típustantermi képzés
REGISZTRÁCIÓ

Kapcsolat

A. Jelölt mezők * van szükség

 

CAST613-portfolió

Leírás

Közönség és előfeltételek

Tanfolyam körvonal

Ütemezés és díjak

Tanúsítvány

CAST 613 Hackelés és keményedés Corporate Web App / Web Site

Az asztali számítógépek megsérülését okozó rosszindulatú szoftverek felismerhetik az FTP-hitelesítő adatokat vagy a rendszergazdai hitelesítő adatokat. Ezeket a hitelesítő adatokat ezután felhasználhatja a webszerver, a weboldal és még más erőforrások eléréséhez a vállalat hálózatán. Ez a kurzus célja egy olyan támadó akciójának utánzása, amely kihasználja a hálózati biztonság gyengeségeit a szokásos kockázatok nélkül. Nagyon fontos az adatok és a rendszer védelme, mivel a hacker támadások károsíthatják a vállalat hírnevét annyira, hogy elveszítik a bevételeket és az ügyfeleket.

Célkitűzések

  • Bizonytalan jelszó tárolás létrehozása
  • Tesztelje a kockázatokat a "Remember me" funkcióban
  • Ismerje meg a nem biztonságos adatokat és a fertőtlenítést
  • Blind SQL injektálás
  • Hozzon létre bemeneti fertőtlenítési gyakorlatokat
  • Értsd meg az XSS és a kimeneti kódolást
  • A kulcsműveletek előtt hitelesítse újra
  • Ellenőrizze a hitelesítő erőt
  • A szüret adatok injekció útján.
  • Automatizálja a támadásokkal a Havij-ot

Célközönség

Ha a múltban biztonságos kódolási tanfolyamokat vettél fel, úgy gondolod, hogy ez ugyanaz lesz. Semmi sem lehet tovább az igazságtól. Ez a kurzus teljesen más megközelítés. A legtöbb fejlesztő elmondja neked, hogy ha tudom, hogyan juthat be a hackerek, általában könnyű javítani. Ez csak így van. A fejlesztők soha nem próbálták megtörni saját kódjukat vagy valaki más kódját. Talán nincsenek készségeik erre. Ez csak becsületes emberré teszi őket? Talán, de a mai világban ez nem jó dolog, de nagyon rossz dolog. Tudatában kell lennünk azoknak a dolgoknak, amelyek történhetnek veled, vagy nem fog tudni védeni magát. A hackereknek nagyon könnyűnek kell lenniük, hogy csak 1 lyukat találjanak. A fejlesztőnek be kell dugnia az összes lyukat. A fejlesztõnek naprakészen kell tartania a legfrissebb biztonsági fenyegetéseket. Egyes fejlesztõk azzal érvelhetnek, hogy nem a fejlesztõ feladata, hogy biztosítsa a vállalatot, vagyis a biztonsági részleg munkáját. Ez tiszta hulladék. Mindegyik kézzel védi a vállalati környezetet. Mindegyikük megosztja ezt a felelősséget. Míg az ujjmutató megy, a hacker élvezi magát az összes szellemi tulajdonával, az emberi erőforrással kapcsolatos információkkal vagy bármi mással, amit bevételre tehet. Ez a kurzus úgy van kialakítva, hogy ha megérted a programozási logikát, akkor előnyös lehet a kurzus előnyeiből.

Tanfolyam vázlat időtartam: 3 napok

1. Bevezetés

  • A tanfolyamról és a szerző Tim Pierson
  • Miért fejlesztettem ki a vállalati weboldal / WebApp: egy fejlesztői perspektívát?
  • A kiszolgáltatott weboldal bemutatása
  • A drága pen tesztelő eszközök használatával magas árfekvésű eszközök, mint a Firefox / Firebug vagy a Chrome fejlesztői eszközei (Comes with Chrome).
  • Bemutattam néhány ingyenes bővítményt a Chrome-hoz és a Firefoxhoz, Megemlítettem, hogy szabad?
  • A megfigyelés és a zeneszerelés kérései egy közös proxy használatával, mint a Fiddler, a Paros vagy a Burp Suite.
  • A felhívásban szereplő kérések és válaszok módosítása, hogy megváltoztassa, mi történik, és mi következik be mielőtt a böngésző megadja.
  • A böngésző egyszerűen kódolja a kódot felülről lefelé. Fogalmam sincs, mi a jó, rossz, rosszindulatú vagy egyéb.
  • A webes szörfözés olyan, mintha minden webhelyet megadna a dobozában lévő héjhoz!

