Мета курсу Безпека для розробників допоможе вам опанувати техніки та методологію хакерства (етики), що використовуються для проникнення в системи. Курс розроблений для IT-ентузіастів, мережевих та системних інженерів, співробітників служби безпеки.
Щоб захистити себе від хакерів, потрібно мислити як хакер.
Це навчання базується на практичному підході до повсякденних ситуацій і містить лабораторні роботи, засновані на реальних середовищах. Для демонстрацій/лабораторій надаються цільові віртуальні машини.
Мета курсу полягає в тому, щоб допомогти вам навчитися оволодіти (етичними) техніками та методологією злому, які використовуються для проникнення в системи. Курс розрахований на IT-ентузіастів, мережевих та системних інженерів, офіцерів безпеки.
Нижче наведено основні теми, як теоретичні, так і практичні, цього курсу:
Основні проблеми (причини. Захист)
Веб-технології (протокол HTTP, веб-функціональність, кодування)
Картографування (перегляд і аналіз)
Атака автентифікації (технології, недоліки, виправлення, брутфорс)
Керування сеансом атаки (стан, маркери, недоліки)
Атака на елементи керування доступом (поширені вразливості, атаки)
Атака на сховища даних (впровадження SQL, обхід фільтрів, ескалація)
Обхід елементів керування на стороні клієнта (перехоплення браузера, перехоплення HTML, виправлення)
Атака на сервер (введення команд ОС, обхід шляху, введення пошти, завантаження файлів)
Атака на логіку програми
Перехресний сценарій
Атака на користувачів (CSRF, ClickJacking, HTML Injection)
Демонстрації:
Spidering, аналізатор веб-сайтів
Груба сила
Перехоплення сесії через Mann-in-The-Middle
Отримайте паролі Gmail або Facebook через SSLStrip
SQL-ін'єкція
Завантажте файл і віддалене виконання
Міжсайтовий сценарій (збереження + відображення, запобігання XSS)
CSRF (Зміна пароля через вразливість CSRF, запобігання CSRF)
Переважно розробники та архітектори програмного забезпечення.
Але однаково корисний для системних адміністраторів, технічних менеджерів і CISO.
- Розвиток «нестандартного» мислення.
- Подивіться на безпеку з образливої точки зору
- Ознайомтесь із найкращими методами безпеки та (найчастішими та найменшими) поширеними атаками
- Дізнайтеся, як захистити свої програми та інфраструктуру
- Вивчіть концепції безпечного кодування
Знання концепцій безпечного кодування
Огляд веб-тестування на проникнення
Десять найпопулярніших веб-вразливостей OWASP
Технічні заходи та передовий досвід
Топ-10 мобільних вразливостей OWASP
Заголовки безпеки HTTP
Веб-токени JSON
Безпечне кодування – стандарт перевірки безпеки додатків OWASP (ASVS)
Уразливості маловідомих веб-додатків
Моделювання загроз (необов'язково)
Сертифікований етичний хакер
Безпека для розробників
