WEBAP - Web Application Security

Opis:

Ten kurs zapewni uczestnikom dogłębne zrozumienie koncepcji bezpieczeństwa, koncepcji aplikacji internetowych i ram używanych przez deweloperów, aby móc wykorzystywać i chronić docelową aplikację. W dzisiejszym świecie, który zmienia się szybko, a zatem wszystkie używane technologie również zmieniają się w szybkim tempie, aplikacje internetowe są narażone na ataki hakerów 24/7. Aby chronić aplikacje przed zewnętrznymi atakującymi, trzeba znać wszystkie elementy, które tworzą aplikację internetową, takie jak ramy, języki i technologie używane w rozwoju aplikacji internetowych i wiele więcej. Problem polega na tym, że atakujący musi znać tylko jeden sposób włamania się do aplikacji, a deweloper (lub administrator systemu) musi znać wszystkie możliwe exploity, aby temu zapobiec. Z tego powodu naprawdę trudno jest mieć niezawodną, zabezpieczoną aplikację internetową, a w większości przypadków aplikacja internetowa jest podatna na coś. Jest to regularnie wykorzystywane przez cyberprzestępców i zwykłych hakerów i można to zminimalizować poprzez prawidłowe planowanie, rozwój, testowanie aplikacji internetowych i konfigurację.

Cele:

Zapewnienie umiejętności i wiedzy potrzebnych do zrozumienia i zidentyfikowania możliwych exploitów w działających aplikacjach internetowych oraz do wykorzystania zidentyfikowanych luk w zabezpieczeniach. Ze względu na wiedzę zdobytą w fazie identyfikacji i eksploatacji, powinieneś być w stanie chronić aplikację internetową przed podobnymi atakami. Po ukończeniu tego kursu uczestnik będzie w stanie zrozumieć i zidentyfikować OWASP 10 najważniejszych luk w zabezpieczeniach oraz uwzględnić tę wiedzę w schemacie ochrony aplikacji internetowych.

Publiczność:

Programiści, funkcjonariusze policji i innych organów ścigania, personel obronny i wojskowy, specjaliści ds. bezpieczeństwa e-biznesu, administratorzy systemów, bankowość, ubezpieczenia i inni specjaliści, agencje rządowe, kierownicy ds. IT, dyrektorzy ds. bezpieczeństwa informacji, dyrektorzy ds. technologii.

Moduł 1: Koncepcje bezpieczeństwa
Moduł 2: Zarządzanie ryzykiem
Moduł 3: Fazy ataku hakerów
Moduł 4: Testy penetracyjne
Moduł 5: Networking Ataki MitM
Moduł 6: Przegląd technologii webowych i frameworków
Moduł 7: Narzędzia handlu
Moduł 8: Omijanie kontroli po stronie klienta
Moduł 9: Ataki uwierzytelniające
Moduł 10: Wady projektowe/wdrożeniowe
Moduł 11: Ataki na aplikacje internetowe: Wstrzykiwanie (A1)
Moduł 12: Ataki na aplikacje internetowe: XSS/CSRF (A3/A8)
Moduł 13: Ataki na aplikacje internetowe: Uszkodzone uwierzytelnianie i zarządzanie sesją (A2)
Moduł 14: Ataki na aplikacje webowe: Niezabezpieczone bezpośrednie odwołania do obiektów/brakująca kontrola dostępu na poziomie funkcji (A4/A7)
Moduł 15: Ataki na aplikacje webowe: Błędna konfiguracja zabezpieczeń/Udostępnianie wrażliwych danych (A5/A6)
Moduł 16: Ataki na aplikacje webowe: Niezatwierdzone przekierowania i przekierowania (A10)
Moduł 17: Wady logiczne