סוּגהכשרה בכיתה
להירשם

צור קשר

שדות המסומנים ב- * נדרשים

 

תיק CAST613

תיאור

קהל & תנאים מוקדמים

מתווה קורס

לוח זמנים ועמלות

תעודה

CAST 613 פריצה וקשיחה של אתר האינטרנט של החברה / אתר אינטרנט

תוכנה זדונית שמשחיתה מחשבים שולחניים יכולה לחשוף אישורי FTP או אישורי מנהל מערכת. אישורים אלה יכולים לשמש כדי לגשת לשרת האינטרנט, לאתר האינטרנט ואף למשאבים אחרים ברשת של חברה. קורס זה נועד לחקות את פעולתו של פולש המנצלת חולשות באבטחת הרשת ללא הסיכונים הרגילים. חשוב מאוד להגן על הנתונים ועל המערכת שלך כמו התקפות פריצה יכול לפגוע במוניטין של החברה עד כדי כך שהם מאבדים הכנסות ולקוחות.

יעדים

  • יצירת אחסון סיסמה לא מאובטח
  • מבחן הסיכונים בתכונה 'זכור אותי'
  • הבנת נתונים לא בטוחים וחיטוי
  • עיוור SQL הזרקת
  • קביעת נוהלי חיטוי קלט
  • להבין XSS ו קידוד פלט
  • בצע אימות מחדש לפני פעולות מפתח
  • מבחן לאימות כוח הזרוע
  • קציר נתונים באמצעות הזרקה.
  • אוטומציה של התקפות עם Havij

קהל יעד

אם יש לך לקחו קורסים מאובטחת קידוד בעבר אתה עשוי לחשוב שזה הולך להיות זהה. שום דבר אינו יכול להיות רחוק יותר מן האמת. קורס זה הוא גישה שונה לחלוטין. רוב המפתחים יגידו לך שאם הייתי יודע איך האקרים יכולים להיכנס, זה בדרך כלל קל לתקן. זה בדיוק העניין. היזמים מעולם לא ניסו לפרוץ לקוד שלהם או לקוד של מישהו אחר. אולי אין להם את הכישורים לעשות זאת. האם זה עושה אותם רק אדם ישר? אולי, אבל בעולם של היום זה לא דבר טוב אלא דבר רע מאוד. אתה חייב אנו מודעים לדברים שיכולים לקרות לך או שאתה לא תוכל להגן על עצמך. האקרים למעשה יש את זה קל מאוד הם רק צריכים למצוא חור 1 להיכנס פנימה היזם חייב לחבר את כל החורים. היזם חייב לשמור מעודכן עם האיומים האחרונים האבטחה. מפתחים מסוימים עשויים לטעון כי זה לא התפקיד של היזם כדי לאבטח את המפעל, כי היא מחלקת האבטחה של העבודה. זה זבל טהור. לכל אחד יש יד להגן על הסביבה הארגונית. כל אחד מהם חולק אחריות זו. בעוד האצבע מצביעה על האקר הוא נהנה עם כל הקניין הרוחני שלך, משאבי אנוש מידע, או כל דבר אחר שהוא יכול להפיק רווחים.קורס זה מתוכנן כך שאם אתה מבין ההיגיון תכנות אתה יכול להפיק תועלת כמובן זה.

אורך הקורס: 3 ימים

1. מבוא

  • על הקורס ועל המחבר טים פירסון
  • מדוע פיתחתי פריצה והקפה של האתר הארגוני שלך / WebApp: פרספקטיבה למפתחים
  • היכרות עם האתר הפגיע
  • באמצעות כלי בדיקה יקר מאוד של פן כלי במחיר גבוה כמו Firefox / Firebug או כלי הפיתוח של Chrome (מגיע עם Chrome).
  • היכרות עם כמה תוספות חינם ל- Chrome ו- Firefox, האם הזכרתי שהן היו חופשיות?
  • ניטור והלחנה של בקשות באמצעות proxy משותף כמו Fiddler, Paros או Burp Suite.
  • שינוי בקשות ותגובות ב Fiddler כדי לשנות מה יוצא ומה מגיע לפני דפדפן מעביר את זה.
  • הדפדפן פשוט קורא קוד מלמעלה למטה. אין מושג מה טוב, רע, זדוני או אחרת.
  • גלישת האינטרנט היא כמו לתת לכל אתר שאתה הולך פגז על התיבה שלך!

