ປະເພດການຝຶກອົບຮົມຫ້ອງຮຽນ
ເຂົ້າສູ່ລະບົບ

ຕິດ​ຕໍ່​ພວກ​ເຮົາ

ທົ່ງນາທີ່ຫມາຍດ້ວຍ * ແມ່ນຕ້ອງການ

 

CAST613-portfolio

ລາຍລະອຽດ

Audience & Prerequisites

Course Outline

ຕາຕະລາງແລະຄ່າທໍານຽມ

ການຢັ້ງຢືນ

CAST 613 Hacking ແລະແຂງແຮງເວັບໄຊທ໌ຂອງບໍລິສັດເວັບໄຊທ໌ / ເວັບໄຊທ໌

ມັນແວທີ່ເຮັດໃຫ້ຄອມພິວເຕີ້ desktop ສາມາດເຜີຍແຜ່ຂໍ້ມູນປະຈໍາຕົວ FTP ຫຼືລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງລະບົບ. ຫຼັງຈາກນັ້ນ, ຂໍ້ມູນປະຈໍາຕົວເຫຼົ່ານີ້ສາມາດໃຊ້ໃນການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍເວັບໄຊທ໌, ເວັບໄຊທ໌ແລະແມ້ແຕ່ຊັບພະຍາກອນອື່ນໆໃນເຄືອຂ່າຍຂອງບໍລິສັດ. ຫຼັກສູດນີ້ແມ່ນເພື່ອປະຕິບັດຕາມການປະຕິບັດຂອງຜູ້ບຸກຮຸກທີ່ຂັດຂວາງການໃຊ້ຄວາມປອດໄພໃນເຄືອຂ່າຍໂດຍບໍ່ມີຄວາມສ່ຽງຕໍ່ການປົກກະຕິ. ມັນເປັນສິ່ງສໍາຄັນທີ່ສຸດທີ່ຈະປົກປ້ອງຂໍ້ມູນແລະລະບົບຂອງທ່ານຍ້ອນວ່າການໂຈມຕີ hacking ສາມາດທໍາລາຍຄວາມຊື່ສັດຂອງບໍລິສັດໃຫ້ກັບຈຸດທີ່ພວກເຂົາສູນເສຍລາຍຮັບແລະລູກຄ້າ.

ວັດຖຸປະສົງ

  • ສ້າງລະຫັດຜ່ານທີ່ບໍ່ປອດໄພ
  • ການທົດສອບສໍາລັບຄວາມສ່ຽງໃນການ 'ຈື່ຂ້ອຍ' ຄຸນນະສົມບັດ
  • ເຂົ້າໃຈຂໍ້ມູນທີ່ບໍ່ປອດໄພແລະສຸຂາພິບານ
  • Blind SQL injection
  • ສ້າງການປະຕິບັດດ້ານສຸຂະອະນາໄມເຂົ້າ
  • ເຂົ້າໃຈ XSS ແລະການເຂົ້າລະຫັດອອກ
  • Re-authenticate ກ່ອນການກະທໍາທີ່ສໍາຄັນ
  • ການທົດສອບສໍາລັບຄວາມຈິງ brute ຜົນບັງຄັບໃຊ້
  • ຂໍ້ມູນກ່ຽວກັບການເກັບກ່ຽວຜ່ານການສັກຢາ.
  • ອັດຕະໂນມັດການໂຈມຕີດ້ວຍ Havij

ການສົນທະນາມີຈຸດປະສົງ

ຖ້າທ່ານໄດ້ປະຕິບັດຫຼັກສູດທີ່ມີລະຫັດການຮັກສາຄວາມປອດໄພໃນອະດີດທ່ານອາດຄິດວ່າມັນຈະຄືກັນ. ບໍ່ມີຫຍັງສາມາດສືບຕໍ່ຈາກຄວາມຈິງ. ຫຼັກສູດນີ້ແມ່ນວິທີທີ່ແຕກຕ່າງກັນຫມົດ. ນັກພັດທະນາສ່ວນໃຫຍ່ຈະບອກທ່ານວ່າຖ້າຂ້ອຍຮູ້ວິທີການແຮກເກີສາມາດເຂົ້າໄປໄດ້, ມັນກໍ່ງ່າຍຕໍ່ການແກ້ໄຂ. ນັ້ນແມ່ນພຽງແຕ່ມັນ. ນັກພັດທະນາບໍ່ເຄີຍພະຍາຍາມທໍາລາຍລະຫັດຂອງຕົວເອງຫຼືລະຫັດອື່ນຂອງຄົນອື່ນ. ບາງທີພວກເຂົາບໍ່ມີທັກສະທີ່ຈະເຮັດ. ມັນເຮັດໃຫ້ພວກມັນເປັນຄົນທີ່ມີຄວາມຊື່ສັດ? ບາງເທື່ອ, ແຕ່ໃນໂລກມື້ນີ້ບໍ່ແມ່ນສິ່ງທີ່ດີແຕ່ສິ່ງທີ່ບໍ່ດີ. ທ່ານຕ້ອງຮູ້ເຖິງສິ່ງທີ່ສາມາດເກີດຂຶ້ນກັບທ່ານຫຼືທ່ານຈະບໍ່ສາມາດປົກປ້ອງຕົນເອງ. ແຮກເກີຕົວຈິງມັນມີຄວາມງ່າຍຫລາຍທີ່ພວກເຂົາພຽງແຕ່ຕ້ອງຊອກຫາຂຸມ 1 ເພື່ອເຂົ້າໄປໃນ. ຜູ້ພັດທະນາຕ້ອງສຽບຂຸມທັງຫມົດ. ຜູ້ພັດທະນາຕ້ອງຮັກສາສະຖານະການຄວາມປອດໄພຫລ້າສຸດ. ຜູ້ພັດທະນາບາງຄົນອາດໂຕ້ແຍ້ງວ່າມັນບໍ່ແມ່ນວຽກຂອງນັກພັດທະນາໃນການຮັກສາທຸລະກິດທີ່ເປັນວຽກງານຂອງຫ້ອງການຄວາມປອດໄພ. ນັ້ນແມ່ນສິ່ງເສດເຫຼືອບໍລິສຸດ. ແຕ່ລະຄົນມີມືໃນການປົກປ້ອງສະພາບແວດລ້ອມບໍລິສັດ. ແຕ່ລະຮຸ້ນສ່ວນຮັບຜິດຊອບນີ້. ໃນຂະນະທີ່ຊີ້ໃຫ້ເຫັນນິ້ວມືໄປໃສ່ແຮກເກີຈະມີຄວາມສຸກກັບຊັບສິນທາງປັນຍາທັງຫມົດຂອງທ່ານ, ຂໍ້ມູນຊັບພະຍາກອນມະນຸດ, ຫຼືສິ່ງອື່ນໃດທີ່ລາວສາມາດສ້າງລາຍໄດ້. ແນ່ນອນນີ້ແມ່ນອອກແບບດັ່ງນັ້ນຖ້າທ່ານເຂົ້າໃຈຫຼັກການຂອງໂຄງການທ່ານສາມາດໄດ້ຮັບຜົນປະໂຫຍດຈາກຫຼັກສູດນີ້.

