ՏիպԴասասենյակի ուսուցում
ԳՐԱՆՑՎԵՔ

CAST 613 ուսուցում Գուրգաոնում

նկարագրություն

Հանդիսատեսը եւ նախադրյալները

Դասընթացի նկարագիրը

Ժամանակացույց եւ վճարներ

վավերացում

Hacking and Hardening Corporate Web App/Web Site XCHARX CAST 613 Training

Վնասակար ծրագրերը, որոնք կոռումպացված են համակարգչային համակարգերը, կարող են հրապարակել FTP- ի հավատարմագրերը կամ ադմինիստրատորի հավատարմագրերը: Այս հավատարմագրերը կարող են օգտագործվել որպես վեբ սերվերի, վեբ կայքի եւ նույնիսկ այլ ռեսուրսների մուտք գործել ընկերության ցանցում: Այս դասընթացի նպատակն է ընդօրինակել ցանցային անվտանգության թույլ կողմերը շահագործող սպառողի գործողությունները, առանց սովորական ռիսկերը: Շատ կարեւոր է պաշտպանել ձեր տվյալները եւ համակարգը, քանի որ հաքերային հարձակումները կարող են վնաս հասցնել ընկերության հեղինակությանը այն կետին, որը կորցնում է եկամուտը եւ հաճախորդները:

Նպատակները

  • Ապահով գաղտնաբառերի պահեստավորում
  • Փորձեք ռիսկերի «հիշել ինձ» հնարավորության մեջ
  • Հասկացեք վտանգավոր տվյալներ եւ սանիտիզացիա
  • Կույր SQL ներարկումը
  • Հիմնադրամի միջոցների բարելավում
  • Հասկացեք XSS եւ արտադրանքի կոդավորում
  • Կրկնօրինակեք հիմնական գործողությունները
  • Վավերացման խիստ ուժի ստուգում
  • Հացահատիկային ներարկման միջոցով ներարկման միջոցով:
  • Ավտոմատ հարձակումներ Havij- ի հետ

Նպատակային լսարանը

Եթե ​​անցյալում ստացել եք ապահով կոդավորման դասընթացներ, ապա կարող եք մտածել, որ դա կլինի նույնը: Ոչինչ չի կարող լինել ճշմարտությունից: Այս դասընթացը բոլորովին այլ մոտեցում է: Շատ մշակողները ձեզ կպատմեն, որ եթե ես գիտեի, որ հակերները կարող են ստանալ, սովորաբար հեշտ է ամրագրել: Դա հենց դա է: Ստեղծողները երբեք չեն փորձել կոտրել իրենց սեփական կոդը կամ ուրիշի կոդը: Գուցե նրանք չունեն այդպիսի հմտություններ: Արդյոք դրանք պարզապես ազնիվ մարդ են դարձնում: Գուցե, բայց այսօրվա աշխարհում դա լավ բան չէ, այլ շատ վատ բան: Դուք պետք է գիտակցենք, թե ինչ կարող է պատահել ձեզ, կամ դուք չեք կարողանա պաշտպանվել: Հաքերները իրականում ունենում են այն շատ հեշտ, նրանք պետք է միայն գտնվեն 1 փոս ստանալու համար: Ծրագրի մշակողը պետք է բոլոր անցքերը փակցի: Ստեղծողը պետք է պահպանի վերջին անվտանգության սպառնալիքները: Որոշ ծրագրավորողներ կարող են պնդել, որ այն մշակողը չի ապահովում ձեռնարկությունը ապահովելու, այսինքն `անվտանգության վարչության աշխատանքը: Դա մաքուր աղբ է: Յուրաքանչյուրն ունի ձեռքի պաշտպանություն կորպորատիվ միջավայրում: Յուրաքանչյուրը կիսում է այդ պատասխանատվությունը: Թեեւ մատը մատնացույց է անում շարունակվում է, հակերը վայելում է ձեր բոլոր մտավոր սեփականության, Մարդկային ռեսուրսների տեղեկատվության կամ որեւէ այլ բան, նա կարող է դրամայնացնել: Այս դասընթացը նախատեսված է այնպես, որ եթե հասկանաս ծրագրավորման տրամաբանությանը, կարող եք օգտվել այս դասընթացից:

