Webangreb og forsvar

En unik professionel med hensyn til kvalifikationer og erfaring, en førende underviser inden for computernetværkssikkerhed.

Ekspert underviser i Oracle og Java kurser. Oracle Certified Specialist, Candidate of Technical Sciences. Han er kendetegnet ved sin mangfoldige erfaring med praktiske og undervisningsmæssige aktiviteter.
I 2003 dimitterede Alexey Anatolyevich med udmærkelse fra MIREA. I 2006 forsvarede han sin ph.d.-afhandling om emnet opbygning af sikre automatiserede informationssystemer.
En stor specialist inden for databasesikkerhed, opbygning af sikre java- og webapplikationer til Oracle DBMS og SQL Server, udvikling af lagrede programmoduler i PL/SQL og T-SQL. Automatiserede store statsejede virksomheders aktiviteter. Yder rådgivning og rådgivning inden for udvikling af komplekse distribuerede webapplikationer baseret på Java EE platformen.
Alexey Anatolyevichs undervisningserfaring i postgraduate uddannelsessystemet overstiger 7 år. Arbejdede med erhvervskunder, uddannede medarbejdere i virksomhederne "BANK PSB", "Internet University of Information Technologies (INTUIT)", "SINTERRA".
Forfatter til flere pædagogiske og metodiske manualer om programmering og arbejde med databaser. Fra 2003 til 2005 var Alexey Anatolyevich engageret i tilpasning og teknisk oversættelse af udenlandsk litteratur om webprogrammering og arbejde med databaser. Udgivet over 20 videnskabelige artikler.
Taknemmelige kandidater bemærker uvægerligt den tilgængelige måde at præsentere selv de mest komplekse emner på, detaljerede svar på spørgsmål fra studerende og overfloden af ​​levende eksempler fra lærerens professionelle praksis.

Modul 1. Hjemmesidekoncepter (2 ac. h.)

- Principper for drift af webservere og webapplikationer
-Principper for websteds- og webapplikationssikkerhed
- Hvad er OWASP
-OWASP Top 10 klassifikationsoversigt
-Introduktion til værktøjer til at udføre angreb
- Laboratorieopsætning

Modul 2. Injektioner (4 ac. h.)

-Hvad er injektioner, og hvorfor er de mulige?
-HTML indsprøjtning
-Hvad er iFrame
-iFrame indsprøjtning
- Hvad er LDAP
-LDAP injektion
-Hvad er mailheadere
-Injektioner i posthoveder
-Injektion af styresystemets kommando
-PHP-kodeinjektion
-Hvad er serversideinkluderinger (SSI)
-SSI injektioner
-Structured Query Language (SQL) koncepter
-SQL-injektion
-Hvad er AJAX/JSON/jQuery
-SQL-injektion i AJAX/JSON/jQuery
- Hvad er CAPTCHA
-SQL-injektion uden om CAPTCHA
-SQLite indsprøjtning
-Eksempel på SQL-injektion i Drupal
-Hvad er lagrede SQL-injektioner
- Lagrede SQL-injektioner
- Lagrede SQLite-injektioner
-XML-koncepter
- Lagret SQL-injektion i XML
-Brug af User-Agent
-SQL-injektion i feltet User-Agent
-Blind SQL-injektioner på et logisk grundlag
-Blind SQL-injektioner på midlertidig basis
-Blinde SQLite-injektioner
- Hvad er Object Access Protocol (SOAP)
-Blind SQL-injektion i SOAP
-XML/XPath-injektion

Modul 3. Hacking-godkendelse og session (2 ac. h.)

- Omgå CAPTCHA
- Angreb på adgangskodegendannelsesfunktionalitet
-Angreb på login-formularer
-Angreb på udgangskontrol
-Angreb på adgangskoder
-Brug af svage adgangskoder
-Brug af en universel adgangskode
-Angreb på administrative portaler
-Angreb på cookies
-Angreb på at sende sessions-id'et i URL'en
-Session fiksering

Modul 4. Lækage af vigtige data (2 ac. h.)

