Atacul web și apărare

Un profesionist unic din punct de vedere al calificărilor și experienței, un profesor de frunte în domeniul Securității Rețelelor de Calculatoare.

Profesor expert în cursuri Oracle și Java. Oracle Certified Specialist, candidat la științe tehnice. Se remarcă prin experiența sa diversă în activități practice și didactice.
În 2003, Alexey Anatolyevich a absolvit cu onoare MIREA. În 2006, și-a susținut teza de doctorat pe tema construirii sistemelor informatice automatizate sigure.
Un specialist major în domeniul securității bazelor de date, construirea de aplicații securizate java și web pentru Oracle DBMS și SQL Server, dezvoltarea modulelor de programe stocate în PL/SQL și T-SQL. Automatizarea activităților marilor întreprinderi de stat. Oferă servicii de consultanță și consultanță în dezvoltarea de aplicații web complexe distribuite bazate pe platforma Java EE.
Experiența de predare a lui Alexey Anatolyevich în sistemul de învățământ postuniversitar depășește 7 ani. A lucrat cu clienți corporativi, angajați instruiți ai companiilor „BANK PSB”, „Internet University of Information Technologies (INTUIT)”, „SINTERRA”.
Autor a mai multor manuale educaționale și metodologice privind programarea și lucrul cu baze de date. Din 2003 până în 2005, Alexey Anatolyevich a fost angajat în adaptarea și traducerea tehnică a literaturii străine despre programarea web și lucrul cu baze de date. A publicat peste 20 de lucrări științifice.
Absolvenții recunoscători notează în mod invariabil modalitatea accesibilă de prezentare chiar și a celor mai complexe subiecte, răspunsurile detaliate la întrebările studenților și abundența de exemple vii din practica profesională a profesorului.

Modulul 1. Concepte de site-uri web (2 ac. h.)

-Principii de funcționare a serverelor web și a aplicațiilor web
-Principii de securitate a site-urilor web și a aplicațiilor web
-Ce este OWASP
-Prezentare generală a clasificării OWASP Top 10
-Introducere în instrumentele pentru efectuarea atacurilor
-Configurarea laboratorului

Modulul 2. Injecții (4 ac. h.)

-Ce sunt injecțiile și de ce sunt posibile?
-injectare HTML
- Ce este iFrame
-injectie iFrame
-Ce este LDAP
-injecție LDAP
-Ce sunt anteturile de e-mail
-Injectii in anteturile mailului
-Injectarea comenzii sistemului de operare
-Injectarea codului PHP
-Ce sunt incluziunile pe partea serverului (SSI)
-injecții SSI
-Concepte SQL (Structured Query Language).
-Injectie SQL
-Ce este AJAX/JSON/jQuery
-Injectare SQL în AJAX/JSON/jQuery
-Ce este CAPTCHA
-Injecția SQL ocolind CAPTCHA
-Injectie SQLite
-Exemplu de injectare SQL în Drupal
-Ce sunt injecțiile SQL stocate
-Injectii SQL stocate
-Injecții SQLite stocate
-Concepte XML
-Injectare SQL stocată în XML
-Utilizarea User-Agent
-Injectare SQL în câmpul User-Agent
-Injecții SQL oarbe pe o bază logică
-Injecții SQL oarbe pe o bază temporară
-Injectii SQLite oarbe
- Ce este Object Access Protocol (SOAP)
-Blind SQL Injection in SOAP
-Injecție XML/XPath

Modulul 3. Hacking autentificare și sesiune (2 ac. h.)

-Ocoliți CAPTCHA
-Atacul asupra funcției de recuperare a parolei
-Atacul asupra formularelor de autentificare
-Atacul asupra controlului ieșirii
-Atacuri asupra parolelor
-Utilizarea parolelor slabe
- Folosirea unei parole universale
-Atacuri asupra portalurilor administrative
-Atacuri la cookie-uri
-Atacuri la transmiterea ID-ului sesiunii în URL
-Fixarea sesiunii

Modulul 4. Scurgerea datelor importante (2 ac. h.)

