Ethical Web Application Hacking (Level-3)

Web taikomosios programos (applications) vienos dažniausiai atakuojamų. Hands On Ethical Hacking Web Applications kursų programa skirta IT profesionalams, kurie nori suprasti kas nutinka, kai atakuojamas bet kuris web architektūros komponentas ir kokie pažeidžiamumai išnaudojami. Kursų metu bus atidžiau pažvelgta į web pažeidžiamumus. Kursai taip pat padės programinės įrangos inžinieriams kurti saugesnes taikomąsias programas.

Šie kursai skirti IT profesionalams, kurie norėtų giliau pažvelgti į naujausius saugumo pavojus ir pažangiausias technikas, kurias šiandien naudoja piktavališki programišiai tam, kad išnaudoti web-paremtas architektūras – ugniasienę, webserverį, tarpinę įrangą (middleware), aplikacijas, duomenų bazes. Kursuose bus pateiktas rinkinys realių situacijų modelių ir “laboratorinių darbų” į kurios įeina daugybė misijų skirtų tam tikriems taikiniams.

Kursas suteiks efektyvų ir išsamų supratimą apie logines saugumo aktualijas su orientacija į web aplikacijas.

Zone-h

Zone-h - tai pasaulinė IT saugumo ekspertų organizacija, kuri šiandien laikoma, kaip labiausiai patikimas šaltinis apie kibernetinius nusikaltimus Internete. Zone-h tinklalapių turinys pateikiamas 11-oje kalbų: Anglų, Italų, Prancūzų, Japonų, Ispanų, Rusų, Brazilų, Slovakų, Turkų, Vokiečių ir Latvių. Palaikoma daugiau kaip 50 ekspertų visame pasaulyje, kurių tarpe yra IT profesionalai, žurnalistai, studentai ir mokslininkai, Zone-h pateikia realų, teisingą ir „no hat“ požiūrį apie pasaulinio tinklo tendencijas. Zone-h visame pasaulyje rengia apmokymų kursus, kur pagrindinis dėmesys skiriamas fundamentaliems IT saugumo aspektams, „etiško hakingo“ (ethical hacking) technikai, be to, kad geriau suprasti hakingo metodus ir techniką, dalyviai kursų metu atlieka praktines užduotis.

Kas Turėtų Dalyvauti?

• IT vadovai
• IT saugumo specialistai
• Tinklų administratoriai
• Programuotojai (programinės įrangos inžinieriai)
• Asmenys ir entuziastai, kuriuos domina ši tema

Kursų Programa

Šie intensyvūs, dviejų dienų seminarai liečia daugelį IT saugumo sričių. Žemiau pateikta kursų programa:

Atakų profiliavimas: Statistika apie webserver atakas

HTTP Protokolų Pagrindai

Web Serverių Struktūra

 Web aplikacijų atakų klasifikacija

• Autentifikacija
• Autorizacija
• Komandų paleidimas
• Klientinės pusės atakos
• Informacijos atskleidimas
• Loginės atakos

Informacijos rinkimas apie taikinį

Gyva sesija

Crossite Scripting

• Išmokite, kaip sąlyginai paprasta technika, kai kurių laikoma netgi banalia, iš tikro užpuolikui leidžia pasiekti stebinančių rezultatų.
• Taip pat išmokite apsisaugoti nuo XSS atakų...

Gyva sesija

„Sausainukų“ manipuliavimas (Cookie Manipulation) (cURL ir Mozilla Firefox)

Gyva sesija

Atgalinės durys su Javascript (Backdoors with Javascript)

• Kaip įdiegti atgalines duris su Javascript

Gyva sesija

Nuotolinis Failų Skaitymas/Inkliuzija (File Inclusion)

Gyva sesija

Dažnos PHP aplikacijų klaidos

• Pasirenkamo kodo paleidimas (arbitrary code execution)
• Komandų paleidimas
• Failų atskleidimas (File disclosure)

Gyva sesija

SQL Injekcija (Injection)

• Sistemos atakavimas pasinaudojant SQL pažeidžiamumais: form bypassing, database dump, kiti

Gyva Sesija

Cross site Užklausų Klastojimas (CSRF/XSRF)

Gyva Sesija

Užkodavimo atakos (Encoding attacks)

• Praėjimas pro IDS ir filtrus (Bypassing IDS)

Kiti pažeidžiamumai

• AJAX
• XPath Injection
• LDAP Injection

HTTP Response Splitting

Kaip modefikuoti HTTP paketų turinį?

The DONT‘S of web developing

Ko Jūs moksite?

• Mąstyti, kaip įsilaužėlis, kad apsaugotumėte savo web-paremtas architektūras
• Mąstyti, kaip įsilaužėlis, kad kurti saugias aplikacijas
• Kaip neteisingai sukonfigūruotos web aplikacijos įtakoja saugumą
• Tipines technikas naudojamas atakuoti web architektūros komponentus