類型課堂培訓
REGISTER

即將開始的培訓

週三 21
週六 24
Gurgaon的CAST 613培訓

簡介

受眾群體和先決條件

課程大綱

附表和費用

证书

Hacking and Hardening Corporate Web App/Web Site XCHARX CAST 613 Training

破壞桌面計算機的惡意軟件可能會洩露FTP憑據或管理員憑據。 這些憑證可以用於訪問公司網絡上的網絡服務器,網站,甚至其他資源。 本課程旨在模仿入侵者利用網絡安全弱點而採取的行動,而不存在通常的風險。 由於黑客攻擊可能會損害公司的聲譽,甚至損失收入和客戶,因此保護您的數據和系統非常重要。

目標

  • 建立不安全的密碼存儲
  • 在“記住我”功能中測試風險
  • 了解不安全的數據和消毒
  • 盲目的SQL注入
  • 建立投入消毒實踐
  • 了解XSS並輸出編碼
  • 在關鍵操作之前重新進行身份驗證
  • 測試認證蠻力
  • 通過注射收穫數據。
  • 使用Havij自動進行攻擊

目標受眾

如果你過去採取了安全的編程課程,你可能會認為這將是相同的。 沒有什麼比事實更能說明問題。 這門課程是完全不同的方法。 大多數開發者會告訴你,如果我知道黑客入侵的方式,通常很容易解決。 就是這樣。 開發人員從來沒有試圖破解他們自己的代碼或其他人的代碼。 也許他們沒有這方面的技能。 這是否使他們只是一個誠實的人? 也許,但在今天這個世界上,這不是一件好事,而是一件非常糟糕的事情。 你必須意識到可能發生的事情,否則你將無法保護自己。 黑客實際上很容易,他們只需要找到1洞就可以進入。開發者必須堵住所有的洞。 開發人員必須及時了解最新的安全威脅。一些開發人員可能會爭辯說,確保企業安全部門的工作並不是開發人員的工作。 這是純粹的垃圾。 每個人都有一個保護企業環境的手。 每個人都有這個責任。 儘管指尖指向黑客正在享受著你所擁有的所有知識產權,人力資源信息或其他任何他可以獲利的東西。如果你了解編程邏輯,你就可以從這門課程中獲益,本課程就是這樣設計的。

Course Outline Duration: 3 Days

1。 介紹

  • 關於課程和作者蒂姆皮爾森
  • 為什麼我開發了黑客和強化您的企業網站/ WebApp:開發人員視角
  • 介紹易受攻擊的網站
  • 使用非常昂貴的Pen測試工具,如Firefox / Firebug或Chrome的開發者工具(附帶Chrome)等高價工具。
  • 向Chrome和Firefox推出幾個免費插件,我提到它們是免費的嗎?
  • 使用像Fiddler,Paros或Burp Suite這樣的通用代理監視和撰寫請求。
  • 在Fiddler中修改請求和響應,以便在瀏覽器渲染它之前更改內容和內容。
  • 瀏覽器只是從頂部到底部讀取代碼。 不知道什麼是好的,壞的,惡意的或其他的。
  • 網上沖浪就像給每個網站去你的箱子上的一個外殼!

2。 加密解密

  • 介紹
  • 加密 - 定義
  • 加密演算法
  • 對稱加密
  • 非對稱加密
  • 裂紋時間
  • 密碼政策,為什麼他們根本不工作!
  • 不要再次使用密碼! 請使用密碼短語!
  • 哈希
  • 哈希碰撞
  • 常見的哈希算法
  • 數字簽名 - 證明我們說我們是誰。
  • 數字證書級別 - 歸結為成本!
  • 使用SSL證書。
  • 我們相信我們所知道的 - 真實的故事。
  • IPSec - 這會解決所有問題嗎?
  • 公鑰基礎設施
  • HeartBleed - 什麼是炒作? 我們應該關心嗎?
  • 筆記本電腦和便攜式加密:TrueCrypt - BYOB在這里或即將來臨!
  • 總結

3。 賬戶管理 - 這一切的關鍵?