Դասընթացի տեւողությունը `3 օր

1: ներածություն

  • Դասընթացի եւ հեղինակ Թիմ Պիերսոնի մասին
  • Ինչու ես զարգացրել Hacking եւ Hardening ձեր կորպորատիվ կայք / WebApp: մշակողի հեռանկար
  • Ներկայացնել խոցելի կայքը
  • Օգտագործելով շատ թանկ Pen թեստավորման գործիքներ բարձր գներով գործիքներ, ինչպիսիք են Firefox / Firebug կամ Chrome- ի մշակող գործիքներ (Comes with Chrome):
  • Ներկայացնելով մի քանի անվճար հավելվածներ Chrome- ի եւ Firefox- ի համար, նշեցի, որ դրանք անվճար են:
  • Մոնիտորինգ եւ կազմող հարցումներ, օգտագործելով ընդհանուր վստահված անձի նման Fiddler, Paros կամ Burp Suite- ը:
  • Fiddler- ում հարցումները եւ պատասխանները փոփոխելը, թե ինչ է կատարվում, եւ այն, ինչ առաջանում է Browser- ի կողմից, այն դարձնում է այն:
  • Զննարկիչը պարզապես կարդում է կոդը վերեւից ներքեւ: Ոչ մի գաղափար, որն է լավը, վատը, վնասակար կամ այլ կերպ:
  • Ոսկե գլոբալ ցանցը նման է ձեր վանդակում գտնվող վահանակին անցնելու ցանկացած կայք տալուն:

2. Գաղտնագրված ապատեղեկատվություն

  • ներածություն
  • Կոդավորումը `սահմանում
  • Կոդավորման ալգորիթմ
  • Սիմետրիկ կոդավորումը
  • Ասիմետրիկ կոդավորումը
  • Crack Time
  • Գաղտնաբառի քաղաքականությունը եւ ինչու են նրանք պարզապես չեն աշխատում:
  • Մի օգտագործեք Pass Word- ը: Օգտագործեք փոխարինման բառի փոխարեն:
  • Hashing
  • Hash բախումներ
  • Ընդհանուր խաբե ալգորիթմներ
  • Թվային ստորագրություններ `հաստատելով, թե ով ենք մենք ասում:
  • Թվային վկայական մակարդակները.
  • Աշխատելով SSL վկայագրերով:
  • Մենք վստահում ենք այն, ինչ գիտենք `ճշմարիտ պատմություն:
  • IPSec - Արդյոք դա կլուծի բոլորը:
  • Հանրային բանալիների ենթակառուցվածք
  • HeartBleed - Ինչ է բոլոր Hype? Պետք է հոգ տանենք:
  • Laptop եւ Portable կոդավորումը: TrueCrypt - BYOB է այստեղ կամ գալիս է.
  • Ամփոփում

3. Հաշվի կառավարում - դրա բանալին:

  • ներածություն
  • Հասկանալով, թե որքան կարեւոր է գաղտնաբառի ուժը եւ հարձակողական վեկտորը
  • Սիրված սլայդ աշխարհում
  • Անցնելով կապիկի կեղտոտ տեխնիկան:
  • Սահմանափակում նիշերը գաղտնաբառերի մեջ
  • Հաշվի ստեղծման վերաբերյալ (Emailing հավատարմագրերը) տրամադրումը
  • Հաշվի հաշվարկը
  • Ծառայության մերժումը գաղտնաբառը վերականգնելու միջոցով
  • Վերականգնման գործընթացների ճշգրիտ ապահովում
  • Ամոթի պատին `պարզ տեքստային հանցագործներ
  • Ինչպես ապահովել վեբ կայքի անվտանգությունը - Բոլորը պետք է փորձեն դա իրենց ընտանիքում:
  • Անվտանգ գաղտնաբառ պահեստավորումը ստեղծելու համար
  • «Հիշիր ինձ» ֆունկցիայի ռիսկերի փորձարկում
  • Կրկնօրինակման համար առանցքային գործողությունները
  • Փորձաքննություն վավերացման ուժեղ ուժի համար
  • Ամփոփում