- Folosind codificarea Base64
-Transmiterea deschisă a acreditărilor prin HTTP
-Atacuri pe SSL BEAST/CRIME/BREACH
-Atacul asupra vulnerabilității Heartbleed
-Vulnerabilitatea POODLE
- Stocarea datelor în stocarea web HTML5
- Utilizarea versiunilor învechite de SSL
- Stocarea datelor în fișiere text

Modulul 5. Obiecte XML externe (2 ac. h.)

-Atacul asupra obiectelor XML externe
-Atacul XXE la resetarea parolei
-Atacul asupra vulnerabilității în formularul de autentificare
-Atacul asupra vulnerabilității în formularul de căutare
- Atacul de denegare a serviciului

Modulul 6. Încălcarea controlului accesului (2 ac. h.)

-Un exemplu de atac asupra unei legături directe nesigure la schimbarea parolei unui utilizator
-Un exemplu de atac asupra unei legături directe nesigure la resetarea parolei unui utilizator
-Un exemplu de atac asupra unei legături directe nesigure atunci când comandați bilete într-un magazin online
-Traversarea directorului în directoare
-Parcurgere directoare în fișiere
-Atacul asupra antetului gazdei care duce la otrăvirea cache-ului
-Atacul asupra antetului gazdei care duce la resetarea parolei
-Includerea fișierului local în SQLiteManager
-Activați fișierul local sau la distanță (RFI/LFI)
-Atacul de restricție de dispozitiv
-Atacul de restricție de acces la director
-Atacul SSRF
-Atacul asupra XXE

Modulul 7. Configurație nesigură (2 ac. h.)

-Principii ale atacurilor de configurare
-Acces aleatoriu la fișierele din Samba
- Fișier Flash de politică pe mai multe domenii
-Resurse partajate în AJAX
- Urmărirea între site-uri (XST)
-Denial of Service (Dimensiune mare a bucăților)
-Denial of Service (DoS HTTP lent)
-Denial of Service (Epuizare SSL)
-Denial of Service (bombă XML)
-Configurație DistCC nesigură
-Configurație FTP nesigură
-Configurație NTP nesigură
-Configurație SNMP nesigură
-Configurație VNC nesigură
-Configurare WebDAV nesigură
- Escaladarea privilegiilor locale
-Man in the Middle Attack în HTTP
-Man in the Middle Attack în SMTP
- Stocarea nesigură a fișierelor arhivate
-Fișierul robotilor

Modulul 8. Cross-site scripting (XSS) (3 ac. h.)

-XSS reflectat în cererile GET
-XSS reflectat în cererile POST
-XSS reflectat în JSON
-XSS reflectat în AJAX
XSS reflectat în XML
-XSS reflectat în butonul de întoarcere
-XSS reflectat în funcția Eval
-XSS reflectat în atributul HREF
-XSS reflectat în formularul de conectare
-Exemplu de XSS reflectat în phpMyAdmin
-XSS reflectat în variabila PHP_SELF
-XSS reflectat în antetul Referer
-XSS reflectat în antetul User-Agent
-XSS reflectat în anteturile personalizate
-XSS stocat în postările de blog
-XSS stocat la modificarea datelor utilizatorului
-XSS stocat în cookie-uri
-XSS stocat în SQLiteManager
-XSS stocat în antetele HTTP

Modulul 9. Deserializare nesigură (2 ac. h.)

-Demonstrație de injectare de obiecte PHP
-Injecție în ușă din spate în timpul deserializării
-Deserializare nesigură în JavaScript

Modulul 10. Utilizarea componentelor cu vulnerabilități cunoscute (2 ac. h.)

-Atacuri de depășire a tamponului local
-Atacuri de depășire a tamponului de la distanță
-Injectare SQL în Drupal (Drupageddon)
-Vulnerabilitatea Heartbleed
-Executarea codului de la distanță în PHP CGI
-Atacul asupra funcției PHP Eval
-Vulnerabilitate în phpMyAdmin BBCode Tag XSS
- Vulnerabilitatea la șoc
-Conectarea unui fișier local în SQLiteManager
-Injectarea codului PHP în SQLiteManager
-XSS în SQLiteManager

Modulul 11. Lipsa de înregistrare și monitorizare (1 ac. h.)

-Exemplu de logare insuficientă
-Exemplu de vulnerabilitate de logare
-Un exemplu de monitorizare insuficientă