Мастер-классы по OWASP TOP-10

Для системных администраторов и ИБ-специалистов для повышения компетенций в области защиты информации

 
Программа курса
  1. Инъекции и внедрение кода

    • Что такое инъекции и почему они становятся возможными?
    • Не SQL инъекции
    • iFrame инъекции
    • LDAP инъекции
    • Инъекции в почтовых заголовках
    • Включения на стороне сервера
  2. SQL-Инъекции

    • Концепции языка структурированных запросов (SQL)
    • Простые SQL инъекции
    • Слепые SQL инъекции
    • Инструменты проведения SQL-инъекций
  3. Взлом аутентификации и сеанса

    • Концепции рекогносцировки
    • Атаки на управление сеансом
    • Защита от атак на аутентификацию и управление сеансом
  4. Раскрытие важных данных

    • Принципы атак, приводящих к утечке данных
    • Использование кодировки Base64
    • Открытая передача верительных данных по HTTP
    • Атаки на SSL BEAST/CRIME/BREACH
    • Атака на уязвимость Heartbleed
    • Уязвимость POODLE
    • Использование устаревших версий SSL
    • Хранение данных в веб-хранилище HTML5
    • Хранение данных в текстовых файлах
  5. Атаки на объекты XML

    • Что такое внешние объекты XML (XXE)
    • Принципы атак на внешние объекты XML
    • Атака на внешние XML объекты
    • Атака XXE при сбросе пароля
    • Атака на уязвимость в форме входа
    • Атака на уязвимость в форме поиска
    • Атака на отказ в обслуживании
  6. Нарушение контроля доступа

    • Небезопасные прямые ссылки на объекты
    • Пример незащищенного административного портала
    • Принципы атак на управление доступом
    • Что такое обход каталога?
    • Предназначение заголовка хоста в HTTP
    • Концепции подключения локального или удаленного файла
    • Включение локального или удаленного файла (RFI/LFI)
    • Атака на ограничение доступа к устройствам и каталогам
    • Подделка запросов на стороне сервера (SSRF)
  1. Атаки на конфигурацию (принципы)

    • Произвольный доступ к файлам в Samba
    • Файл междоменной политики Flash
    • Общие ресурсы в AJAX
    • Межсайтовая трассировка (XST)
    • Отказ в обслуживании
    • Небезопасная конфигурация
    • Локальное повышение привилегий
    • Атака «Человек посередине»
    • Небезопасное хранение архивных файлов
    • Файл robots.txt
  2. Межсайтовое выполнение сценариев (XSS)

    • Что такое внешние объекты XML (XXE)
    • Принципы атак на внешние объекты XML
    • Атака на внешние XML объекты
    • Атака XXE при сбросе пароля
    • Атака на уязвимость в форме входа
    • Атака на уязвимость в форме поиска
    • Атака на отказ в обслуживании
  3. Атаки на десериализацию

    • Что такое сериализация и десериализация?
    • Принципы атак на небезопасную десериализацию:
      • Небезопасная десериализация в JavaScript
      • Обход аутентификации при сериализации
      • Инъекция бэкдора при десериализации
  4. Атаки на компьютеры с известными уязвимостями

    • Что такое переполнение буфера
    • Локальные атаки на переполнение буфера
    • Удаленные атаки на переполнение буфера
    • Примеры компонент с известными уязвимостями

Как проходит обучение

Занятия 1 раз в неделю по средам
 
 
Online-формат обучения с сохранением практических заданий и поддержкой инструктора
Соответствие международным стандартам: обучение проводится по методологии, рекомендованной международным советом по электронной коммерции EC-Council
Эффективная методика: проводим «работу над ошибками» при выполнении практических заданий и консультируем по возникающим, предоставляем доступ к актуальной современной базе знаний угроз ИБ
Практика на реальных кейсах: обучаем специалистов с последующей отработкой полученных знаний на практических задачах компании
Уникальный уровень компетенций: методисты и преподаватели мастер-классов обладают уникальным практическим опытом ежедневного расследования инцидентов, внедрения и поддержки решений по защите информации, тестов на проникновение самых защищенных систем, имеют международные сертификаты в области ИБ