Web napad i obrana

Miscelanea   /   by admin   /   December 05, 2023

click fraud protection

Jedinstven profesionalac po kvalifikacijama i iskustvu, vodeći predavač u području sigurnosti računalnih mreža.

Prvi je u Rusiji dobio status ovlaštenog instruktora etičkog hakiranja. Član je “Circle of Excellence” instruktora etičkog hakiranja i ima status licenciranog testera penetracije (Master). Na njegovim satovima vlada atmosfera pravog praznika znanja, iskustva i vještine. Slušatelji su oduševljeni - pročitajte recenzije i uvjerite se sami!
Nositelj 50 prestižnih međunarodnih certifikata, uključujući 30 certifikata iz informacijske sigurnosti i etičkog hakiranja. Majstor etičkog hakiranja i penetracijskog testiranja (licencirani majstor za ispitivanje penetracije). Offensive Security Certified Professional (OSCP) i Security Certified Program (SCP). Microsoft Certified Security Engineer (MCSE: Security) i certificirani instruktor za EC-Council, Microsoft i CryptoPro.
Pod vodstvom Sergeja Klevogina tim Specijalističkog centra stigao je do finala Svjetskih kibernetičkih olimpijskih igara 2015. gdje je osvojio olimpijsku nagradu Prvaka regije!

instagram viewer

Redovito sudjeluje i vodi master tečajeve na međunarodnim konferencijama i forumima o informacijskoj sigurnosti - Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days. Autor i voditelj besplatnih seminara o tehnikama hakiranja i penetracijskom testiranju.
Sergey Pavlovich ima iskustvo kao programer u Ministarstvu obrane Ruske Federacije, inspektor za informacijsku sigurnost u Središnjem Banka Ruske Federacije, voditelj Odjela za informacijske tehnologije u komercijalnoj banci, nastavnik na Moskovskom ekonomskom i statističkom institutu Institut. Iskustvo Sergeja Pavloviča vrlo je vrijedno jer pokazuje i profesionalno ovladavanje IT proizvodima i principima te razumijevanje integracije poslovnih procesa s informacijskim tehnologijama. I što je najvažnije, Sergey Pavlovich dijeli svoje iskustvo i može jednostavno i jasno govoriti o složenim tehnologijama.
Tijekom nastave Sergej Pavlovič kombinira objašnjenje teoretskog materijala s demonstracijom postavljanja različitih komponenti sustava. Gradivo je dopunjeno detaljima koji često izlaze iz okvira kolegija (šala, neočekivano zabavno pitanje, smiješan računalni trik).
Primjere možete pronaći na poveznici: Video hakiranja.

Stručni predavač Oracle i Java tečajeva. Oracle certificirani stručnjak, kandidat tehničkih znanosti. Ističe ga raznoliko iskustvo u praktičnim i nastavnim aktivnostima.
Godine 2003. Alexey Anatolyevich diplomirao je s počastima na MIREA. 2006. godine obranio je doktorsku disertaciju na temu Izgradnja sigurnih automatiziranih informacijskih sustava.
Glavni stručnjak u području sigurnosti baza podataka, izgradnja sigurnih java i web aplikacija za Oracle DBMS i SQL Server, razvoj pohranjenih programskih modula u PL/SQL i T-SQL. Automatizirao aktivnosti velikih državnih poduzeća. Pruža konzultantske i savjetodavne usluge u razvoju složenih distribuiranih web aplikacija temeljenih na Java EE platformi.
Nastavno iskustvo Alexeya Anatolyevicha u sustavu poslijediplomskog obrazovanja prelazi 7 godina. Radio s korporativnim klijentima, obučavao zaposlenike tvrtki “BANK PSB”, “Internet University of Information Technologies (INTUIT)”, “SINTERRA”.
Autor više edukativnih i metodičkih priručnika o programiranju i radu s bazama podataka. Od 2003. do 2005. Alexey Anatolyevich bavio se prilagodbom i tehničkim prijevodom strane literature o web programiranju i radu s bazama podataka. Objavio preko 20 znanstvenih radova.
Zahvalni maturanti uvijek primjećuju pristupačan način izlaganja čak i najsloženijih tema, detaljne odgovore na pitanja učenika i obilje živih primjera iz profesionalne prakse nastavnika.

Modul 1. Koncepti web stranica (2 ak. h.)

-Principi rada web poslužitelja i web aplikacija
-Načela sigurnosti web stranica i web aplikacija
-Što je OWASP
-OWASP Top 10 pregled klasifikacije
-Upoznavanje s alatima za izvođenje napada
- Postavljanje laboratorija

Modul 2. Injekcije (4 ak. h.)

-Što su injekcije i zašto su moguće?
-HTML injekcija
-Što je iFrame
- iFrame injekcija
-Što je LDAP
-LDAP injekcija
-Što su zaglavlja pošte
-Injekcije u zaglavlja pošte
-Uvođenje naredbi operativnog sustava
- ubacivanje PHP koda
-Što su uključivanja na strani poslužitelja (SSI)
-SSI injekcije
- Koncepti Structured Query Language (SQL).
- SQL injekcija
-Što je AJAX/JSON/jQuery
-SQL injekcija u AJAX/JSON/jQuery
-Što je CAPTCHA
-SQL injekcija zaobilazeći CAPTCHA
-SQLite injekcija
-Primjer SQL ubacivanja u Drupal
-Što su pohranjene SQL injekcije
-Pohranjene SQL injekcije
-Pohranjene SQLite injekcije
-XML koncepti
-Pohranjena SQL injekcija u XML
-Korištenje korisničkog agenta
-SQL ubacivanje u polje User-Agent
-Slijepe SQL injekcije na logičkoj osnovi
-Slijepe SQL injekcije na privremenoj osnovi
-Slijepe SQLite injekcije
-Što je protokol za pristup objektu (SOAP)
-Slijepo SQL ubrizgavanje u SOAP
-XML/XPath injekcija

Modul 3. Hakiranje autentifikacije i sesije (2 ak. h.)

-Zaobići CAPTCHA
-Napad na funkciju oporavka lozinke
-Napad na forme za prijavu
-Napad na kontrolu izlaza
-Napadi na lozinke
-Korištenje slabih lozinki
-Korištenje univerzalne lozinke
-Napadi na administrativne portale
-Napadi na kolačiće
-Napadi na prosljeđivanje ID-a sesije u URL-u
-Fiksacija sesije

Modul 4. Curenje važnih podataka (2 ak. h.)

-Korištenje Base64 kodiranja
-Otvoreni prijenos vjerodajnica putem HTTP-a
-Napadi na SSL BEAST/CRIME/BREACH
-Napad na ranjivost Heartbleeda
-Ranjivost PUDLE
-Pohranjivanje podataka u HTML5 web pohranu
-Korištenje zastarjelih verzija SSL-a
-Pohranjivanje podataka u tekstualne datoteke

Modul 5. Vanjski XML objekti (2 ak. h.)

-Napad na vanjske XML objekte
-XXE napad prilikom resetiranja lozinke
-Napad na ranjivost u obrascu za prijavu
-Napad na ranjivost u obrascu za pretraživanje
- Napad uskraćivanjem usluge

Modul 6. Povreda kontrole pristupa (2 ak. h.)

-Primjer napada na nesigurnu direktnu vezu prilikom promjene korisničke lozinke
-Primjer napada na nesigurnu izravnu vezu prilikom resetiranja korisničke lozinke
-Primjer napada na nesigurnu direktnu poveznicu prilikom naručivanja ulaznica u online trgovini
-Prolaz imenika u imenicima
-Traversal direktorija u datotekama
-Napad na zaglavlje hosta dovodi do trovanja predmemorije
-Napad na zaglavlje hosta dovodi do poništavanja lozinke
-Uključivanje lokalne datoteke u SQLiteManager
-Omogući lokalnu ili udaljenu datoteku (RFI/LFI)
- Napad ograničavanja uređaja
-Napad na ograničavanje pristupa imeniku
-SSRF napad
-Napad na XXE

Modul 7. Nesigurna konfiguracija (2 ak. h.)