2. A titkosítás titkosítása

  • Bevezetés
  • Titkosítás - meghatározás
  • Titkosítás algoritmus
  • Szimmetrikus titkosítás
  • Aszimmetrikus titkosítás
  • Crack idő
  • Jelszó-politika és miért egyszerűen nem működnek!
  • Ne használja a Pass Word minden újra! Használjon egy Pass Phrase helyett!
  • hashelés
  • Hash ütközések
  • Közös Hash algoritmusok
  • Digitális aláírások - Annak bizonyítása, hogy ki vagyunk.
  • Digitális tanúsítványszintek - jön le a költség!
  • Az SSL tanúsítványokkal való munkavégzés.
  • Bízunk benne, amit tudunk - Igaz történet.
  • IPSec - Ez megoldja mindezt?
  • Nyilvános kulcs infrastruktúra
  • HeartBleed - Mi az egész a Hype? Tennünk kell?
  • Laptop és hordozható titkosítás: TrueCrypt - a BYOB itt van, vagy jön!
  • összefoglalás

3. Fiókkezelés - a kulcs az egészhez?

  • Bevezetés
  • Megértése, hogy mennyire fontos a jelszó erőssége és a támadási vektorok
  • Kedvenc dia a világban
  • A majomkulcs technikájának átadása!
  • Karakterek korlátozása a jelszavakban
  • A (hitelesítő adatok küldése) fiók létrehozásakor
  • Fiókszámlálás
  • A szolgáltatás visszautasítása jelszó visszaállításával
  • A visszaállítási folyamatok helyes biztosítása
  • A szégyen falai - egyszerű szöveget elkövetők
  • Hogyan keressünk egy biztonságos weboldalt - Mindenkinek meg kell próbálnia ezt a családjukon.
  • Bizonytalan jelszó tárolása
  • A "Remember me" funkcióban a kockázatok tesztelése
  • A kulcsműveletek újbóli hitelesítés
  • A hitelesítés hitelességének tesztelése
  • összefoglalás

4. Diddling paraméter

  • Bevezetés
  • Nem megbízható adatok azonosítása a HTTP kérelem paraméterekben
  • Kérelmek átvétele és egyszerű eszközök használata a paraméterek manipulálásához
  • Az alkalmazás logikájának manipulálása paraméterek segítségével
  • A hiányzó kiszolgálói oldal érvényesítésének tesztelése, ha nem teszed meg, olyan, mintha a kövér kölyköt nézni a tortán!
  • A modellkötés megértése
  • Tömeg-hozzárendelési támadás végrehajtása
  • HTTP verb-szabotázs - Mi az ige? Post, Get stb. Felcserélhetők, meglepődnének?
  • Fuzz tesztelés - Ez az alkalmazás, mint egy tűzoltó permetez egy tűzzel a tűzcsővel, akkor nézd meg, hogy csattan!
  • összefoglalás

5. Közlekedési réteg védelem - Biztonság az ingázás során

  • Bevezetés
  • A szállítási réteg védelme három célkitűzése
  • Megérteni egy embert a középső támadásban, és mindannyian áldozunk rá minden nap!
  • Az érzékeny adatok védelme a tranzitban és a Pihenőben.
  • Az a kockázat, hogy a cookie-kat bizonytalan kapcsolaton keresztül küldi
  • A bejelentkezési űrlapok betöltése HTTP-en keresztül kockázatos
  • Mi a megoldás? Http bárhol? Mi a helyzet a felsővezetéssel?
  • Kevert módú tartalmak kihasználása
  • A HSTS fejléc
  • összefoglalás

