WEB HACKING: įveikti internetą

Trukmė: 3 dienos

Kaina: 1950 Lt

Aprašymas

Lietuvoje vyrauja nuomonė, kad apsaugoti įmonės informacinių technologijų sistemas nuo kompiuterinių įsilaužėlių (hakerių) pakanka įdiegti ugniasienę ir antivirusines sistemas. Tačiau šios ir panašios priemonės visiškai neveiksmingos prieš tinklalapių saugumo problemas. O dažna įmonė jau nebeapsiriboja vien tik reprezentaciniu savo tinklalapiu, tačiau dažnai į internetą perkelia ir dalį savo verslo. Būtent dėl to įsilaužėlių taikiniu tampa tinklalapiai. Tyrimų kompanijos Gartner duomenimis, 75% įsilaužimų įvyksta pasinaudojant nesaugiais tinklalapiais. Kitaip nei kitai programinei įrangai, tinklalapiui dažnai tiesiog negalima atsisiųsti ir įdiegti saugumo spragos pataisymo. Kovodami su šia problema, pristatome "WEB HACKING: įveikti internetą" mokymus, nagrinėjančius tinklalapių, web servisų ir kitų HTTP protokolo pagrindu veikiančių sistemų saugumo problemas.

Kursas skirtas

▪ web programuotojai;
▪ tinklo administratoriai;
▪ IT saugumo specialistai;
▪ IT vadovai;
▪ entuziastai, besidomintys IT saugumu.

Kurso tikslas

Dalyvaudami šiuose kursuose Jūs perprasite įsilaužėlių naudojamą metodiką, išmoksite mąstyti kaip įsilaužėlis ir veikti kaip įsilaužėlis. Jūs sužinosite:
▪ kaip aptinkami įmonės interneto resursai;
▪ kaip surandamos spragos serveriuose ir kitoje įrangoje;
▪ kaip tyrinėti tinklalapius ir ieškoti trūkumų juose;
▪ kaip nustatyti pažeidžiamumus neaplankant tinklalapio;
▪ kaip išnaudoti aptiktas spragas (pigiau „apsipirkti“ interneto parduotuvėje :) ;
▪ kaip išgauti ar modifikuoti duomenis, pasiekti duomenų bazes;
▪ kaip sukelti atsisakymo aptarnauti (Denial-of-Service) atakas;
▪ sužinosite kas yra CSRF, Blind SQL Injection, XSS, HTTP Splitting, Cookie Poisoning bei kitokios kasdienės „baisybės“;
▪ kaip nuo viso to apsisaugoti.
Kursų metu daug dėmesio skiriama praktiniams užsiėmimams, todėl susipažinsite ne tik su teorija, bet ir įgausite praktikos.

Kursų turinys

Kursus sudaro dvi dalys. Abiejų dalių metu pateikiama daug ne tik teorinės medžiagos, bet ir praktinių užduočių, kurias dalyviai atlieka savarankiškai arba kartu su dėstytoju. Mokymų metu pavyzdžiai pateikiami su Lietuvos kompanijomis ir sistemomis. Nors mokymai ir orientuoti į tinklalapius, tačiau jie negali veikti be operacinės sistemos, serverio, kompiuterinio tinklo, interneto, juos prižiūrinčių žmonių bei kitų reikalingų komponentų.

Pirmoji dalis

Šioje mokymų dalyje dalyviai sužinos daug įvairios tinklalapių laužimo technikos: kaip iš naršyklės pasiekti duomenų bazes, kaip iš paprasto XSS pažeidžiamumo sukurti visą botnet tinklą, kaip serveryje vykdyti sistemines komandas ir t.t.

