Bądź: Wyszukaj na stronie z użyciem Google
reklama:

poniedziałek, 10 stycznia 2011

Patronat: Szkolenie z bezpieczeństwa aplikacji www

Autor: , 13:33, poniedziałek, 10 stycznia 2011


Fot: DaveBleasdale
Objęliśmy patronatem medialnym kolejne szkolenia Securitum dotyczące bezpieczeństwa aplikacji www.

Tematyka jest jak najbardziej aktualna, a czytelnicy tego bloga mogą dodatkowo uzyskać upust 150 zł od ceny szkolenia. Wystarczy podczas rejestracji podać hasło będące jednocześnie nazwą bloga: "UbuCentrum.net".

Plan całości wygląda następująco:

Wykrywanie i wykorzystywanie podatności - warsztaty

  • LDAP injection (wariant w systemach Linux oraz Windows)
  • XPATH injection
  • OS Command injection (4 warianty)
  • Path traversal - wykonanie kodu w systemie operacyjnym - korzystając ze zmiennych środkowiskowych
  • XSS - omijanie filtrów
Zaawansowane ataki SQL injection - warsztaty

  • Atak na podatność SQL injection zawarty w procedurze składowanej
  • Second order SQLi
  • Omijanie filtrów
  • Przygotowanie prostego skryptu wykorzystującego blind SQLi
  • Przykłady na trzech różnych wersjach baz danych
Ataki na system uwierzytelnienia i autoryzacji - warsztaty

  • Badanie kilku aspektów bezpieczeństwa ścieżki logowania
  • Badanie wykorzystanych mechanizmów autoryzacji
  • Badanie statystyczne losowości identyfikatorów sesji
  • Techniki bruteforce
Bezpieczeństwo AJAX - warsztaty

  • Ataki klasyczne
  • JSON hacking
Zaawansowane funkcje oprogramowania Burp Suite Pro - warsztaty

  • Fuzzing (moduł intruder)
  • Intruder w kontekście automatycznego wykorzystania podatności
  • Automatyczne wykrywanie podatności (moduł scanner)
  • Dekodowanie AMF / ViewState
  • Information gathering z wykorzystaniem burp-a (kilka technik)
Konfiguracja systemu WAF (web application firewall) - warsztaty

  • Na przykładzie mod_security
  • Ochrona przed jednym z wcześniej realizowanych ataków
  • Metody reakcji na atak
  • Podstawy realizacji testów penetracyjnych klasy whitebox (analiza kodu źródłowego)
  • Wstęp teoretyczny
  • Ręczna analiza kodu źródłowego wybranej - realnej - aplikacji
  • Przygotowanie proof of concept
Całościowy test bezpieczeństwa na aplikację w LAB - warsztaty

  • Wykrycie kilku klas podatności
  • Wskazanie metod ochrony
Szkolenie przeprowadzi Michał Sajdak - konsultant w firmie Securitum. Więcej informacji na ten temat można znaleźć na stronie Securitum.pl.

Dodatkowo polecamy także szkolenie z testów penetracyjnych systemów IT.
blog comments powered by Disqus

Prześlij komentarz


Popularne posty

Etykiety