4. Պարամետր Diddling

  • ներածություն
  • Անհավատալի տվյալներ HTTP հարցման պարամետրերի սահմանում
  • Ձեռք բերելով հարցումները եւ օգտագործելով հեշտ գործիքներ պարամետրերի շահարկումների համար
  • Կիրառել ծրագրերի տրամաբանությունը պարամետրերով
  • Փորձարկումը բացակայում է սերվերային կողմի վավերացման համար, եթե չես անում, դա նման է յուղոտ երեխայի դիտելու կարկանդակ:
  • Հասկանալով մոդելի պարտադիր
  • Կատարել զանգվածային հանձնարարություն հարձակումը
  • HTTP բառապտույտը կեղծելը - Ինչ է բերան: Post, Get եւ այլն: Արդյոք դրանք փոխարինելի են, որ դուք կզարմանաք:
  • Fuzz- ի փորձարկումները `Spraying այն App- ի նման հրշեջի sprays կրակը իր կրակ գուլպաներ, ապա տեսեք, եթե դա Hiccups!
  • Ամփոփում

5. Տրանսպորտային շերտերի պաշտպանություն

  • ներածություն
  • Տրանսպորտային շերտի պահպանության երեք նպատակները
  • Հասկացող մարդը միջին հարձակման մեջ, եւ մենք ամեն օր զոհ ենք դառնում դրա վրա:
  • Տրանսպորտի զգայուն տվյալների պահպանումը եւ հանգստի ժամանակ:
  • Վտանգավոր կապերի վերաբերյալ բլիթներ ուղարկելու ռիսկը
  • HTTP- ի միջոցով բեռնված մուտքի ձեւերը ռիսկային են
  • Ինչ է լուծումը: Http Everywhere Ինչ վերաբերում է գետնին:
  • Օգտագործելով խառը ռեժիմի բովանդակություն
  • ՀՍՏՍ-ի վերնագիրն է
  • Ամփոփում

6. Cross Site Scripting (XSS) - ճշմարտություն Ես ուղղակի անում եմ այն, ինչ ես եմ ասել

  • ներածություն
  • Հասկանալով վստահելի տվյալներ եւ սանիտիզացիա
  • Կիրառելով ներդրումների սանիտարական պրակտիկան `պահեք մաքուր ընթացքը
  • Հասկանալով XSS եւ արտադրանքի կոդավորում
  • Որոշելով արտադրանքի կոդավորման օգտագործումը եւ վերադառնալը:
  • 3 տեսակի XSS, արտացոլված, պահված եւ DOM
  • Առաքվող XSS- ի միջոցով առաքում
  • Փորձարկումը շարունակական XSSv- ի վտանգի համար
  • X-XSS-Protection- ի վերնագիր
  • Ամփոփում

7. Տեղեկանիշները `ոչ միայն Հանսելը եւ Գրետելը

  • ներածություն
  • Cookies 101- Ամեն ինչ ուզում ես իմանալ, բայց վախենում ես հարցնել:
  • Session Management - HTTP- ն նման է Alzheimer- ի պացիենտին, ինչպես ֆիլմը, 50 First Dates ™!
  • Հասկանալով միայն Քուքի քուքիները, ինչ են եւ ինչու մենք պետք է դրանք օգտագործենք:
  • Հասկանալով անվտանգ բլիթները: Չկանգնեցրեք Գրանդ տուբերկուլյոզը կողպված Cookie Jar- ում:
  • Խցանների անջատում. Արդյոք դրանք մեզ անհրաժեշտ են:
  • Սահմանափակելով cookie- ի մուտքը դեպի ճանապարհը, հիմա կա մի գաղափար:
  • Կրճատման ռիսկը նվազեցնելու համար - Պահպանեք այն կարճ:
  • Օգտագործելով նստաշրջանի բլիթները `հետագայում նվազեցնել ռիսկը
  • Ամփոփում

