Kód kurzu: GOC542« Krok zpět

Zranitelnosti webových aplikací 2 - Útoky proti serverům

Toto školení vás zasvětí do tajů webhackingu a zranitelností webových aplikací, které umožňují útočit na aplikační servery a na nich uložená data. Školení Vám umožní do detailu pochopit a v praxi si vyzkoušet metody, které běžně používají útočníci. Zranitelnosti webových aplikací umožňující útoky na server patří mezi nejzávažnější hrozby a důkladně by s nimi měli proto být seznámeni všichni vývojáři a provozovatelé webových aplikací. Vzhledem k tomu, že zneužití tohoto typu zranitelností vede často ke kompletnímu převzetí kontroly nad cílovým systémem, měli byste se s nimi seznámit a otestovat si bezpečnost svých webových aplikací dříve, než to za vás udělá nevítaný vetřelec. Vše, co k tomu budete potřebovat, Vás naučíme na tomto praktickém kurzu.

 DatumDnůCena kurzuCena materiálůJazyk výukyLokalita 
25.1.2021 5 31 000 CZK v ceně kurzu Český jazyk GOPAS Praha
 
19.4.2021 5 31 000 CZK v ceně kurzu Český jazyk GOPAS Praha
 
21.6.2021 5 31 000 CZK v ceně kurzu Český jazyk GOPAS Praha
 
1.3.2021 5 31 000 CZK v ceně kurzu Český jazyk GOPAS Brno
 
25.1.2021 5 1 200,00 EUR v ceně kurzu Český jazyk Bratislava GOPAS Online
 
19.4.2021 5 1 200,00 EUR v ceně kurzu Český jazyk Bratislava GOPAS Online
 
21.6.2021 5 1 200,00 EUR v ceně kurzu Český jazyk Bratislava GOPAS Online
 

PobočkaDnůCena kurzuCena materiálůITB
Praha5 31 000 CZK v ceně kurzu 75
Brno5 31 000 CZK v ceně kurzu 75
Bratislava5 1 200,00 EUR v ceně kurzu 75

Pro koho je kurz určen

Kurz je určen vývojářům a provozovatelům webových aplikací, kteří chtějí porozumět postupům útočníků při napadání webových aplikací. Na mnoha praktických ukázkách si vyzkoušíme postupy útočníků, při nichž dochází ke kompromitaci serveru a databází.

Postupy probírané na tomto kurzu cílí primárně na technologie Apache, PHP a MySQL. Protože se ale dají představené principy často aplikovat i na jiné technologie, doporučujeme návštěvu kurzu každému, kdo se chce seznámit s praktikami útočníků a chce získat správné bezpečnostní návyky při vývoji a provozu webových aplikací a serverů.

Co vás naučíme

Náš jedinečný kurz Webhacking v praxi 2 – útoky proti serverům vám umožní do detailu pochopit a hlavně si na praktických příkladech vyzkoušet metody, kterých běžně využívají útočníci během útoků na webové servery a aplikace. V průběhu kurzu si postupně vysvětlíme vše, co potřebujete znát pro obranu proti těmto útočným technikám.

Požadované vstupní znalosti

Kurzu se může zúčastnit každý, kdo má základní znalosti technologií HTTP, HTML a SQL.

Metody výuky

Odborný výklad s praktickými ukázkami, cvičení na počítačích.

Studijní materiály

Tištěná prezentace probírané látky

Osnova kurzu

Průzkum prostředí
    • Identifikace použitých technologií
    • Web Crawling / Spidering
    • Hledání neveřejných zdrojů
    • Repozitáře
    • Open Directory listing
    • IIS Tilde File Enumerate
    • Apache Multiviews File Enumerate
    • HTTP metody

Exploitace použitých technologií
    • Guessing
    • Hledání exploitů
    • Použití exploitů
    • Post exploitace
    • Shelly

Zranitelnosti a útoky na SSL
    • Zranitelnosti jednotlivých šifrovacích algoritmů
    • Heartbleed
    • Poodle
    • BEAST
    • CRIME
    • BREACH
    • a další

Útoky na data
    • Chybějící / Nedostatečná autorizace
    • Přímý přístup k objektům
    • Únik dat při redirektu
    • Forced Browsing

Útoky na databázi
    • Union-Based SQL injection
    • Boolean-Based SQL injection
    • Error-Based SQL injection
    • Time-Based SQL injection
    • Stacked SQL injection
    • Stored / Second-order SQL injection
    • DNS exfiltration
    • Multibyte SQL injection
    • SQL injection via binary hash
    • Local File Disclosure via SQL injection
    • Command execute via SQL injection
    • SQL Truncation

Crackování hashů
    • Hashovací algoritmy
    • Solení
    • Crackování hashů
    • Brute Force / Dictionary attack / Rainbow tables

Zranitelnosti XML parserů
    • Denial of Services via XML
    • Local File Disclosure via XML
    • Command Execution via XML
    • XML injection
    • LDAP injection
    • XPATH injection

Code Execution
    • Nezabezpečený upload
    • Nezabezpečený download
    • Local File Disclosure
    • Remote File Inclusion (RFI)
    • Local File Inclusion (LFI)
    • LFI via file upload
    • LFI via session storage
    • LFI via environment
    • LFI via log
    • LFI via phpinfo
    • Function Injection
    • PHP Object Injection
    • Code Execution
    • Command Execution
    • WebDav a zneužití HTTP metod
    • PHP-CGI vulnerability
    • SSI Injection

Podíváme se i na další útoky...
    • Zneužití webserveru jako proxy
    • HTTP request smuggling
    • Privilege escalation / autorization bypass skrz cookie
    • HTTP Request hlavičky
    • Host Header Injection
    • Napadení Session Storage
    • Local Session Injection
    • Session Puzzling
    • ZIP bomby a DoS
    • Útoky na sdílených serverech
    • Server-Side Request Forgery (SSRF)
    • Zranitelnost Shellshock

Tištěné nebo elektronické studijní materiály GOPAS

Cena:
v ceně kurzu
Uvedené ceny jsou bez DPH.