Kiểm thử bảo mật ứng dụng web theo chuẩn OWASP

  24/06/2016

Khóa học dành cho ai ?

  • Chuyên viên quản trị ứng dụng web. 

  • Chuyên viên quản trị mạng, hệ thống máy chủ dịch vụ web. 

  • Chuyên viên phân tích bảo mật. 

  • Lập trình viên muốn hiểu được các lỗi bảo mật của ứng dụng web. 

  • Quản trị viên hệ thống hoặc các bạn sinh viên đam mê về bảo mật và các kỹ thuật tìm và khai thác lỗi. 


Thời lượng: 40 giờ 


Mục tiêu khóa học

  • Trang bị cho học viên kiến thức tổng quan về các hướng kiểm tra bảo mật. 

  • Trang bị cho học viên các kiến thức chi tiết về các lỗ hổng bảo mật phổ biến trên web hiện nay. 

  • Trang bị cho học viên có khả năng tự tìm và khai thác các lổ hổng bảo mật. 


Yêu cầu đầu vào của học viên

  • Có kiến thức về mạng, các giao thức mạng như HTTP và HTTPS. 

  • Có kiến thức và sử dụng được ít nhất một ngôn ngữ lập trình như PHP, Python, 
JSP. 

  • Có kiến thức về cơ sở dữ liệu và truy vấn bằng ngôn ngữ SQL. 


Nội dung khóa học 


  • Giới thiệu về kiểm tra bảo mật Web.
  • Nhận dạng hệ thống và nền tảng ứng dụng Web.
  • Nhận dạng các điểm yếu từ cấu hình SSL.
  • Nhận dạng các điểm yếu từ phần cấu hình.
  • Các công cụ Spider.
  • Google Hacking.
  • Phân tích Function flow và Data flow.
  • Tổng quan các kỹ thuật tìm kiếm lỗ hổng.
  • Sử dụng web proxy để phát hiện và thẩm tra các lỗ hổng.
  • Sử dụng Burp Suite.
  • Tìm kiếm các thông tin bị rò rỉ từ ứng dụng.
  • Thu thập các thông tin về tài khoản người dùng.
  • Directory Traversal.
  • SQL Injection Cơ bản.
  • Blind SQL Injection.
  • XXE Injection.
  • Code Injection.
  • Các kỹ thuật khai thác từ các lỗ hổng injection.
  • Cross Site Scripting.
  • Cross Site Request Forgery.
  • Các kỹ thuật khai thác từ lỗ hổng XSS, CSRF.
  • Kỹ thuật khai thác lỗi ở client-side (BeEF).
  • Session Fixation.
  • Session Vulnerabilities.
  • Tìm kiếm và khai thác các đối tượng được tham chiếu không an toàn.
  • Tìm kiếm và khai thác các lỗ hổng về thao tác file.
  • Các lỗ hổng liên quan đến redirect và forward.
  • Một số tình huống phối hợp các kiểu lỗ hổng để chiếm quyền hệ thống.
  • Lab cuối khoá: Capture The Flag.

Bình luận