraiment très facile ils ont seulement besoin de trouver le trou 1 pour entrer. Le développeur doit boucher tous les trous. Le développeur doit se tenir au courant des dernières menaces de sécurité. Certains développeurs peuvent argumenter que ce n'est pas le travail du développeur de sécuriser l'entreprise, c'est le travail du département de la sécurité. C'est de la pure ordure. Chacun a un rôle à jouer dans la protection de l'environnement de l'entreprise. Chacun partage cette responsabilité. Pendant que le doigt pointe le doigt, le hacker s'amuse avec toute la propriété intellectuelle, l'information sur les ressources humaines ou tout ce qu'il peut monétiser. Ce cours est conçu de telle sorte que si vous comprenez la logique de programmation, vous pouvez bénéficier de ce cours.

Durée du cours: 3 Days

1. Introduction

  • À propos du cours et de l'auteur Tim Pierson
  • Pourquoi j'ai développé Hacking et Hardening votre site Web d'entreprise / WebApp: Une perspective de développeur
  • Présentation du site Web vulnérable
  • En utilisant des outils très coûteux de test de stylo à prix élevé comme Firefox / Firebug ou les outils de développement de Chrome (vient avec Chrome).
  • Présentation de quelques modules complémentaires gratuits pour Chrome et Firefox, Ai-je mentionné qu'ils étaient gratuits?
  • Surveiller et composer des demandes en utilisant un proxy commun comme Fiddler, Paros ou Burp Suite.
  • Modifier les requêtes et les réponses dans Fiddler pour changer ce qui sort et ce qui arrive avant que le Browser ne le rende.
  • Le navigateur lit simplement le code du haut vers le bas. Aucune idée de ce qui est bon, mauvais, malveillant ou autre.
  • Surfer sur le Web, c'est comme donner à chaque site web un shell sur votre boîte!

2. Cryptographie décryptée

  • Introduction
  • Chiffrement - Une définition
  • Algorithme de chiffrement
  • Chiffrement symétrique
  • Chiffrement asymétrique
  • Temps de fissure
  • Politiques de mot de passe et pourquoi ils ne fonctionnent tout simplement pas!
  • Ne pas utiliser un mot de passe chaque fois! Utilisez une phrase de passe à la place!
  • Hachage
  • Collisions de hachage
  • Algorithmes de hachage communs
  • Signatures numériques - Prouver qui nous disons que nous sommes.
  • Niveaux de certificats numériques - Cela revient à Coût!
  • Travailler avec des certificats SSL.
  • Nous faisons confiance à ce que nous savons - une histoire vraie.
  • IPSec - Est-ce que cela résoudra tout?
  • Infrastructure à clé publique
  • HeartBleed - Quel est tout le battage médiatique? Faut-il s'en préoccuper?
  • Laptop and Portable Encryption: TrueCrypt - BYOB est là ou arrive!
  • Résumé

3. Gestion de compte - La clé de tout cela?

  • Introduction
  • Comprendre l'importance de la force du mot de passe et les vecteurs d'attaque
  • Ma diapositive préférée dans le monde
  • Passer la technique de la clé à molette!
  • Limitation des caractères dans les mots de passe
  • Fournir (Emailing credentials) sur la création de compte
  • Compte énumération
  • Déni de service via la réinitialisation du mot de passe
  • Correctement sécuriser les processus de réinitialisation
  • Mur de la honte - Délinquants de texte brut
  • Comment repérer un site Web sécurisé - Tout le monde devrait essayer cela sur leur famille.
  • Établir un stockage de mot de passe non sécurisé
  • Tester les risques dans la fonction "Se souvenir de moi"
  • Ré-authentification avant les actions clés
  • Test d'authentification force brute
  • Résumé

4. Paramètre Diddling

  • Introduction
  • Identification de données non fiables dans les paramètres de requête HTTP
  • Capture de requêtes et utilisation d'outils simples pour manipuler les paramètres
  • Manipulation de la logique d'application via des paramètres
  • Tester la validation côté serveur manquante, si vous ne le faites pas, c'est comme si le gros gamin regardait la tarte!
  • Comprendre la liaison du modèle
  • Exécuter une attaque d'assignation de masse
  • Le verbe HTTP falsifie - Qu'est-ce qu'un verbe? Post, Get etc. Sont-ils interchangeables, vous seriez surpris?
  • Test de Fuzz - Pulvériser que App comme un pompier pulvérise un feu avec son tuyau d'incendie, puis voir si ça Hiccups!
  • Résumé