-Principi konfiguracijskih napada
-Nasumični pristup datotekama u Sambi
- Flash Cross-Domain Policy File
-Zajednički resursi u AJAX-u
-Cross-Site Tracing (XST)
- Uskraćivanje usluge (veličina velikog dijela)
- Uskraćivanje usluge (spori HTTP DoS)
- Uskraćivanje usluge (SSL iscrpljenost)
- Uskraćivanje usluge (XML bomba)
-Nesigurna DistCC konfiguracija
-Nesigurna FTP konfiguracija
-Nesigurna NTP konfiguracija
-Nesigurna SNMP konfiguracija
-Nesigurna VNC konfiguracija
-Nesigurna WebDAV konfiguracija
-Lokalna eskalacija privilegija
-Čovjek u sredini napada u HTTP-u
-Man in the Middle Attack u SMTP
-Nesigurno skladištenje arhiviranih datoteka
-Datoteka robota

Modul 8. Skriptiranje na različitim mjestima (XSS) (3 ak. h.)

-Odražen XSS u GET zahtjevima
- Odražen XSS u POST zahtjevima
-Reflektirani XSS u JSON
-Reflektirani XSS u AJAX-u
Odraženi XSS u XML-u
-Reflektirani XSS u gumbu za povratak
- Odražen XSS u funkciji Eval
-Reflektirani XSS u HREF atributu
- Odražen XSS u obrascu za prijavu
-Primjer reflektiranog XSS-a u phpMyAdmin-u
-Odražen XSS u PHP_SELF varijabli
-Reflektirani XSS u zaglavlju Referer
- Odražen XSS u zaglavlju korisničkog agenta
- Odražen XSS u prilagođenim zaglavljima
-Pohranjeni XSS u postovima na blogu
-Pohranjeni XSS prilikom promjene korisničkih podataka
-Pohranjeni XSS u kolačićima
-Pohranjen XSS u SQLiteManager
-Pohranjeni XSS u HTTP zaglavljima

Modul 9. Nesigurna deserijalizacija (2 ak. h.)

-Demonstracija ubacivanja PHP objekta
-Backdoor injekcija tijekom deserijalizacije
-Nesigurna deserijalizacija u JavaScriptu

Modul 10. Korištenje komponenti s poznatim ranjivostima (2 ac. h.)

- Lokalni napadi prekoračenja međuspremnika
-Udaljeni napadi prekoračenja međuspremnika
- SQL injekcija u Drupal (Drupageddon)
-Ranjivost krvarenja srca
-Udaljeno izvršavanje koda u PHP CGI
-Napad na PHP Eval funkciju
-Ranjivost u phpMyAdmin BBCode oznaci XSS
- Ranjivost na udar granata
-Povezivanje lokalne datoteke u SQLiteManager
-Injekcija PHP koda u SQLiteManager
-XSS u SQLiteManageru

Modul 11. Nedostatak evidentiranja i praćenja (1 ak. h.)

-Primjer nedovoljne evidencije
-Primjer ranjivosti zapisivanja
-Primjer nedovoljnog praćenja

Izgradnja informacijske sigurnosti na temelju ISO/IEC 27002

Upoznat ćete se s međunarodnim standardom informacijske sigurnosti ISO/IEC 27002 i dobiti praktične preporuke za upravljanje sustavom informacijske sigurnosti poslovne mreže u skladu sa standardom i donošenje složenih odluka, uključujući: sprječavanje incidenata u području računalne sigurnosti, stvaranje, implementacija, održavanje takvih sustava.

4,1

Tagovi oblak
Ocjena
0
Posjeta
0
Komentari
YOU MIGHT ALSO LIKE
Instagram story viewer