ໄລຍະເວລາຂອງລາຍວິຊາ: 3 ວັນ

1. ການນໍາສະເຫນີ

  • ກ່ຽວກັບຫລັກສູດແລະຜູ້ຂຽນ Tim Pierson
  • ເປັນຫຍັງຂ້ອຍຈຶ່ງພັດທະນາ Hacking ແລະແຂງແຮງໃນເວັບໄຊທ໌ຂອງບໍລິສັດ / WebApp ຂອງທ່ານ: Perspective ນັກພັດທະນາ
  • ການແນະນໍາເວັບໄຊທ໌ທີ່ມີຄວາມສ່ຽງ
  • ການນໍາໃຊ້ເຄື່ອງມືການທົດສອບ Pen ທີ່ມີລາຄາແພງຫຼາຍເຄື່ອງມືທີ່ມີລາຄາສູງເຊັ່ນ Firefox / Firebug ຫຼືເຄື່ອງມືພັດທະນາຂອງ Chrome (ມາພ້ອມກັບ Chrome).
  • ແນະນໍາ Add-ons ຟຣີອີກສອງສາມ Chrome ແລະ Firefox, ຂ້ອຍໄດ້ກ່າວເຖິງວ່າພວກເຂົາແມ່ນຟຣີ?
  • ການກວດສອບແລະຂຽນຄໍາຮ້ອງຂໍໂດຍໃຊ້ໂປແກຣມທົ່ວໄປເຊັ່ນ Fiddler, Paros ຫຼື Burp Suite.
  • ແກ້ໄຂຄໍາຮ້ອງຂໍແລະຄໍາຕອບໃນ Fiddler ເພື່ອປ່ຽນສິ່ງທີ່ອອກໄປແລະສິ່ງທີ່ມາກ່ອນກ່ອນທີ່ Browser ຈະສະແດງມັນ.
  • ຕົວທ່ອງເວັບພຽງແຕ່ອ່ານລະຫັດຈາກເທິງຫາລຸ່ມສຸດ. ບໍ່ມີຄວາມຄິດຫຍັງດີ, ບໍ່ດີ, ເປັນອັນຕະລາຍຫຼືບໍ່ດັ່ງນັ້ນ.
  • ການທ່ອງເວັບແມ່ນຄ້າຍຄືກັບການໃຫ້ທຸກເວັບໄຊທ໌ທ໌ທີ່ທ່ານໄປໃສ່ແກະໃນກ່ອງຂອງທ່ານ!

2 Cryptography Decrypted

  • ການນໍາສະເຫນີ
  • Encryption - A Definition
  • ລະບົບການເຂົ້າລະຫັດລັບ
  • Symmetric Encryption
  • Asymmetric Encryption
  • Crack Time
  • ນະໂຍບາຍລະຫັດຜ່ານແລະເປັນຫຍັງພວກມັນບໍ່ເຮັດວຽກ!
  • ຢ່າໃຊ້ Pass Word Every Again! ໃຊ້ແປ້ນລະຫັດຜ່ານແທນທີ່ຈະ!
  • Hashing
  • Hash Collisions
  • Common Hash Algorithms
  • ລາຍເຊັນດິຈິຕອ - ພິສູດວ່າພວກເຮົາເວົ້າວ່າພວກເຮົາແມ່ນໃຜ.
  • ລະດັບການຢັ້ງຢືນດິຈິຕອນ - ມັນມາລົງສູ່ຄ່າໃຊ້ຈ່າຍ!
  • ການເຮັດວຽກກັບໃບຢັ້ງຢືນ SSL.
  • ພວກເຮົາໄວ້ໃຈສິ່ງທີ່ພວກເຮົາຮູ້ - ເລື່ອງຈິງ.
  • IPSec - ນີ້ຈະແກ້ໄຂມັນທັງຫມົດບໍ?
  • Public Key Infrastructure
  • HeartBleed - ແມ່ນຫຍັງ Hype? ພວກເຮົາຄວນດູແລ?
  • ແລໍບທັອບແລະການເຂົ້າລະຫັດແບບພະກະພາ: TrueCrypt - BYOB ແມ່ນທີ່ນີ້ຫລືແມ່ນມາ!
  • Summary

3 ການຄຸ້ມຄອງບັນຊີ - ທີ່ສໍາຄັນກັບມັນທັງຫມົດ?

  • ການນໍາສະເຫນີ
  • ຄວາມເຂົ້າໃຈກ່ຽວກັບຄວາມເຂັ້ມແຂງຂອງລະຫັດຜ່ານທີ່ສໍາຄັນແລະການໂຈມຕີຂອງ vectors ແມ່ນແນວໃດ
  • My Slide Favorite ໃນໂລກ
  • ການຖ່າຍທອດເຕັກນິກ Wrench Monkey!
  • ການຈໍາກັດລັກສະນະໃນລະຫັດຜ່ານ
  • ການສະຫນອງ (Emailing credentials) ໃນການສ້າງບັນຊີ
  • ເລກບັນຊີ
  • ການປະຕິເສດການບໍລິການຜ່ານການປັບລະຫັດຜ່ານ
  • ການຮັກສາຄວາມຖືກຕ້ອງຢ່າງຖືກຕ້ອງໃນຂະບວນການປັບ
  • Wall of Shame - ຜູ້ຖືກກ່າວຫາຂໍ້ຄວາມທົ່ງພຽງ
  • ວິທີການເບິ່ງເວັບໄຊທ໌ທີ່ປອດໄພ - ບຸກຄົນທຸກຄົນຄວນພະຍາຍາມນີ້ໃນຄອບຄົວຂອງພວກເຂົາ.
  • ການສ້າງລະຫັດຜ່ານທີ່ບໍ່ປອດໄພ
  • ການທົດສອບສໍາລັບຄວາມສ່ຽງໃນການ 'ຈື່ຂ້ອຍ' ຄຸນນະສົມບັດ
  • Re-authenticating ກ່ອນການກະທໍາທີ່ສໍາຄັນ
  • ການທົດສອບສໍາລັບຄວາມຈິງ brute force
  • Summary

