- Главная
- Тестирование на проникновение
- Анализ защищенности веб-приложений (Web Application Security Analysis)
Курс
Анализ защищенности веб-приложений (Web Application Security Analysis)
Цели курса:
- Знакомство с базовыми технологиями и устройством современных веб-приложений, эксплуатацией уязвимостей веб-приложений
- Освоение работы с инструментами для анализа и эксплуатации
Код курса
R-319
Стоимость для физических лиц
63 000 рублей
Стоимость для юридических лиц
75 600 рублей
Аудитория курса:
Аудиторы
ИБ инженеры
IT специалисты
Сетевые инженеры
Системные администраторы
Разработчики веб-приложений
Профессиональные задачи, которые мы научим решать:
Проведение анализа защищенности веб-приложений:
Обнаружение и эксплуатации основных уязвимостей серверной части веб-приложений
Обнаружение и эксплуатации основных уязвимостей клиентской части
Оценка корректности реализации механизмов аутентификации и управления сессиями
Использование Burp Suite и других инструментов для выявления и эксплуатации уязвимостей веб-приложений
Программа обучения
16 занятий
64 ак. часa
- Основные веб-технологии: HTTP, URL, HTML, Javascript, CSS и т.д.
- Основные теги HTML
- Программное обеспечение Burp Suite
- Изучение устройства веб-приложений, методов сбора информации
- Брутфорс директорий и файлов на веб-сервере
- Изучение уязвимостей к инъекциям
- Защита от внедрения на сервер инъекциями
- Чтение информации из доступных баз данных
- Получение информации о сервере, текущем пользователе, настройках, информации из файловой системы
- Возможность модификации информации в базе данных, записи в файлы, выполнения произвольного кода
- Изучение техник SQL инъекций
- Поиск инъекций
- Изучение техник SQL инъекций
- Использование sqlmap для автоматизации
- Исключение уязвимости SQL injection со стороны разработчиков
- Знакомство с уязвимостями авторизации и менеджмента сессий
- Рекомендации по обеспечению безопасности аутентификации
- Обеспечение правильного хранения паролей
- Брутфорс(онлайн) веб-сервера, защита от брутфорса, работа с Burp Intruder и Patator
- Изучение атаки Path traversal, File Upload и тактик защиты от них
- Local & Remote File Inclusion, Local File Read
- Изучение URL схем
- Безопасность архивов (Archive Upload Issues)
- Тактики защиты от LRFI
- Изучение уязвимости Local File Read
- Уязвимость обход контроля доступа (Broken Access Control)
- Разграничение доступа в веб-приложениях, на функциональном уровне и на уровне объектов
- Оптимизация защиты от уязвимости
- Изучение работы шаблонов
- Изучение уязвимостей
- Автоматизация эксплуатации уязвимостей шаблонов
- Атака, использующая небезопасное сравнение
- Уязвимость приведения типов в PHP
- Защита от логических багов и защита потоков синхронизацией
- Изучение сериализации, небезопасной десериализации для разных языков программирования
- Методы защиты от уязвимости
- Изучение уязвимостей Server Side Request Forgery
- Защита веб-приложения от обращений к внутренним ресурсам
- Изучение уязвимости XML eXternal Entity, защита от XXE
- Изучение атаки PDF Rendering
- Изучение атак на сервер и клиента
- Same Origin Policy: что это и зачем нужно
- Изучение атаки Cross-Site Request Forgery, защита от атаки CSRF
- Чтение ответов с определенного origin (CORS)
- Как в контексте origin приложения выполнять Javascript-код (XSS)
- Кража cookies, модификация dom-дерева, изменение компонентов веб-страницы
- Проверка Content Security Policy
- Client-Side Template Injection
- Укрепление безопасности заголовками
- Описание уязвимостей
- Подготовка к собеседованиям
- Общий подход тестирования веб-приложений
- Прокачка навыка поиска неожиданных и нестандартных путей
- Подборка материалов для самостоятельного углубленного изучения безопасности в веб
Примеры практических заданий:
Демонстрация сессий PHP
Демонстрация jwt.io
Простейший веб-шелл на PHP
Пример tomcat
Демонстрация LFI
Демонстрация RFI (php.ini)
Демонстрация LFI через файл сессии
Демонстрация в bWAPP security_level=2
Практика поиска входных точек
Практика на Portswigger
Примеры логических ошибок разработчиков
Пример Blind SSRF: Сканирование портов
Пример с запросом на internal_web
Пример temp mail и SMTP
Пример обхода ssrf_check.php - читаем internal_web
Пример XSS bWAPP
Формирование отчета с использованием стандарта CVSS
Подготовка к собеседованиям
Модель обучения
участник трека полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.
участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.
Требования к слушателям курса:
Уметь читать специализированную документацию и техническую литературу на английском языке
Иметь опыт написания кода на любом языке программирования (PHP, Python, Java, JavaScript, Ruby, etc...)
Иметь представление о взаимодействии компьютеров в сети (Понимать работу протоколов IP, TCP, DNS, HTTP)
Иметь опыт разработки веб-приложений (Как минимум динамических страниц)
Уметь работать с ОС Linux или ОС Windows на уровне продвинутого пользователя (Установка пакетов, работа с терминальной оболочкой, менеджмент прав доступа)
Уметь работать с системами виртуализации (VirtualBox, VMWare)
FAQ — ответы на частозадаваемые вопросы
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 16 ГБ оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 250 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы




Гражданство?

Сколько вам полных лет?

В какой сфере вы работаете/учитесь?


Умеете ли вы работать с прикладными программами: MS Office, Windows Explorer, браузеры?

Вам знакомы такие сетевые модели, как OSI или TCP/IP?

Есть ли у вас опыт работы с системами виртуализации (VirtualBox, VMWare)?

Умеете ли вы работать с ОС Linux или ОС Windows при помощи терминальной оболочки?

Вы умеете программировать? Можете написать на языке python, powershell или каком-либо другом скрипт или мини-программу?
Заказать обратный звонок
Мы используем cookie
Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания.