Bezpečnost v prostředí webových aplikací (dle OWASP TOP10) (BZP5)

Bezpečnost, Bezpečnost ICT

Nabídka tohoto školení byla ukončena. Témata z tohoto školení jsou dle oblastí nově rozdělena do dvou samostatných školení. Sniffing, scanning a útoky na síťové protokoly jsou součástí kurzu . Hacking webových aplikací dle OWASP TOP10 je součástí kurzu .

KDE A KDY KURZ PROBÍHÁ?

Kontaktujte nás

S námi máte na výběr: Přijďte na kurz osobně do naší učebny, nebo se ke kurzu připojte online. Pokud preferujete online formu, uveďte prosím do poznámky v objednávce "Připojím se virtuálně".
Více informací k hybridní formě školení naleznete zde.

Náplň kurzu:

Skrýt detaily
  • Sniffing a scanning
    1. Základní příkazy pro práci s ARP a DNS cache. Základy snifování v Linuxu a ve Windows. Identifikace rozhraní pro sniffing. Základní použití analyzátoru sítí Wireshark/Tshark. Analýza protokolů TCP, UDP a IP. Zachycení nešifrovaného hesla v síti. Model klient-server v sítích. Zachycení a ukázka analýzy protokolů HTTP, ARP,STP, DHCP.RDP, SSL a dalších. Použití filtrů ve Wireshark. Ukázka zneužití síťových protokolů pomocí nástroje Ettercap a yersinia.
    2. Úvod do bezpečnostních distribucí pro pentesting zejména do Kali Linuxu a Samurai. Úvod do hackovatelných distribucí např. metasploitable Linuxu a WebAPP aplikací. Praktická konfigurace cílů pro skenování a útoky.
    3. Vysvětlení 3way handshaku pro vzdálené skenování portů a služeb. Měření zátěže a zpoždění. Základy skenování pomocí nástroje NMAP. Služba FTP a její detailní analýza.
    4. Skenování pomocí protokolů IPv6, ARP, ICMP, UDP a TCP. Používání nástroje NMAP – ukázka základních a rozšířených typů skenů proti jednomu portu, skupině cílů, atd. Demonstrace rozšířených možností utility NMAP např. pro skenování zranitelností. použití falešných zdrojových adres atd.
  • Enumerace služeb, vulnerability management WWW aplikací, hackování Windows
    1. Použití nmap v sítích s více cíli. Identifikace služeb a Identifikace OS pasivně a aktivně pomocí xprobe2, p0f a nmap. Identifikace load balancingu a Web Application firewallů
    2. Nslookup a enumarace DNS a NETBIOS. Fungování caches a modifikace souborů /etc/hosts a lmhosts. Ulity pro kontrolu DNS v kali linuxu a automatizované kontroly dostupné z internetu např. pomocí DNSSTUFF.
    3. Příkazy pro práci s DHCP a útoky na DHCP.
    4. Úvod do vulnerability managementu, Ukázka použití OpenVAS skeneru pro kontrolu infrastruktury a WWW aplikací. Specializované skenery a jejich použití pro kontrolu WWW serverů např. N-STealth, OpenVAS a Nessus. Použití nezávislých databází slabin a zranitelností. Možnosti inventarizace pomocí protokolů vyšších vrstev např. přes LDAP, SNMP a další. Identifikace loadbalancerů a web application firewallů.
    5. Používání identit v MS pro služby (utilita logonsessions) a ukázka použití nástroje Metasploit pro napadení systémů Windows a Linux. Hack Win stanice s meterpretrem v Armitage
    6. Bruteforcing hesel, Odchyt hesla v RDP, Ukázka xhydra (FTP a RDP) a dešifrování tabulky lmhash z Windows.
  • Hacking WWW aplikací
    1. Základní nástroje pro naplnění požadavků kontrol dle OWASP dostupné v distribuci KALI Linux. Ukázka používání nástrojů pro vyhledávání slabých míst WWW aplikací pomocí OPENVAS, Zed Attack Proxy, WebScarab, Acunetix a dalších.
    2. Seznámení s prostředím zranitelných aplikací DVWA a Mutillidae. Vyhodnocování výsledků z WWW Vulnerability scannerů (Nstalker, Netsparker, Acunetix) pro zranitelné WWW aplikace DVWA a Mutillidae. Srovnání se zranitelnostmi na https://www.skenerwebu.cz/.
    3. Možnosti použití Wiresharku pro analýzu HTTP a HTTPS. Použití snifferu (Fiddler) a proxy (charles web debug proxy) pro analýzu komunikace mezi WWW serverem a prohlížečem.
    4. Ukázka a použití Zed Attack Proxy. Kontrola autentizace a session managementu v ZAP.
    5. Ukázka zneužití pomocí SQL injection a Shell Command injection. Zásady, jak se vyhnout útokům typu SQL injection. Ukázka použití nástroje sqlmap a phpadmin.
    6. Zneužívání a kontrola vstupu dat od uživatelů. Útoky typu Cross-site Request Forgery a Cross Site Scripting (XSS).
    7. Kontrola zabezpečení HTTPS na WWW serveru pomocí ručních nástrojů v Kali a z Internetu (SSL Labs, Securityheaders.com a dalších)
Časový rozvrh:
3 dny (9:00hod. - 17:00hod.)
Cena za osobu:
15 900,00 Kč (19 239,00 Kč včetně 21% DPH)

Vybrané zákaznické reference

SATTURN HOLEŠOV spol. s r. o., Pavel M.
Bezpečnost v prostředí webových aplikací (dle OWASP TOP10) ( BZP5)
"Velice cením praktické zkušenosti lektora."