Architektūra ir metodika:
▪ duomenų praradimas
▪ saugumo situacija Lietuvoje
▪ web architektūra
▪ web komponentai
▪ kas yra web aplikacijos apsauga
▪ silpnosios web vietos
▪ įsilaužimo metodika

Sistemų identifikavimas:
▪ interneto resursai, paieškos sistemos
▪ programinė įranga
▪ intuicija

Web serverio laužimas:
▪ populiariausios sistemos ir jų saugumas
▪ kur ieškoti naujienų
▪ kuo ieškoti pažeidžiamumų
▪ sukurti virusą yra paprasta
▪ slaptažodžių parinkimas
▪ Denial-of-Service
▪ sava galva
▪ naujų pažeidžiamumų paieška
▪ socialinė inžinerija
▪ kiti pažeidžiamumai

Web aplikacijos analizė:
▪ tikslai
▪ gamintojo ir TVS nustatymas
▪ slaptų vietų aptikimas
▪ paieškos sistemos
▪ interneto resursai
▪ lokali kopija
▪ turinio analizė
▪ parametrų analizė
▪ programinė įranga

Web aplikacijos laužimas:
▪ HTTP protokolas
▪ sesijos valdymas
▪ aplikacijų trūkumai
▪ viešai neteikiami resursai
▪ klaidingas autentifikavimas ir sesijos valdymas
▪ slaptažodžių spėjimas
▪ lietuviškų slaptažodžių top 10
▪ perteklinė informacija, netinkamas klaidų apdorojimas
▪ nesaugiai saugomi duomenys
▪ nesaugios komunikacijos
▪ tiesioginis objektų pasiekimas
▪ cross site scripting
▪ cross site request forgery
▪ injekcijos
▪ sesijos nuodijimas ir failų įterpimas
▪ web servisai
▪ AJAX saugumas
▪ HTTP splitting
▪ Denial-of-Service

Pirmos dalies mokymų metu gausu praktinių užduočių. Dalyviai turės apie 30 praktinių užsiėmimų, savarankiškas užduotis, kartu su dėstytoju nagrinės įsilaužimus.

Antroji dalis

Kiekvienas dalyvis, vadovaudamasis pirmoje dalyje įgytomis žiniomis, turės tinkle aptikti paslėptą serverį, nustatyti jame veikiančias tarnybas, įvertinti serverio operacinės sistemos ir veikiančių tarnybų saugumą bei išnaudoti jų trūkumus. Vėliau dalyvis turės pasirinkti kuo būti – įsilaužėliu ar saugumo auditoriumi. Ir vienam, ir kitam teks ištyrinėti nesaugų banką, surinkti įvairią informaciją ir rasti kuo daugiau pažeidžiamumų arba gauti pinigus iš svetimos sąskaitos ir pakeisti tinklalapio išvaizdą (angl. deface). Taip pat dalyviai detaliau susipažins su socialinės inžinerijos psichologiniais spąstais bei informacijos vadybos sistema kaip apsaugos priemone. Šios dalies didžiąją dalį sudaro praktiniai užsiėmimai.

Praktinis tinklo auditas:
▪ serverių ir aplikacijų aptikimas
▪ serverių ir aplikacijų pažeidžiamumų nustatymas
▪ web sistemų aptikimas
▪ pažeidžiamumų išnaudojimas

Socialinė inžinerija:
▪ tikslas
▪ prasmė
▪ būdai ir metodai
▪ apsaugos priemonės

Informacijos saugos vadybos sistema:
▪ informacija, informacinės vertybės
▪ informacijos apsauga
▪ informacijos apsaugos principai
▪ informacijos apsaugos ISO standartai

Web Hacking banko laužimas:
▪ aplikacijos analizė
▪ silpnų vietų aptikimas
▪ pažeidžiamumų išnaudojimas

Rekomenduojamos dalyvių pradinės žinios

▪ tinklalapių kūrimo principų žinojimas;
▪ bendros žinios apie HTML, JavaScript, SQL ir HTTP;
▪ Windows arba Linux sistemų pagrindai.

Kiekvienas dalyvis gaus kursams pritaikytą Linux distribuciją DVD diske ir kursuose dėstomos medžiagos skaidres. Dalyvis diske ras ne tik mokymų metu naudojamą programinę įrangą, bet ir papildomos video medžiagos.