Мастер-классы по OWASP TOP-10
Для системных администраторов и ИБ-специалистов для повышения компетенций в области защиты информации
-
Инъекции и внедрение кода
- Что такое инъекции и почему они становятся возможными?
- Не SQL инъекции
- iFrame инъекции
- LDAP инъекции
- Инъекции в почтовых заголовках
- Включения на стороне сервера
-
SQL-Инъекции
- Концепции языка структурированных запросов (SQL)
- Простые SQL инъекции
- Слепые SQL инъекции
- Инструменты проведения SQL-инъекций
-
Взлом аутентификации и сеанса
- Концепции рекогносцировки
- Атаки на управление сеансом
- Защита от атак на аутентификацию и управление сеансом
-
Раскрытие важных данных
- Принципы атак, приводящих к утечке данных
- Использование кодировки Base64
- Открытая передача верительных данных по HTTP
- Атаки на SSL BEAST/CRIME/BREACH
- Атака на уязвимость Heartbleed
- Уязвимость POODLE
- Использование устаревших версий SSL
- Хранение данных в веб-хранилище HTML5
- Хранение данных в текстовых файлах
-
Атаки на объекты XML
- Что такое внешние объекты XML (XXE)
- Принципы атак на внешние объекты XML
- Атака на внешние XML объекты
- Атака XXE при сбросе пароля
- Атака на уязвимость в форме входа
- Атака на уязвимость в форме поиска
- Атака на отказ в обслуживании
-
Нарушение контроля доступа
- Небезопасные прямые ссылки на объекты
- Пример незащищенного административного портала
- Принципы атак на управление доступом
- Что такое обход каталога?
- Предназначение заголовка хоста в HTTP
- Концепции подключения локального или удаленного файла
- Включение локального или удаленного файла (RFI/LFI)
- Атака на ограничение доступа к устройствам и каталогам
- Подделка запросов на стороне сервера (SSRF)
-
Атаки на конфигурацию (принципы)
- Произвольный доступ к файлам в Samba
- Файл междоменной политики Flash
- Общие ресурсы в AJAX
- Межсайтовая трассировка (XST)
- Отказ в обслуживании
- Небезопасная конфигурация
- Локальное повышение привилегий
- Атака «Человек посередине»
- Небезопасное хранение архивных файлов
- Файл robots.txt
-
Межсайтовое выполнение сценариев (XSS)
- Что такое внешние объекты XML (XXE)
- Принципы атак на внешние объекты XML
- Атака на внешние XML объекты
- Атака XXE при сбросе пароля
- Атака на уязвимость в форме входа
- Атака на уязвимость в форме поиска
- Атака на отказ в обслуживании
-
Атаки на десериализацию
- Что такое сериализация и десериализация?
- Принципы атак на небезопасную десериализацию:
- Небезопасная десериализация в JavaScript
- Обход аутентификации при сериализации
- Инъекция бэкдора при десериализации
-
Атаки на компьютеры с известными уязвимостями
- Что такое переполнение буфера
- Локальные атаки на переполнение буфера
- Удаленные атаки на переполнение буфера
- Примеры компонент с известными уязвимостями
Как проходит обучение
Занятия 1 раз в неделю по средам
Online-формат обучения с сохранением практических заданий и поддержкой инструктора
Соответствие международным стандартам: обучение проводится по методологии, рекомендованной международным советом по электронной коммерции EC-Council
Эффективная методика: проводим «работу над ошибками» при выполнении практических заданий и консультируем по возникающим, предоставляем доступ к актуальной современной базе знаний угроз ИБ
Практика на реальных кейсах: обучаем специалистов с последующей отработкой полученных знаний на практических задачах компании
Уникальный уровень компетенций: методисты и преподаватели мастер-классов обладают уникальным практическим опытом ежедневного расследования инцидентов, внедрения и поддержки решений по защите информации, тестов на проникновение самых защищенных систем, имеют международные сертификаты в области ИБ