Web aplikacijų įsilaužimo testavimo mokymai

Trukmė: 3 dienos
Vieta: Vilnius arba nuotoliniu būdu
Mokymus veda: Vaidotas Gudaitis


Apie mokymus

Tai intensyvus praktinis hakingo workshopas, kurio metu dalyviai atlieka realios web aplikacijos penetracinį testavimą. Kursas apima visą web aplikacijos saugumo testavimo ciklą – nuo perimetro analizės iki ataskaitos parengimo.

Dalyviai mokosi naudotis moderniausiais saugumo testavimo įrankiais, analizuoti pažeidžiamumus ir simuliuoti įvairaus tipo atakas. Didelis dėmesys skiriamas Burp Suite, SQL Injection ir automatizuotų įrankių taikymui.


Įvadas

Mokymai pradedami nuo pagrindinių web aplikacijų architektūrų apžvalgos, siekiant suprasti atakos paviršių bei platformų skirtumus.

Temos:

  • Web aplikacijų platformos: Node.js, ASP.NET Core, Java EE, LAMP
  • Tipiniai sistemų komponentai ir jų sąveika
  • Potencialių silpnų vietų įvadas

Perimetro analizė

Šiame etape atliekama išorinė aplikacijos analizė – serverių identifikavimas, viešai prieinamos informacijos surinkimas, tinklo ir paslaugų struktūros analizė.

Temos:

  • Web serverio identifikavimas
  • nmap scripting
  • Duomenų surinkimas naudojant Shodan API, Censys API
  • Pažeidžiamumų išnaudojimo galimybės per Metasploit

Web serverio ir SSL pažeidžiamumai

Analizuojami serverio saugumo spragos ir SSL konfigūracijos klaidos.

Temos:

  • Exploit paieška, CVE registras
  • SSL pažeidžiamumai: Perfect Forward Secrecy trūkumai
  • sslscan, OpenSSL, SSL stripping metodai

Web aplikacijų pažeidžiamumų analizė

Mokymų metu naudojami populiariausi web saugumo analizės įrankiai. Dalyviai mokosi fiksuoti ir interpretuoti aplikacijų elgseną.

Temos:

  • Chrome debug tools
  • Burp Suite (intercepting proxy, repeater, intruder)
  • Fiddler

Sesijų saugumas

Analizuojamos HTTP sesijų apsaugos problemos ir JSON Web Token (JWT) pažeidžiamumai.

Temos:

  • Sesijų perėmimo scenarijai
  • Netinkamas JWT naudojimas ir jų pažeidžiamumai

Atakavimo praktika

Praktinė dalis, kurioje dalyviai atlieka tipiškas atakas, remiantis OWASP rekomendacijomis.

Temos:

  • Errors and configuration disclosure
  • Cross-Site Scripting (XSS)
  • Form tampering
  • SQL Injection
  • Cross-Site Request Forgery (CSRF)
  • Denial of Service (DOS/DDOS) atakų pagrindai

Duomenų bazių analizė

Testavimo metu atliekama aplikacijos sąveikos su duomenų baze analizė.

Temos:

  • SQLMap naudojimas
  • Duomenų bazės struktūros nustatymas ir schema extraction

Automatizuota pažeidžiamumų analizė

Naudojami automatizuoti įrankiai, skirti pažeidžiamumų aptikimui ir testavimo apimties išplėtimui.

Temos:

  • Netsparker
  • Acunetix
  • OpenVAS

Apkrovimo testavimas

Vertinama, kaip web aplikacija reaguoja į padidintą apkrovą ir kiek jos saugumo sprendimai išlieka veiksmingi streso sąlygomis.


Pentest ataskaitos paruošimas

Mokymų pabaigoje dalyviai rengia saugumo testavimo ataskaitą, remiantis OWASP metodika.

Temos:

  • OWASP Top 10 (2017) analizė
  • Rizikų įvertinimas
  • Rekomendacijų pateikimas sistemų administratoriams ar kūrėjams