2. קריפטוגרפיה מפוענחת

  • מבוא
  • הצפנה - הגדרה
  • אלגוריתם הצפנה
  • סימטרי הצפנה
  • הצפנה אסימטרית
  • זמן סדק
  • מדיניות סיסמאות ולמה הם פשוט לא עובדים!
  • אל תשתמש ב- Pass Word שוב! השתמש ביטוי לעבור במקום!
  • חבטות
  • התנגשויות
  • אלגוריתמים משותפים
  • חתימות דיגיטליות - הוכחת מי שאנחנו אומרים שאנחנו.
  • רמות אישור דיגיטלי - זה מגיע לעלות!
  • עבודה עם אישורי SSL.
  • אנחנו סומכים על מה שאנחנו יודעים - סיפור אמיתי.
  • IPSec - האם זה יפתור את הכל?
  • תשתית מפתח ציבורי
  • HeartBleed - מה כל ההייפ? האם אכפת לנו?
  • מחשב נייד נייד הצפנה: TrueCrypt - BYOB הוא כאן או בא!
  • סיכום

3. ניהול חשבון - המפתח לכל זה?

  • מבוא
  • הבנת כמה חשוב כוח הסיסמה ווקטורים ההתקפה הם
  • השקף האהוב עלי בעולם
  • מעבר טכניקת קוף ברגים!
  • הגבלת תווים בסיסמאות
  • מתן (שליחת אישורים) ליצירת חשבון
  • ספירה בחשבון
  • מניעת שירות באמצעות איפוס סיסמה
  • נכון לאבטח את תהליכי איפוס
  • קיר של בושה - עברייני טקסט פשוטים
  • איך לזהות אתר אינטרנט מאובטח - כולם צריכים לנסות את זה על המשפחה שלהם.
  • יצירת אחסון סיסמה לא מאובטח
  • בדיקת סיכונים בתכונה 'זכור אותי'
  • אימות מחדש לפני פעולות מפתח
  • בדיקה לאימות כוח הזרוע
  • סיכום

4. פרמטר Diddling

  • מבוא
  • זיהוי נתונים לא מהימנים בפרמטרים של בקשת HTTP
  • לכידת בקשות ושימוש בכלים פשוטים לתרגול פרמטרים
  • מניפולציה של לוגיקת היישומים באמצעות פרמטרים
  • בדיקות עבור אימות בצד השרת חסר, אם אתה לא עושה את זה, זה כמו שיש לילד השמן לצפות בעוגה!
  • הבנת המודל מחייב
  • ביצוע התקפת הקצאה המונית
  • HTTP verb tampering - מה זה פועל? פוסט, קבל וכו 'האם הם להחלפה אתה תהיה מופתע?
  • בדיקות Fuzz - ריסוס כי App כמו כבאי של תרסיסים אש עם צינור האש שלו, ואז לראות אם זה שיהוק!
  • סיכום

5. הגנת שכבת תעבורה - בטיחות במהלך הנסיעות

  • מבוא
  • שלושת המטרות של הגנה שכבת התחבורה
  • הבנת אדם בהתקפה האמצעית, וכולנו נופלים קורבן כל יום!
  • הגנה על נתונים רגישים במעבר, ובשאר.
  • הסיכון לשליחת עוגיות על גבי קשרים לא בטוחים
  • כיצד טעינת טפסים התחברות על HTTP הוא מסוכן
  • מה הפתרון? Http בכל מקום? מה עם התקורה?
  • ניצול תוכן מצב מעורב
  • כותרת HSTS
  • סיכום