8. Ներքին իրականացման բացահայտում - Ինչ է կատարվում գազանի ներսում

  • ներածություն
  • Ինչպես է հարձակվողը կառուցում կայք վտանգի պրոֆիլը, համոզվեք, որ դուք չեք տեղավորվում այդ պրոֆիլը:
  • Սերվերային պատասխան վերնագրի բացահայտում - Ասացեք, թե դա այն է, թե դա ոչ թե ինչ եք նախատեսել:
  • Վտանգավոր վեբ կայքերում տեղադրելը `համոզվեք, որ ձերն է նրանցից մեկը
  • HTTP մատնահետքային սերվերներ - Որոշելով, թե ինչ է ձեր վեբ կայքի վեբ կայքը
  • Բացահայտումը robots.txt- ի միջոցով - Ասեք աշխարհին, որտեղ չպետք է նայել:
  • HTML- ի ռիսկերը `ձեր HTML- ն ինչ է ասում բոլորին, անկախ նրանից, թե դա գիտեք, թե ոչ:
  • Ներքին սխալ հաղորդագրության արտահոսք - Սխալ հաղորդագրություններ, որոնք ասում են Way Too Much!
  • Դիագնոստիկ տվյալների հասանելիության վերահսկողության բացակայությունը. Առաջինը Hackers- ը փորձել է դիտել տեսքը Debug Mode- ում
  • Ամփոփում

9. SQL ներարկման - SQL ներարկման - Որն է հրամանը, Ինչ տվյալներ:

  • ուրվագիծ
  • Հասկանալով SQL ներարկման
  • Ներարկման ռիսկի փորձարկում. «Օգտագործելով շատ բարձր գներով բարձրարժեք գործիքներ, ինչպիսիք են Chrome- ը եւ FireFox- ը»:
  • Բացահայտելով տվյալների բազայի կառուցվածքը ներարկման միջոցով
  • Ներարկման միջոցով տվյալների ներարկում: Պարզապես տպեք ամբողջ աղյուսակը ճիշտ պայմաններով:
  • Հավիչի հետ ավտոմատ հարձակումները
  • Blind SQL ներարկման - Ինչպես է կույր մարդը կարող է գտնել անցքեր
  • Ապահով հավելվածի նախշերը
  • Ամփոփում

10. Խաչի վրա հարձակումը `նույն ծագման քաղաքականությունը: Բոլորն էլ խախտում են այն, ինչու չպետք է մենք:

  • ներածություն
  • Հասկանալ խաչքարերի հարձակումները `օգտվելով հաստատված օգտագործողի լիազորություններից
  • Խաչի խնդրանքի փորձարկումը կեղծիքի ռիսկը
  • Հակակարկտային նշանների դերը - Մի քանի բան, որոնք կօգնեն
  • Փորձարկում խաչ տեղում խնդրանքը API- ի դեմ
  • Տեղադրելով clickjacking հարձակումը - Ինչ եք սեղմելով այնուամենայնիվ:
  • Ամփոփում

Խնդրում ենք գրել մեզ info@itstechschool.com եւ մեզ հետ կապ հաստատեք + 91-9870480053- ում `դասընթացի արժեքի եւ սերտիֆիկացման արժեքի, ժամանակացույցի եւ գտնվելու վայրի համար

Բաց թողնել մեզ հարցումը

վավերացում

Լրացուցիչ տեղեկությունների համար խնդրում ենք դիմեք մեզ.


Reviews