5. Protection de la couche de transport - Sécurité pendant le trajet

  • Introduction
  • Les trois objectifs de la protection de la couche de transport
  • Comprendre un homme dans l'attaque du milieu, et nous en sommes tous victimes tous les jours!
  • Protéger les données sensibles en transit, et au repos.
  • Le risque d'envoyer des cookies sur des connexions non sécurisées
  • Comment charger des formulaires de connexion sur HTTP est risqué
  • Quelle est la solution? Http partout? Qu'en est-il des frais généraux?
  • Exploiter le contenu en mode mixte
  • L'en-tête HSTS
  • Résumé

6. Cross Site Scripting (XSS) - Vérité Est-ce que je fais juste ce qu'on me dit

  • Introduction
  • Comprendre les données non fiables et la désinfection
  • Établir des pratiques d'aseptisation des intrants - Gardez-le propre
  • Comprendre XSS et l'encodage de sortie
  • Identifier l'utilisation de l'encodage de sortie - et revenir!
  • Types 3 de XSS, Reflected, Stored et DOM
  • Fournir une charge utile via XSS réfléchi
  • Tester le risque de persistance XSSv
  • L'en-tête X-XSS-Protection
  • Résumé

7. Cookies - pas seulement pour Hansel et Gretel

  • Introduction
  • Cookies 101 - Tout ce que vous vouliez savoir mais avez eu peur de demander!
  • Session Management - HTTP est comme un patient Alzheimer - Comme le film, 50 First Dates ™!
  • Comprendre Http Seuls les cookies, quels sont-ils et pourquoi nous devrions les utiliser?
  • Comprendre les cookies sécurisés Ne pas mettre les cookies de Grandmas dans un Cookie Jar verrouillé!
  • Désactiver les cookies - Avons-nous vraiment besoin d'eux?
  • Restreindre l'accès aux cookies par chemin d'accès - Maintenant, il y a une idée!
  • Réduire les risques avec l'expiration des cookies - Restez bref!
  • Utilisation de cookies de session pour réduire davantage les risques
  • Résumé

8. Divulgation interne de la mise en œuvre - Que se passe-t-il à l'intérieur de la Bête?

  • Introduction
  • Comment un pirate crée un profil de risque de site Web, Assurez-vous de ne pas correspondre à ce profil.
  • Divulgation de l'en-tête de réponse du serveur - Dites-le comme il est, ou n'est-ce pas ce que vous vouliez?
  • Localiser les sites Web à risque - Faire en sorte que le vôtre ne soit pas l'un d'entre eux
  • Empreinte HTTP des serveurs - Détermination de l'exécution de votre WebApp WebSite
  • Divulgation via robots.txt - Dites au monde où ne pas regarder!
  • Les risques dans la source HTML - Ce que votre HTML dit à tout le monde, que vous le sachiez ou non!
  • Fuite de message d'erreur interne - Messages d'erreur qui disent trop!
  • Manque de contrôle d'accès sur les données de diagnostic - Tout d'abord, les pirates tentent de mettre le viseur en mode débogage
  • Résumé

9. Injection SQL - Injection SQL - Qu'est-ce qu'une commande, quelles sont les données?

  • contour
  • Comprendre l'injection SQL
  • Tester les risques d'injection - "Utiliser des outils coûteux très chers tels que Chrome et FireFox!"
  • Découverte de la structure de la base de données par injection
  • Récolte de données par injection. Imprimez simplement le schéma complet dans les bonnes conditions.
  • Automatiser les attaques avec Havij
  • Blind SQL injection - Comment l'aveugle peut encore trouver des trous
  • Modèles d'application sécurisés
  • Résumé

10. Cross Site Attacks - Politique d'origine identique. Tout le monde le brise Pourquoi ne devrions-nous pas?

  • Introduction
  • Comprendre les attaques intersites - Tirer parti de l'autorité d'un utilisateur approuvé
  • Test d'un risque de contrefaçon de requête intersite
  • Le rôle des jetons anti-contrefaçon - Quelques choses qui aideront
  • Test de contrefaçon de requête intersite contre les API
  • Monter une attaque clickjacking - Sur quoi cliques-tu quand même?
  • Résumé

S'il vous plaît écrivez-nous à info@itstechschool.com & contactez-nous au + 91-9870480053 pour le prix du cours et le coût de la certification, le calendrier et l'emplacement

Envoyez-nous une requête

certificat

Pour plus d'informations avec bonté contactez-nous.


Avis