  • 介紹
  • 了解密碼強度和攻擊媒介的重要性
  • 我最喜歡的幻燈片在世界上
  • 傳遞猴子扳手技術!
  • 限制密碼中的字符
  • 提供(電子郵件憑據)帳戶創建
  • 帳戶枚舉
  • 通過密碼重置拒絕服務
  • 正確保護重置過程
  • 恥辱之牆 - 純文本罪犯
  • 如何發現一個安全的網站 - 每個人都應該嘗試在他們的家庭。
  • 建立不安全的密碼存儲
  • 在“記住我”功能中測試風險
  • 在關鍵操作之前重新進行身份驗證
  • 測試認證蠻力
  • 總結

4。 參數打亂

  • 介紹
  • 識別HTTP請求參數中的不可信數據
  • 捕獲請求並使用簡單的工具來操作參數
  • 通過參數操作應用程序邏輯
  • 測試缺少的服務器端驗證,如果你不這樣做,就像讓胖子看著餡餅!
  • 了解模型綁定
  • 執行質量任務攻擊
  • HTTP動詞篡改 - 什麼是動詞? 發布,獲取等他們是否可互換,你會感到驚訝?
  • 模糊測試 - 噴灑像消防員那樣的應用程序,用他的消防水帶噴射火,然後看看它是否打嗝!
  • 總結

5。 傳輸層保護 - 通勤期間的安全

  • 介紹
  • 傳輸層保護的三個目標
  • 了解中間人的攻擊,我們每天都會成為受害者!
  • 保護傳輸過程中的敏感數據,並保持靜止狀態。
  • 通過不安全連接發送Cookie的風險
  • 如何通過HTTP加載登錄表單是有風險的
  • 解決方案是什麼? Http Everywhere? 開銷怎麼樣?
  • 利用混合模式內容
  • HSTS頭
  • 總結

6。 跨站點腳本(XSS) - 真相我只是按照我所說的去做

  • 介紹
  • 了解不受信任的數據和消毒
  • 建立投入消毒實踐 - 保持乾淨
  • 了解XSS和輸出編碼
  • 識別輸出編碼的使用 - 然後回來!
  • 3類型的XSS,反射,存儲和DOM
  • 通過反射的XSS傳遞有效載荷
  • 測試持續XSSv的風險
  • X-XSS-Protection標頭
  • 總結

7。 餅乾 - 不只是為了Hansel和Gretel

  • 介紹
  • Cookies 101 - 你想知道的一切,但不敢問!
  • 會話管理 - HTTP就像一個阿爾茨海默病患者 - 就像電影一樣,50 First Dates™!
  • 了解Http只有Cookie,它們是什麼以及為什麼我們應該使用它們?
  • 了解安全cookie。 不要把奶奶餅乾放進鎖定的餅乾罐子裡!
  • 禁用Cookie - 我們真的需要它們嗎?
  • 通過路徑限制cookie訪問 - 現在有一個想法!
  • 通過cookie過期降低風險 - 保持簡短!
  • 使用會話cookie進一步降低風險
  • 總結

8。 內部實施披露 - Beast內部發生了什麼

  • 介紹
  • 攻擊者如何構建網站風險簡介,確保您不符合該簡介。
  • 服務器響應標頭披露 - 告訴它是這樣,還是不是你的意圖?
  • 定位在風險網站 - 確保你的不是其中之一
  • 服務器的HTTP指紋識別 - 確定您的WebApp網站正在運行的內容
  • 通過robots.txt進行披露 - 告訴世界哪裡看不到!
  • HTML源代碼中的風險 - 你的HTML告訴你的每一個人,你是否知道它!
  • 內部錯誤消息洩漏 - 說方式太多的錯誤消息!
  • 對診斷數據缺乏訪問控制 - 黑客嘗試的第一件事是將視線置於調試模式
  • 總結

9。 SQL注入 - SQL注入 - 什麼是命令,什麼是數據?

  • 大綱
  • 了解SQL注入
  • 測試注入風險 - “使用非常昂貴的昂貴工具,如Chrome和FireFox!”
  • 通過注入發現數據庫結構
  • 通過注射收集數據。 只需在正確的條件下打印整個模式。
  • 用Havij自動化攻擊
  • 盲目SQL注入 - 盲人如何仍然可以找到盲孔
  • 安全的應用模式
  • 總結

10。 跨站點攻擊 - 同源策略。 每個人都會打破它為什麼我們不應該?

  • 介紹
  • 了解跨站點攻擊 - 利用已批准用戶的權限
  • 測試跨站請求偽造風險
  • 反偽造令牌的作用 - 有些事情會有所幫助
  • 測試針對API的跨站點請求偽造
  • 安裝點擊劫持攻擊 - 你點擊什麼?
  • 總結

請寫信給我們 info@itstechschool.com 請致電+ 91-9870480053查詢課程價格和認證費用,時間表和地點

給我們一個查詢

证书

更多信息請點擊 聯繫我們.


評論