Termíny:
22. 7. – 26. 7. 2019 >>> Objednat
Cena: 31.000 Kč
Toto školení vás zasvětí do tajů webhackingu a zranitelností webových aplikací. Umožní vám do detailu pochopit i vyzkoušet metody, pomocí kterých se provádí útoky na webové aplikace a přidružené systémy. V průběhu kurzu si postupně vysvětlíme i vyzkoušíme vše, co potřebujete znát pro obranu proti technikám útoků zneužívajících identity koncových uživatelů, útoků vedoucích ke krádeži uložených dat, nebo k defacementu webových stránek, či kompletnímu ovládnutí webového serveru. Tento kurz vás naučí jak si otestovat bezpečnost svých webových aplikací dříve, než to za vás udělá nevítaný vetřelec.
Pro koho je kurz určen
Kurz je určen vývojářům a provozovatelům webových aplikací, kteří chtějí porozumět postupům útočníků při napadání webových aplikací. Na mnoha praktických ukázkách si předvedeme, jak lze zneužít konkrétní zranitelnosti webové aplikace k defacementu stránek, krádeži uložených dat nebo ke krádeži a zneužití identity koncových uživatelů.
Kurz můžeme ale doporučit také běžným uživatelům se základní znalostí tvorby webových stránek, kteří by se rádi dozvěděli o možných útocích, jež jim při běžném surfování hrozí. Během tohoto kurzu se dozvíte mnoho informací jak zlepšit bezpečnostní návyky při procházení webových stránek, abyste omezili možná rizika.
Přestože v průběhu kurzu používáme operační systém Windows, lze všechny probírané postupy díky multiplatformním nástrojům aplikovat i na jiných operačních systémech. Jednotlivé zranitelnosti jsou pak demonstrovány na webové aplikaci vytvořené v PHP s použitím databázového systému MySQL. Principy útoků jsou ale víceméně shodné i při použití jiných programovacích jazyků.
Co vás naučíme
Náš ojedinělý kurz Webhacking v praxi vám umožní do detailu pochopit i vyzkoušet metody, pomocí kterých bývají vedeny útoky proti webovým aplikacím. V průběhu kurzu si postupně vysvětlíme i vyzkoušíme vše, co potřebujete znát pro obranu proti technikám útoků zneužívajících identity koncových uživatelů, útoků vedoucích ke krádeži uložených dat, nebo k defacementu webových stránek či kompletnímu ovládnutí webového serveru.
Požadované vstupní znalosti
Kurzu se mohou zúčastnit všichni, kdo mají znalosti na úrovni kurzů INTHTML, INTJS a INTPH1, nebo alespoň základní praktické zkušenosti s tvorbou webových stránek s využitím HTML, JavaScriptu a PHP.
Metody výuky
- Odborný výklad s praktickými ukázkami, cvičení na počítačích.
Studijní materiály
- Tištěná prezentace probírané látky
Osnova kurzu
Úvod
- Úvod do HTTP protokolu
- Autentizace na webových stránkách
- Metody autorizace (použití cookies, proměnné v URL, FlashVars, Browser fingerprinting)
- Session Prediction
- Session Fixation
- Web Parameters Tampering
Útoky proti uživatelům
- Open Redirect
- Content Spoofing, Cross-Site Messaging
- Cross-Site Request Forgery (CSRF)
- Clickjacking
- Cross-Site Scripting (XSS)
- Cross-Site Flashing
- CRLF injetion
- JavaScript Hijacking
Útoky proti databázi
- Úvod do SQL, Information Schema
- SQL injection
- Blind SQL injection
- Time based SQL injection
- Forced Browsing
Útoky proti webové aplikaci
- Directory Listing
- Full Path Disclosure
- Server-Side Request Forgery (SSRF)
- Zranitelnosti XML (např. XXE)
- Insecure Direct Object References
- Nedostatečná autorizace
- Nezabezpečený download
- Nezabezpečený upload
- Code Injection
- Command Injection
- Local File Disclosure
- Remote File Include
- Local File Include
- Problémy sdílených webhostingů
- Buffer overflow
- Server-Site exploitace
- ExploitKity
- Nástroje pro automatické testování webových aplikací