4 Parameter Diddling

  • ການນໍາສະເຫນີ
  • ການກໍານົດຂໍ້ມູນທີ່ບໍ່ໄວ້ວາງໃຈໃນຕົວກໍານົດການຮ້ອງຂໍ HTTP
  • ການກໍານົດການຮ້ອງຂໍແລະການນໍາໃຊ້ເຄື່ອງມືທີ່ງ່າຍຕໍ່ການຈັດການຕົວກໍານົດ
  • ການຈັດການຕາມເຫດຜົນທາງປະຕິບັດໂດຍຜ່ານຕົວກໍານົດການ
  • ການທົດສອບສໍາລັບການຢືນຢັນການຢືນຢັນຂອງເຄື່ອງແມ່ຂ່າຍທີ່ຂາດຫາຍໄປ, ຖ້າທ່ານບໍ່ໄດ້ເຮັດມັນ, ມັນຄ້າຍຄືກັບເດັກນ້ອຍທີ່ເບິ່ງໄຂມັນ!
  • ຄວາມເຂົ້າໃຈກ່ຽວກັບຮູບແບບທີ່ກ່ຽວຂ້ອງ
  • ການປະຕິບັດການໂຈມຕີການມອບຫມາຍມະຫາຊົນ
  • tampering ຄໍາສັບ HTTP - ຄໍາສັບແມ່ນຫຍັງ? Post, Get etc ແມ່ນພວກເຂົາ interchangeable ທ່ານຕ້ອງການຈະປະຫລາດໃຈ?
  • ການທົດສອບ Fuzz - ການສີດທີ່ໃຊ້ app ເຊັ່ນ fireman ຂອງ sprays ໄຟກັບທໍ່ໄຟລາວ, ຫຼັງຈາກນັ້ນເບິ່ງວ່າມັນ Hiccups!
  • Summary

5 ການຂົນສົ່ງຂົນສົ່ງ - ຄວາມປອດໄພໃນລະຫວ່າງການຍ່າງທາງ

  • ການນໍາສະເຫນີ
  • ສາມຈຸດປະສົງຂອງການຄຸ້ມຄອງຊັ້ນການຂົນສົ່ງ
  • ເຂົ້າໃຈຜູ້ຊາຍໃນການໂຈມຕີກາງ, ແລະພວກເຮົາທຸກຄົນເປັນຜູ້ຖືກເຄາະຮ້າຍກັບມັນທຸກໆມື້!
  • ການປົກປ້ອງຂໍ້ມູນທີ່ລະອຽດອ່ອນໃນການເດີນທາງ, ແລະຢູ່ທີ່ພັກຜ່ອນ.
  • ຄວາມສ່ຽງຂອງການສົ່ງ cookies ຜ່ານການເຊື່ອມຕໍ່ທີ່ບໍ່ປອດໄພ
  • ແບບຟອມການລົງທະບຽນຜ່ານ HTTP ແມ່ນຄວາມສ່ຽງ
  • ແມ່ນຫຍັງຄືການແກ້ໄຂ? Http Everywhere? ຈະເປັນແນວໃດກ່ຽວກັບການ overhead?
  • ການຂຸດຄົ້ນເນື້ອໃນແບບປະສົມປະສານ
  • ຫົວຂໍ້ HSTS
  • Summary

