Казахстан, г. Алматы, ул. Шевченко 90, БЦ «Каратал», офис 53
Казахстан, г. Нур-Султан, ул. Иманова 19, БЦ Деловой Дом "Алма-Ата", офис 612

Даты проведения курса

Выберите удобное для вас число,
запишитесь на курс, заполнив простую форму

город: Online
город: Нур-Султан
записаться на курс
направление: Информационная безопасность кол-во дней: 3
кол-во часов: 24
код курса: OWASP

На курсе Вы получите знания и навыки, необходимые для успешного выявления и устранения проблем безопасности веб-приложений. Курс посвящен методикам проведения тестирования на проникновение согласно классификации OWASP Top 10.

Предварительные требования:

Требуемая подготовка:

  • Успешное окончание курса Тактическая периметровая защита предприятия или эквивалентная подготовка.

  • Успешное окончание курса Английский язык для IT специалистов (pre - intermediate) или знание технического английского языка.

Рекомендуемая подготовка (необязательная):

  • Успешное окончание курса CEH. Этичный хакинг и тестирование на проникновение или эквивалентная подготовка.

Цель курса:

научить успешно выявлять и устранять проблемы безопасности веб-приложений. Курс посвящен методикам проведения тестирования на проникновение согласно классификации OWASP Top 10.

В курсе представлены подробные материалы по работе веб-серверов и веб-приложений. Детально описаны уязвимости в соответствии с классификацией OWASP Top 10 и техники применения эксплойтов для многочисленных тестов на проникновение. А также предложены рекомендации по укреплению защищённости веб-приложений для каждого вида уязвимости.

На занятиях используется учебное веб-приложение, специально написанное на PHP + MySQL, содержащее множество уязвимостей, отсортированных по OWASP Top 10. Студенты не только узнают, какие бывают уязвимости, но и учатся эксплуатировать эти уязвимости, то есть, проводить атаки на каждую уязвимость, учатся защищаться от таких атак.

Аудитория курса:

  • Системные администраторы безопасности, инженеры и аудиторы, работающие или предполагающие работать на средних и крупных предприятиях.

  • К основной целевой аудитории данного курса также относятся специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности веб-серверов.

  • Курс будет интересен квалифицированным специалистам, желающим понять принципы и техники взлома веб-сайтов и меры по защите веб-сайтов от взлома.

  • После завершения обучения вы будете уметь проводить анализ и выполнять последовательное тестирование всех способов атаки на веб-приложения по классификации OWASP Top 10.

Introduction     

Module 1: Introduction and technologies          

  • Legacy and modern technologies for web applications

  • Web application information gathering. Google dorks.

  • Web application/server enumeration

  • Practice in information gathering

  • Topic Quiz

Module 2: Web Servers Vulnerabilities

  • Misconfiguration, shrink wrap code, path traversal, Heartbleed, Poodle, Bashbug (shellshock)

  • Practice in detecting web servers vulnerabilities

General Web Threats and Risks              

Module 3: Injections    

  • SQL Injections: error based, blind, double blind (time based). Mitigation.

  • Practice in SQL injections

  • Topic Quiz

  • Function, code, command injections, etc., file inclusions, unrestricted file uploads. . MItigations.

  • Practice in command, function, code injections

  • Topic Quiz

Module 4: Session security       

  • General session description. States in HTTP, HTTPS. Session storages.

  • Session attacks: session fixation, session predicting, session hijacking. Mitigation.

  • Practice in session prediction/fixation

  • Topic Quiz

Module 5: Scripting attacks       

  • XSS and CSRF. Clickjacking. Mitigation: secure headers.

  • Practice in XSS. Session hijacking.

  • Practice in CSRF.

  • Topic Quiz

Module 6: Authentication vulnerabilities          

  • General authentication vulnerabilities: enumeration, password attacks. Mitigation: captcha,tracking and blocking, redirects.

  • Practice in enumeration and password attacks.

  • Topic Quiz

Module 7: Access control/Authorization issues

  • General authorization errors: function/object access. Parameter tampering.

  • Practice in parameter tampering attacks

  • Topic Quiz

Module 8: XML vulnerabilities

  • Introduction to XML and XML parsers. XML-based technologie: SOAP, WSDL, etc.

  • XML attacks: reconnaissance, XML-poisoning, XXE

  • Practice in XML-reconaissance, XXE

  • Topic Quiz

Module 9: Deserialization weakness    

  • Insecure Deserialization attacks.

  • Practice in deserizlization attacks

  • Topic Quiz

Module 10: Web Application DOS          

  • General Web Application DOS: slowloris, resource exhaustion, etc.

  • Practice in slowloris

  • Topic Quiz

Architecture issues       

Module 11: Business logic vulnerabilities          

  • Business logic vulnerabilities: step-drop, timing etc.

  • Practice in business logic assessment

  • Topic Quiz

Web Application Assurance      

Module 12: OWASP Project Guides      

  • OWASP Testing Guide

  • Creation OTG Checklist

  • OWASP Application Security Verification Standard (ASVS 4.0)

  • OWASP ASVS Website Compliance Checking

  • Software Assurance Maturity Model