-Bruger Base64-kodning
-Åben transmission af legitimationsoplysninger via HTTP
-Angreb på SSL BEAST/KRIMINALITET/BRØD
- Angreb på Heartbleed-sårbarhed
-POODLE sårbarhed
-Lagring af data i HTML5 weblager
-Brug af forældede versioner af SSL
- Lagring af data i tekstfiler

Modul 5. Eksterne XML-objekter (2 ac. h.)

- Angreb på eksterne XML-objekter
-XXE angreb ved nulstilling af adgangskode
-Angreb på sårbarhed i login-form
-Angreb på sårbarhed i søgeform
- Denial of service-angreb

Modul 6. Overtrædelse af adgangskontrol (2 ac. h.)

-Et eksempel på et angreb på et usikkert direkte link ved ændring af en brugers adgangskode
-Et eksempel på et angreb på et usikkert direkte link ved nulstilling af en brugers adgangskode
-Et eksempel på et angreb på et usikkert direkte link ved bestilling af billetter i en netbutik
-Directory Traversal i mapper
-Mappegennemgang i filer
-Angreb på Host-headeren, der fører til cacheforgiftning
-Angreb på Host-header, der fører til nulstilling af adgangskode
-Inklusiv lokal fil i SQLiteManager
-Aktiver lokal eller ekstern fil (RFI/LFI)
-Enhedsbegrænsningsangreb
- Angreb med begrænsning af katalogadgang
-SSRF angreb
- Angreb på XXE

Modul 7. Usikker konfiguration (2 ac. h.)

-Principper for konfigurationsangreb
- Tilfældig adgang til filer i Samba
- Flash-politikfil på tværs af domæner
-Delte ressourcer i AJAX
-Cross-Site Tracing (XST)
- Denial of Service (Large Chunk Size)
- Denial of Service (Slow HTTP DoS)
- Denial of Service (SSL-udmattelse)
- Denial of Service (XML Bomb)
- Usikker DistCC-konfiguration
- Usikker FTP-konfiguration
- Usikker NTP-konfiguration
- Usikker SNMP-konfiguration
- Usikker VNC-konfiguration
- Usikker WebDAV-konfiguration
-Eskalering af lokale privilegier
-Man in the Middle Attack i HTTP
-Man in the Middle Attack i SMTP
- Usikker opbevaring af arkiverede filer
- Robots fil

Modul 8. Cross-site scripting (XSS) (3 ac. h.)

-Afspejlet XSS i GET-anmodninger
-Afspejlet XSS i POST-anmodninger
-Afspejlet XSS til JSON
-Afspejlet XSS i AJAX
Afspejlet XSS i XML
-Afspejlet XSS i returknappen
-Afspejlet XSS i Eval-funktionen
-Afspejlet XSS i HREF-attribut
-Afspejlet XSS i login-form
-Eksempel på reflekteret XSS i phpMyAdmin
-Afspejlet XSS i PHP_SELF variabel
-Afspejlet XSS i Referer-headeren
-Afspejlet XSS i User-Agent header
-Afspejlet XSS i brugerdefinerede overskrifter
-Gemmet XSS i blogindlæg
- Lagret XSS ved ændring af brugerdata
- Lagret XSS i cookies
- Lagret XSS i SQLiteManager
- Lagret XSS i HTTP-headere

Modul 9. Usikker deserialisering (2 ac. h.)

-Demonstration af PHP objektinjektion
-Bagdørsinjektion under deserialisering
- Usikker deserialisering i JavaScript

Modul 10. Brug af komponenter med kendte sårbarheder (2 ac. h.)

-Lokale bufferoverløbsangreb
-Fjern bufferoverløbsangreb
-SQL-injektion i Drupal (Drupageddon)
- Hjerteblødningssårbarhed
- Fjernudførelse af kode i PHP CGI
-Angreb på PHP Eval funktion
-Sårbarhed i phpMyAdmin BBCode Tag XSS
-Shellshock sårbarhed
-Tilslutning af en lokal fil i SQLiteManager
-Injektion af PHP-kode i SQLiteManager
-XSS i SQLiteManager

Modul 11. Manglende logning og overvågning (1 ac. h.)

-Eksempel på utilstrækkelig logning
-Eksempel på logningssårbarhed
- Et eksempel på utilstrækkelig overvågning