6 Cross Site Scripting (XSS) - ຄວາມຈິງແມ່ນຂ້ອຍພຽງແຕ່ເຮັດສິ່ງທີ່ຂ້ອຍບອກ

  • ການນໍາສະເຫນີ
  • ການເຂົ້າໃຈຂໍ້ມູນທີ່ບໍ່ໄວ້ວາງໃຈແລະສຸຂາພິບານ
  • ການຈັດຕັ້ງປະຕິບັດປະຕິກິລິຍາດ້ານສຸຂະອະນາໄມເຂົ້າ - ຮັກສາມັນສະອາດ
  • ເຂົ້າໃຈ XSS ແລະການເຂົ້າລະຫັດອອກ
  • ກໍານົດການນໍາໃຊ້ການເຂົ້າລະຫັດອອກ - ແລະມາຄືນ!
  • 3 ປະເພດ XSS, ສະທ້ອນ, ເກັບຮັກສາແລະ DOM
  • ການສະຫນອງ payload ໂດຍຜ່ານ XSS ສະທ້ອນ
  • ການທົດສອບຄວາມສ່ຽງຂອງ XSSv ຢ່າງຕໍ່ເນື່ອງ
  • ຫົວຫນ້າ X -XSS-Protection
  • Summary

7 Cookies - ບໍ່ພຽງແຕ່ສໍາລັບ Hansel ແລະ Gretel

  • ການນໍາສະເຫນີ
  • Cookies 101 - ທຸກໆສິ່ງທີ່ທ່ານຢາກຮູ້ແຕ່ຢາກຢ້ານ!
  • ການຄຸ້ມຄອງກອງປະຊຸມ - HTTP ແມ່ນຄ້າຍຄືກັບຄົນເຈັບ Alzheimer - ເຊັ່ນດຽວກັນກັບຮູບເງົາ, 50 ຄັ້ງທໍາອິດວັນທີ™!
  • ເຂົ້າໃຈ Cookies ພຽງແຕ່ Http, ພວກເຂົາແມ່ນຫຍັງແລະເປັນຫຍັງພວກເຮົາຄວນໃຊ້ມັນ?
  • ເຂົ້າໃຈຄຸກກີ້ທີ່ປອດໄພ. ບໍ່ມີການໃສ່ Cookies Grandmas ໃນຄຸກ Cookie ລັອກ!
  • ການປິດການໃຊ້ Cookies - ພວກເຮົາກໍ່ຕ້ອງການໃຫ້ພວກເຂົາ?
  • ການຈໍາກັດການເຂົ້າເຖິງຄຸກກີໂດຍເສັ້ນທາງ - ຕອນນີ້ມີຄວາມຄິດເຫັນ!
  • ການຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ມີການສິ້ນສຸດຄຸກກີ - ຮັກສາມັນສັ້ນ!
  • ການນໍາໃຊ້ cookies ຂອງກອງປະຊຸມເພື່ອສືບຕໍ່ຫຼຸດຜ່ອນຄວາມສ່ຽງ
  • Summary