6. CrossScript Site Scripting (XSS) - האמת האם אני פשוט עושה מה שאומרים לי

  • מבוא
  • הבנת נתונים לא מהימנים וחיטוי
  • יצירת שיטות חיטוי קלט - שמור את זה נקי נכנס
  • הבנת XSS ו פלט קידוד
  • זיהוי השימוש בקידוד פלט - ויציאה חזרה!
  • 3 סוגים של XSS, משקף, מאוחסן DOM
  • מסירת מטען באמצעות XSS
  • בדיקה עבור הסיכון של XSSv מתמשך
  • הכותרת X-XSS-Protection
  • סיכום

7. עוגיות - לא רק עבור הנזל וגרטל

  • מבוא
  • עוגיות 101 - כל מה שרצית לדעת אבל פחדת לשאול!
  • מושב ניהול - HTTP הוא כמו חולה אלצהיימר - כמו בסרט, 50 First Dates ™!
  • הבנת עוגיות ה- Http בלבד, מה הן ומדוע עלינו להשתמש בהן?
  • הבנת עוגיות מאובטחות. ללא שם: לא לשים קובצי גרנדמס בתוך קוקי נעול נעול!
  • Disabling Cookies - האם אנחנו באמת זקוקים להם?
  • הגבלת גישה עוגיות על ידי נתיב - עכשיו יש רעיון!
  • הפחתת הסיכון עם תפוגת עוגיות - שמור את זה קצר!
  • שימוש בעוגיות הפגישה כדי לצמצם עוד יותר את הסיכון
  • סיכום

8. גילוי פנימי יישום - מה קורה בתוך החיה

  • מבוא
  • כיצד תוקף בונה פרופיל סיכון לאתר, ודא שאינך מתאים לפרופיל זה.
  • תגובת כותרת שרת תגובה - תגיד את זה כמו שזה, או שזה לא מה שאתה מתכוון?
  • איתור אתרים בסיכון - ביצוע בטוח שלך הוא לא אחד מהם
  • טביעת אצבע HTTP של שרתים - קביעת אתר האינטרנט של WebApp פועל
  • גילוי באמצעות robots.txt - תגיד לעולם איפה לא להסתכל!
  • הסיכונים ב- HTML מקור - מה ה- HTML שלך אומר לכולם, אם אתה יודע את זה או לא!
  • הודעת שגיאה פנימית דליפה - הודעות שגיאה אומר הרבה יותר מדי!
  • היעדר בקרת גישה על נתונים אבחון - דבר ראשון האקרים מנסים היא לשים את המראה במצב Debug
  • סיכום

9. הזרקת SQL - הזרקת SQL- מה זה פיקוד, מה הנתונים?

  • מתאר
  • הבנת הזרקת SQL
  • בדיקה עבור סיכונים הזרקת - "שימוש במחיר גבוה מאוד כלים יקרים כמו Chrome ו FireFox!"
  • גילוי מבנה מסד נתונים באמצעות הזרקה
  • איסוף נתונים באמצעות הזרקה. כל שעליך לעשות הוא להדפיס את הסכימה כולה בתנאים הנכונים.
  • אוטומציה של התקפות עם Havij
  • הזרקת SQL עיוור - איך האדם העיוור עדיין יכול למצוא חורים
  • דפוסי אפליקציה מאובטחים
  • סיכום

10. תקיפות אתר משותף - אותה מדיניות מקור. כולם שוברים את זה למה אנחנו לא צריכים?

  • מבוא
  • הבנת התקפות בין אתרים - מינוף רשות של משתמש מאושר
  • בדיקה לסיכון של זיוף בקשה בין אתרים
  • התפקיד של אנטי זיוף אסימונים - כמה דברים שיעזרו
  • בדיקה בין אתרים בקשת זיוף נגד ממשקי API
  • התקנת התקפת clickjacking - על מה אתה לוחץ בכל זאת?
  • סיכום

אנא כתוב לנו בכתובת info@itstechschool.com צור קשר בכתובת + 91-9870480053 עבור מחיר הקורס & עלות הסמכה, לוח זמנים ומיקום

זרוק לנו שאילתה

תעודה

לקבלת מידע נוסף בחביבות תיצור איתנו קשר.


מלקוחות