facebook

Kurs:

S18: Sigurnost Web Aplikacija

Napredni

40 časova

Materijali sa predavanja

Sertifikat o pohađanju kursa

Zašto ovaj kurs?

Kurs S18: Sigurnost Web aplikacija ima cilj da nauči polaznike na koji način da najefikasnije koriste sigurnosne komponente, te na najbolji način takođe i osiguraju pristup Web aplikacijama.

Kroz set praktičnih predavanja i vježbi, polaznici će biti u mogućnosti da nauče i više o pojmovima kao što su: sigurnosni koncepti ,koncepti web tehnologija i framework-ova,koncepti i razlike web servera, obilaženje kontrola na klijentskoj strani ,napadi na autentikaciju kao i na web aplikacije:Injection (A1) , napadi na web aplikacije: XSS/CSRF (A3/A8) – Broken authentication and session management (A2) ,BoF (Buffer Overflow) i niz drugih.

Sigurnost Web Aplikacija

Kome je namijenjen ovaj kurs?

Kurs je namijenjen programerima i IT profesionalcima koji se bave ovom tematikom, a neophodno predznanje je odsušani kurs S16: Pogled na sigurnost računarskih sistema s „tamne strane”, a poželjno je i poznavanje tematike kursa S17: Praktična primjena napada na računarske sisteme.
Takođe, za sve zainteresovane polaznike koji žele da se upoznaju sa osnovama etičkog hakovanja iz oblasti IT bezbjednosti sistema, nudimo i pristup besplatnom online uvodnom kursu Ethical Hacking Essentials (EHE).

Plan i program kursa:

1. Sigurnosni koncepti
  • Općenito o sigurnosti
  • Razni napadi na web aplikcaije
  • Statistika napada na web aplikacije (Verizon DBIR, AKAMAI state of the Internet,…)
2. Koncepti web tehnologija
  • Povijest
  • Multi-tier arhitektura
  • HTTP protocol
  • Enkodiranje
  • Metode i statusni kodovi HTTP protokola
  • Cookies i zaštita session-a
  • HTML, XML, SOAP
  • Parameter tampering koncepti
  • OWASP (top 10, testing guide, ESAPI)
  • Razni Web debuging alati
  • VJEŽBADEMO: Mapiranje web aplikacije
  • VJEŽBA/DEMO: Automatizirano skeniranje web aplikacije
  • VJEŽBA/DEMO: forced browsing
  • Kako se zaštititi?
3. Koncepti frameworkova
  •  ASP.NET / Silverlight (NOT TO BE USED ANYMORE)
  • PHP
  • JAVA
  • Flash
4. Koncepti i razlike web servera
  • MS IIS
  • Apache
  • Tomcat
  • Ranjivosti web servera
  • LAB: Hakiranje Tomcat servera
5. Obilaženje kontrola na klijentskoj strani
  • Manipulacija podacima na klijentskoj strani (Prameter tampering)
  • Napadi na klijentskoj strani
  • DEMO: Primjer napada na klijentskoj strani (DLL injekcija)
  • Skrivena polja u formi
  • Session cookie i zaštita
  • DEMO: Analiza cooki-a
  • URL parametri
  • Referer header
  • LAB: naliza cookie-a i manipulacija podacima n klijentskoj strani
  • Kako se zaštititi?
6. Napadi na autentikaciju
  •  Koncepti autentikacije i autorizacije
  • Autentikacijska metoda: Basic
  • Autentikacijska metoda: Digest
  • Autentikacijska metoda: Windows integrirana (NTLM, Kerberos)
  • Autentikacijska metoda: HTML form bazirana
  • Autentikacijska metoda: Klijentski certifikati (multifaktorska autentikacija)
  • Kritpografija 101
  • PKI 101
  • Napadi na autentikacijski proces
     Brute force,
     Dictionary,
     Pre-computed hashes
  • VJEŽBA/DEMO: Automatizacija napada na web password-e pomoću BURP-a i hydra-e
  • Kako se zaštititi?
7. Propusti u dizajnu i implementaciji
  • Loš password
  • Autentikacijske metode podložne brute-force napadima
  • Opsežne poruke o greškama
  • Nezaštićen prijenos korisničkom imena i passworda
  • Funkcionalnosti zaboravljenog passworda i promjene passworda
  • Zapamti me funkcionalnost
  • Funkcionalnost impersonacije korisnika
  • I mnogi drugi propusti
  • Kako se zaštititi?
8. Napadi na web aplikacije: Injection (A1)
  • SQL injekcija
     Razlike između baza: MySQL, MS SQL, Oracle …
     Jednostavni i napredni primjer SQL injekcije
     Napredni primjer SQL injekcije
     Korištenje SQLMap alata
  • VJEŽBA/DEMO: SQL injekcija (jednostavan i napredni primjer)
  • VJEŽBA/DEMO: SQL injekcija (sqlmap)
  • LDAP injekcija, OS command injekcija
  • LAB: Od OS command injekcije do shell-a
  • Kako se zaštititi?
9. Napadi na web aplikacije: XSS/CSRF (A3/A8)
  • Pohranjeni (persistent) XSS
  • Reflektirani XSS
  • DOM bazirani XSS
  • XSS – kako se može iskoristiti
  • CSRF
  • Framework za napad (BeEF)
  • VJEŽBA/DEMO: Jednostavan reflektirani XSS
  • VJEŽBA/DEMO: Krađa cookie-a korištenjem pohranjene XSS ranjivosti i session hijacking-a
  • VJEŽBA/DEMO: Od XSS-a do shella – BeeF (Browser Exploatation Framework)
  • Kako se zaštititi?
10. Napadi na web aplikacije: Broken authentication and session management (A2)
  • Upravljanje session-om u web aplikacijama
  • Tehnike krađe cookie-a
  • VJEŽBA: korištenje ukradenog cookie-a za krađu session-a
  • DEMO: Trace.axd, Elmah.axd
  • Kako se zaštititi?
11. Ostali učestali napadi na web aplikacije
  • Što je to direct object reference
  • VJEŽBA: Pristup file-ovima korištenjem direct object referenci
  • Kako se zaštititi?
  • File inclusion Lokalni i udaljeni (LFI, RFI)
  • Directory trsversal
  • Null byte napadi
  • VJEŽBA/DEMO: LFI, RFI, directory traversal
  • Problemi vezani uz file upload
  • VJEŽBA/DEMO: Od slike do root prava u nekoliko minuta
  • Kako radi redirekcija
  • HTTP Response Splitting
  • Kako iskoristiti redirekciju u maliciozne svrhe
  • VJEŽBA: SSL strip
  • Kako se zaštititi?
12. Logički propusti
  • Što su to logički propusti
  • Primjeri
  • VJEŽBA: iskorištavanje logičkih propusta
  • Kako se zaštititi?
13. Baze
  • MSSQL
  • Oracle
  • MySQL
  • Najčešči napadi
  • VJEŽBA/DEMO: Identifikacija i hakiranje baza podataka
14. BoF (Buffer Overlow)
  • O asembleru i registrima
  • Stack bazirani BoF
  • DEMO/VJEŽBA: Stack bazirani overflow
  • SEH bazirani overflow
  • DEMO: SEH bazirani overflow
SERTIFIKACIJA
  • Polaznicima pripada sertifikat o pohađanju kursa S18: Sigurnost Web aplikacija za ostvarenih minimalno 70% prisustva od ukupnog fonda časova.  

1700,00 KM

    Preferirani način praćenja kursa




    *Ukoliko nemate promo kod ostavite prazno polje.

    Cijena je bez PDV-a.

    Cilj kursa je da naučiš

    R

    Koncepti web tehnologija i framework-a

    R

    Ranjivosti najpopularnijih web servera

    R

    Rad u alatima koji pomažu i identifikaciji ranjivosti sistema

    R

    Obilaženje kontrola na strani klijenta

    R

    Vrste napada na autentifikaciju

    R

    Vrste napada na web aplikacije (Injection (A1), XSS/CSRF (A3/A8), Broken authentication and session management (A2))

    Šta dobijam?

    Pristup kursu u trajanju od 40 časova

    Materijale sa predavanja

    Sertifikat o pohađanju kursa

    Detaljne informacije

    Početak:
    -
    Kraj:
    -
    pon
    uto
    sri
    čet
    pet
    08:00-16:00
    40 časova
    LANACO Tehnološki centar
    Veljka Mlađenovića bb
    Banja Luka
    (krug Poslovne zone Incel)
    Mogućnost praćenja online

    Možda te zanima

    Share This