8 ການເປີດເຜີຍການປະຕິບັດພາຍໃນ - ສິ່ງທີ່ເກີດຂຶ້ນພາຍໃນສັດເດຍລະສານ

  • ການນໍາສະເຫນີ
  • ວິທີການໂຈມຕີກໍ່ສ້າງໂປແກຣມຄວາມສ່ຽງຂອງເວັບໄຊທ໌, ໃຫ້ແນ່ໃຈວ່າທ່ານບໍ່ເຫມາະສົມກັບໂປແກມນັ້ນ.
  • ການຕອບສະຫນອງຂອງຫົວຂໍ້ການຕອບສະຫນອງຂອງເຄື່ອງແມ່ຂ່າຍ - ບອກມັນຄືມັນແມ່ນ, ຫຼືວ່າບໍ່ແມ່ນສິ່ງທີ່ທ່ານຕັ້ງໃຈໄວ້?
  • ຊອກຫາເວັບໄຊທ໌ທີ່ມີຄວາມສ່ຽງ - ການເຮັດໃຫ້ແນ່ນອນທ່ານບໍ່ແມ່ນຫນຶ່ງໃນພວກເຂົາ
  • HTTP fingerprinting ຂອງເຄື່ອງແມ່ຂ່າຍ - ການກໍານົດສິ່ງທີ່ WebApp ເວັບໄຊທ໌ຂອງທ່ານກໍາລັງເຮັດ
  • ການເປີດເຜີຍໂດຍຜ່ານ robots.txt - ບອກໂລກທີ່ບໍ່ໃຫ້ເບິ່ງ!
  • ຄວາມສ່ຽງໃນແຫຼ່ງ HTML - ສິ່ງທີ່ HTML ຂອງທ່ານບອກທຸກຄົນ, ບໍ່ວ່າທ່ານຈະຮູ້ຈັກມັນຫຼືບໍ່!
  • ຂໍ້ຄວາມຂໍ້ຜິດພາດຂໍ້ຜິດພາດພາຍໃນ - ຂໍ້ຄວາມຂໍ້ຜິດພາດທີ່ເວົ້າວ່າວິທີການຫຼາຍເກີນໄປ!
  • ການຂາດການຄວບຄຸມການເຂົ້າເຖິງກ່ຽວກັບຂໍ້ມູນການວິນິດໄສ - ສິ່ງທໍາອິດ Hackers ພະຍາຍາມແມ່ນເພື່ອເຮັດໃຫ້ທັດສະນະໃນ Debug Mode
  • Summary

9 SQL Injection - SQL Injection- ຄໍາສັ່ງແມ່ນຫຍັງ, ຂໍ້ມູນແມ່ນຫຍັງ?

  • ໂຄງການ
  • ເຂົ້າໃຈການສີດ SQL
  • ການທົດສອບສໍາລັບຄວາມສ່ຽງຕໍ່ການສີດ - "ການໃຊ້ເຄື່ອງມືທີ່ມີລາຄາແພງຫລາຍເຊັ່ນ Chrome ແລະ FireFox!"
  • ຄົ້ນພົບໂຄງສ້າງຖານຂໍ້ມູນຜ່ານການສັກຢາ
  • ການເກັບຂໍ້ມູນຜ່ານການສັກຢາ. ພຽງແຕ່ພິມອອກໂຄງການທັງຫມົດພາຍໃຕ້ເງື່ອນໄຂທີ່ຖືກຕ້ອງ.
  • ອັດຕະໂນມັດການໂຈມຕີດ້ວຍ Havij
  • Blind SQL injection - ວິທີ Blind Man ຍັງສາມາດຊອກຫາ Holes
  • ຮູບແບບການຮັກສາຄວາມປອດໄພຂອງ app
  • Summary

10 Cross Site Attacks - ນະໂຍບາຍຕົ້ນກໍາເນີດດຽວກັນ. ບຸກຄົນທຸກຄົນແຕກແຍກມັນເປັນຫຍັງພວກເຮົາບໍ່ຄວນ?

  • ການນໍາສະເຫນີ
  • ຄວາມເຂົ້າໃຈການໂຈມຕີຂ້າມສະຫນາມ - ໃຊ້ອໍານາດຂອງຜູ້ໃຊ້ທີ່ຖືກອະນຸມັດ
  • ການທົດສອບສໍາລັບຄວາມຕ້ອງການໃນເວັບໄຊທ໌ທາງໄກການສໍ້ໂກງ
  • ບົດບາດຂອງໂຕໂອນຕ້ານການປອມແປງ - ບາງສິ່ງທີ່ຈະຊ່ວຍໄດ້
  • ການທົດສອບການຮ້ອງຂໍການຂ້າມເວັບໄຊທ໌ກັບ APIs
  • ການຕິດຕັ້ງການໂຈມຕີຄລິກ - ທ່ານໃດກົດປຸ່ມໃດກໍ່ຕາມ?
  • Summary

ກະລຸນາຂຽນຫາພວກເຮົາຢູ່ info @ itstechschoolcom & ຕິດຕໍ່ພວກເຮົາທີ່ + 91-9870480053 ສໍາລັບລາຄາຫຼັກສູດແລະຄ່າໃຊ້ຈ່າຍການຢັ້ງຢືນ, ກໍານົດເວລາ & ສະຖານທີ່

ວາງພວກເຮົາສອບຖາມ

ການຢັ້ງຢືນ

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກະລຸນາ ຕິດ​ຕໍ່​ພວກ​ເຮົາ.


ຄວາມຄິດເຫັນ