Trukmė: 3 dienos
Vieta: Vilnius arba nuotoliniu būdu
Mokymus veda: Vaidotas Gudaitis
Apie mokymus
Tai intensyvus praktinis hakingo workshopas, kurio metu dalyviai atlieka realios web aplikacijos penetracinį testavimą. Kursas apima visą web aplikacijos saugumo testavimo ciklą – nuo perimetro analizės iki ataskaitos parengimo.
Dalyviai mokosi naudotis moderniausiais saugumo testavimo įrankiais, analizuoti pažeidžiamumus ir simuliuoti įvairaus tipo atakas. Didelis dėmesys skiriamas Burp Suite, SQL Injection ir automatizuotų įrankių taikymui.
Įvadas
Mokymai pradedami nuo pagrindinių web aplikacijų architektūrų apžvalgos, siekiant suprasti atakos paviršių bei platformų skirtumus.
Temos:
- Web aplikacijų platformos: Node.js, ASP.NET Core, Java EE, LAMP
- Tipiniai sistemų komponentai ir jų sąveika
- Potencialių silpnų vietų įvadas
Perimetro analizė
Šiame etape atliekama išorinė aplikacijos analizė – serverių identifikavimas, viešai prieinamos informacijos surinkimas, tinklo ir paslaugų struktūros analizė.
Temos:
- Web serverio identifikavimas
- nmap scripting
- Duomenų surinkimas naudojant Shodan API, Censys API
- Pažeidžiamumų išnaudojimo galimybės per Metasploit
Web serverio ir SSL pažeidžiamumai
Analizuojami serverio saugumo spragos ir SSL konfigūracijos klaidos.
Temos:
- Exploit paieška, CVE registras
- SSL pažeidžiamumai: Perfect Forward Secrecy trūkumai
- sslscan, OpenSSL, SSL stripping metodai
Web aplikacijų pažeidžiamumų analizė
Mokymų metu naudojami populiariausi web saugumo analizės įrankiai. Dalyviai mokosi fiksuoti ir interpretuoti aplikacijų elgseną.
Temos:
- Chrome debug tools
- Burp Suite (intercepting proxy, repeater, intruder)
- Fiddler
Sesijų saugumas
Analizuojamos HTTP sesijų apsaugos problemos ir JSON Web Token (JWT) pažeidžiamumai.
Temos:
- Sesijų perėmimo scenarijai
- Netinkamas JWT naudojimas ir jų pažeidžiamumai
Atakavimo praktika
Praktinė dalis, kurioje dalyviai atlieka tipiškas atakas, remiantis OWASP rekomendacijomis.
Temos:
- Errors and configuration disclosure
- Cross-Site Scripting (XSS)
- Form tampering
- SQL Injection
- Cross-Site Request Forgery (CSRF)
- Denial of Service (DOS/DDOS) atakų pagrindai
Duomenų bazių analizė
Testavimo metu atliekama aplikacijos sąveikos su duomenų baze analizė.
Temos:
- SQLMap naudojimas
- Duomenų bazės struktūros nustatymas ir schema extraction
Automatizuota pažeidžiamumų analizė
Naudojami automatizuoti įrankiai, skirti pažeidžiamumų aptikimui ir testavimo apimties išplėtimui.
Temos:
- Netsparker
- Acunetix
- OpenVAS
Apkrovimo testavimas
Vertinama, kaip web aplikacija reaguoja į padidintą apkrovą ir kiek jos saugumo sprendimai išlieka veiksmingi streso sąlygomis.
Pentest ataskaitos paruošimas
Mokymų pabaigoje dalyviai rengia saugumo testavimo ataskaitą, remiantis OWASP metodika.
Temos:
- OWASP Top 10 (2017) analizė
- Rizikų įvertinimas
- Rekomendacijų pateikimas sistemų administratoriams ar kūrėjams