A kurzus célja Biztonság fejlesztőknek célja, hogy segítsen elsajátítani a behatoló rendszerekben alkalmazott hackelési (etikai) technikákat és módszertant. A kurzus IT-rajongók, hálózati és rendszermérnökök, valamint biztonsági tisztviselők számára készült.
Ahhoz, hogy megvédje magát a hackerektől, úgy kell gondolkodnia, mint egy hacker.
Ez a képzés a mindennapi helyzetek gyakorlati megközelítésén alapul, és valós környezeteken alapuló laboratóriumokat tartalmaz. A bemutatókhoz/laboratóriumokhoz cél virtuális gépek állnak rendelkezésre.
A kurzus célja, hogy segítsen elsajátítani a behatoló rendszerekben használt (etikus) hackelési technikákat és módszertant. A kurzus IT-rajongók, hálózat- és rendszermérnökök, biztonsági tisztek számára készült.
Az alábbiakban a kurzus elméleti és gyakorlati fő témái találhatók:
Alapvető problémák (okok. védelem)
Webes technológiák (HTTP protokoll, webfunkciók, kódolás)
Térképezés (Pókozás és elemzés)
Hitelesítési támadás (technológiák, hibák, javítások, nyers erő)
Támadó munkamenet-kezelés (állapot, tokenek, hibák)
Hozzáférés-vezérlések megtámadása (gyakori sebezhetőségek, támadások)
Adattárházak megtámadása (SQL-befecskendezés, szűrők megkerülése, eszkaláció)
Az ügyféloldali vezérlők megkerülése (böngésző elfogása, HTML elfogás, javítások)
A szerver megtámadása (OS-parancs beszúrás, elérési út bejárása, levélbeillesztés, fájlfeltöltés)
Támadó alkalmazáslogika
Webhelyközi szkriptek
Felhasználók megtámadása (CSRF, ClickJacking, HTML-injekció)
Tüntetések:
Spider, Weboldal-elemző
Nyers erő
Munkamenet-eltérítés a Mann-in-The-Middle segítségével
Szerezzen be Gmail- vagy Facebook-jelszavakat az SSLStrip segítségével
SQL Injection
Fájl feltöltése és távoli végrehajtás
Webhelyek közötti szkriptelés (tárolt + tükrözött, XSS megakadályozása)
CSRF (Jelszó módosítása CSRF biztonsági réssel, CSRF megakadályozása)
Leginkább fejlesztők és szoftvertervezők.
De ugyanúgy hasznos a rendszergazdák, a műszaki vezetők és a CISO-k számára.
- "Out-of-box" gondolkodás fejlesztése.
- Tekintse meg a biztonságot támadó szemszögből
- Ismerje meg a biztonsági bevált módszereket és a (legtöbb és legkevésbé) általános támadást
- Ismerje meg, hogyan védheti meg alkalmazásait és infrastruktúráját
- Ismerje meg a biztonságos kódolási fogalmakat
Biztonságos kódolási fogalmak ismerete
A webpenetrációs tesztelés áttekintése
Az OWASP tíz legjobb webes sebezhetősége
Technikai intézkedések és legjobb gyakorlatok
Az OWASP 10 legjobb mobil sebezhetősége
HTTP biztonsági fejlécek
JSON web tokenek
Biztonságos kódolás – OWASP Application Security Verification Standard (ASVS)
Kevésbé ismert webalkalmazások sebezhetőségei
Fenyegetés modellezés (opcionális)
Tanúsított etikai hacker
Biztonság fejlesztőknek