6. Cross Site Scripting (XSS) - Az igazság Csak azt teszem, amit mondanak

  • Bevezetés
  • Megbízható adatok és tisztítás
  • A bemeneti fertőtlenítési gyakorlatok kialakítása - Tisztítsa meg a tisztítást
  • Az XSS és a kimeneti kódolás megértése
  • A kimeneti kódolás használatának azonosítása - és visszatérés!
  • 3 XSS típusok, Reflected, Stored és DOM
  • Jóvátadás a visszavert XSS révén
  • Az állandó XSSv kockázatának vizsgálata
  • Az X-XSS védelmi fejléc
  • összefoglalás

7. Cookie-k - nem csak Hansel és Gretel számára

  • Bevezetés
  • Cookie-k 101 - Minden, amit tudni akart, de félt, hogy kérje!
  • Session Management - A HTTP olyan, mint az Alzheimer-kór - mint a film, az 50 First Dates ™!
  • A Http megértése Csak a cookie-kat, mi és miért kell ezeket használni?
  • Biztonságos cookie-k megértése. Nem tiltják a nagymama sütiket egy zárolt süteményedbe!
  • A cookie-k letiltása - igazán szükségünk van rájuk?
  • A cookie hozzáférés korlátozása útvonallal - most van egy ötlet!
  • A kockázatok csökkentése a cookie lejárattal - Tartsa rövidre!
  • A munkamenet cookie-k használata a kockázat további csökkentése érdekében
  • összefoglalás

8. Belső végrehajtás közzététele - Mi történik a fenevadon belül?

  • Bevezetés
  • Hogyan támadók építenek egy webhely kockázati profilját? Ellenőrizze, hogy nem illeszkedik-e a profilhoz.
  • A kiszolgáló válasz fejlécének közzététele - Mondja el, hogy tetszik, vagy nem az, amit szándékoztak?
  • Rosszindulatú weboldalak megtalálása - Biztos, hogy a tiéd nem tartozik rájuk
  • HTTP ujjlenyomat-kiszolgáló - A WebApp WebSite működőképességének meghatározása
  • Közlés a robots.txt segítségével - Mondja el a világot, hol ne nézzen!
  • A HTML-forrás kockázata - Mit mond a HTML-nek Mindenkinek, akár tudod, akár nem!
  • Belső hibaüzenet szivárgás - Hibaüzenetek, amelyek szerint túl sok!
  • A diagnosztikai adatok hozzáférési vezérlőinek hiánya - Első dolog Hackerek Próbálja meg a látót hibás módban elhelyezni
  • összefoglalás

9. SQL injekció - SQL injekció - Mi a parancs, mi az adat?

  • Vázlat
  • SQL injektálás megértése
  • A befecskendezési kockázatok tesztelése - "Nagyon költséges és költséges eszközök használata, mint a Chrome és a FireFox!"
  • Az adatbázis struktúrájának felfedezése injekció útján
  • Adatok beadása injekcióval. Egyszerűen nyomtassa ki az egész sémát a megfelelő körülmények között.
  • A támadások automatizálása a Havij segítségével
  • Blind SQL injektálás - Hogy a Vak ember még mindig találhat lyukat
  • Biztonságos alkalmazásminták
  • összefoglalás

10. Keresztezési támadások - Ugyanaz a származási irányelv. Mindenki más megszakítja, miért nem?

  • Bevezetés
  • Határokon átívelő támadások megértése - Egy jóváhagyott felhasználó hatóságának kihasználása
  • A kereszthelyre vonatkozó kérelem hamisítás kockázatának vizsgálata
  • A hamisítás-jelző szerepe - Néhány dolog, ami segít
  • A kereszttelepítési kérelmek hamisítása az API-k ellen
  • Kattintás-támadási támadás felszerelése - Mit csinálsz?
  • összefoglalás

Kérjük, írjon nekünk info@itstechschool.com és vegye fel velünk a kapcsolatot a + 91-9870480053 címen a tanfolyam ára és tanúsítási költsége, ütemezése és helyszíne

Adjon le egy lekérdezést

Tanúsítvány

További információért kérlek lépjen kapcsolatba velünk.


Vélemények