Цел на курса Сигурност за разработчици е да ви помогне да овладеете техниките и методологията на хакерството (етика), които се използват при проникване в системи. Курсът е предназначен за IT ентусиасти, мрежови и системни инженери, служители по сигурността.
За да се предпазите от хакери, трябва да мислите като хакер.
Това обучение се основава на практически подход към ежедневни ситуации и включва лаборатории, базирани на реални среди. За демонстрации/лаборатории се предоставят целеви виртуални машини.
Целта на курса е да ви помогне да се научите да овладеете (етичните) хакерски техники и методология, които се използват при проникване в системи. Курсът е предназначен за ИТ ентусиасти, мрежови и системни инженери, служители по сигурността.
По-долу са основните теми, както теоретични, така и практически, на този курс:
Основни проблеми (Причини. Защити)
Уеб технологии (HTTP протокол, уеб функционалност, кодиране)
Картографиране (паяк и анализиране)
Атака за удостоверяване (технологии, недостатъци, поправки, груба сила)
Атакуващо управление на сесии (състояние, токени, пропуски)
Атакуващи контроли за достъп (често срещани уязвимости, атаки)
Атакуване на хранилища за данни (SQL инжектиране, заобикалящи филтри, ескалация)
Заобикаляне на контроли от страна на клиента (прихващане на браузър, прихващане на HTML, корекции)
Атакуване на сървъра (инжектиране на команда на ОС, преминаване на пътя, инжектиране на поща, качване на файл)
Атакуваща логика на приложението
Скриптове между сайтове
Атакуващи потребители (CSRF, ClickJacking, HTML инжектиране)
Демонстрации:
Spidering, анализатор на уебсайтове
Груба сила
Отвличане на сесия чрез Mann-in-The-Middle
Вземете пароли за Gmail или Facebook чрез SSLStrip
SQL Injection
Качване на файл и отдалечено изпълнение
Скриптове между сайтове (съхранени + отразени, предотвратяване на XSS)
CSRF (Промяна на паролата чрез CSRF vuln., Предотвратяване на CSRF)
Предимно разработчици и софтуерни архитекти.
Но също толкова полезен за системни администратори, технически мениджъри и CISO.
- Развиване на "нестандартно" мислене.
- Вижте сигурността от офанзивна гледна точка
- Научете най-добрите практики за сигурност и (повечето и най-малко) често срещаните атаки
- Научете как да защитите вашите приложения и инфраструктура
- Научете концепции за безопасно кодиране
Познаване на концепциите за безопасно кодиране
Общ преглед на теста за уеб проникване
Десетте най-добри уеб уязвимости на OWASP
Технически мерки и най-добри практики
OWASP Топ 10 на мобилните уязвимости
HTTP заглавки за сигурност
JSON уеб токени
Сигурно кодиране – стандарт за проверка на сигурността на OWASP приложения (ASVS)
Уязвимости на по-малко известни уеб приложения
Моделиране на заплахи (по избор)
Сертифициран етичен хакер
Сигурност за разработчици
