Webaanval en verdediging
Gemengde Berichten / / December 05, 2023
Een unieke professional qua kwalificaties en ervaring, een toonaangevend docent op het gebied van Computer Network Security.
Hij was de eerste in Rusland die de status kreeg van een geautoriseerde instructeur in ethisch hacken. Hij is lid van de “Circle of Excellence” van ethische hackinstructeurs en heeft de status van Licensed Penetration Tester (Master). In zijn lessen heerst een sfeer van een echte viering van kennis, ervaring en vaardigheid. Luisteraars zijn opgetogen - lees de recensies en ontdek het zelf!
Houder van 50 prestigieuze internationale certificeringen, waaronder 30 certificeringen op het gebied van informatiebeveiliging en ethisch hacken. Master in ethisch hacken en penetratietesten (gelicentieerde penetratietester-master). Offensive Security Certified Professional (OSCP) en Security Certified Program (SCP). Microsoft Certified Security Engineer (MCSE: Security) en gecertificeerd instructeur voor EC-Council, Microsoft en CryptoPro.
Onder leiding van Sergei Klevogin bereikte het team van het Specialist Center de finale van de World CyberOlympic Games 2015, waar ze de Olympische prijs van Champions of the Region wonnen!
Neemt regelmatig deel aan en geeft masterclasses op internationale conferenties en forums over informatiebeveiliging - Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days. Auteur en presentator van gratis seminars over hacktechnieken en penetratietesten.
Sergey Pavlovich heeft ervaring als programmeur bij het Ministerie van Defensie van de Russische Federatie, als inspecteur voor informatiebeveiliging bij de Centrale Bank van de Russische Federatie, hoofd van de afdeling Informatietechnologie bij een commerciële bank, docent aan het Moskouse Economisch en Statistisch Instituut Instituut. De ervaring van Sergei Pavlovich is zeer waardevol omdat deze zowel blijk geeft van professionele beheersing van IT-producten en -principes als van inzicht in de integratie van bedrijfsprocessen met informatietechnologieën. En het allerbelangrijkste: Sergey Pavlovich deelt zijn ervaring en kan eenvoudig en duidelijk over complexe technologieën praten.
Tijdens zijn lessen combineert Sergei Pavlovich een uitleg van theoretisch materiaal met een demonstratie van het opzetten van verschillende componenten van het systeem. De stof wordt aangevuld met details die vaak buiten het bestek van de cursus vallen (een grapje, een onverwachte leuke vraag, een grappige computertruc).
Voorbeelden vind je via de link: Hackingvideo.
Deskundige docent Oracle- en Java-cursussen. Oracle Certified Specialist, kandidaat voor technische wetenschappen. Hij onderscheidt zich door zijn uiteenlopende ervaring in praktijk- en onderwijsactiviteiten.
In 2003 studeerde Alexey Anatolyevich cum laude af aan MIREA. In 2006 verdedigde hij zijn proefschrift op het onderwerp van het bouwen van veilige geautomatiseerde informatiesystemen.
Een grote specialist op het gebied van databasebeveiliging, het bouwen van veilige java- en webapplicaties voor Oracle DBMS en SQL Server, het ontwikkelen van opgeslagen programmamodules in PL/SQL en T-SQL. Automatiseerde de activiteiten van grote staatsbedrijven. Biedt advies- en adviesdiensten bij de ontwikkeling van complexe gedistribueerde webapplicaties op basis van het Java EE-platform.
De onderwijservaring van Alexey Anatolyevich in het postdoctorale onderwijssysteem bedraagt meer dan 7 jaar. Werkte met zakelijke klanten, opgeleide medewerkers van de bedrijven "BANK PSB", "Internet University of Information Technologies (INTUIT)", "SINTERRA".
Auteur van diverse educatieve en methodologische handleidingen over programmeren en werken met databases. Van 2003 tot 2005 hield Alexey Anatolyevich zich bezig met de aanpassing en technische vertaling van buitenlandse literatuur over webprogrammering en het werken met databases. Publiceerde meer dan 20 wetenschappelijke artikelen.
Dankbare afgestudeerden merken steevast de toegankelijke manier waarop zelfs de meest complexe onderwerpen worden gepresenteerd, gedetailleerde antwoorden op vragen van studenten en de overvloed aan levende voorbeelden uit de professionele praktijk van de leraar.
Module 1. Websiteconcepten (2 ac. H.)
- Principes van de werking van webservers en webapplicaties
-Principes van website- en webapplicatiebeveiliging
-Wat is OWASP
-OWASP Top 10 classificatieoverzicht
-Inleiding tot tools voor het uitvoeren van aanvallen
-Laboratoriumopstelling
module2. Injecties (4 ac. H.)
-Wat zijn injecties en waarom zijn ze mogelijk?
-HTML-injectie
-Wat is iFrame
-iFrame-injectie
-Wat is LDAP
-LDAP-injectie
-Wat zijn e-mailheaders
-Injecties in e-mailheaders
-Besturingssysteeminjectie van commando's
-PHP-code-injectie
-Wat zijn server-side insluitsels (SSI)
-SSI-injecties
-Gestructureerde Query Language (SQL)-concepten
-SQL injectie
-Wat is AJAX/JSON/jQuery
-SQL-injectie in AJAX/JSON/jQuery
-Wat is CAPTCHA
-SQL-injectie waarbij CAPTCHA wordt omzeild
-SQLite-injectie
-Voorbeeld van SQL-injectie in Drupal
-Wat zijn opgeslagen SQL-injecties
-Opgeslagen SQL-injecties
-Opgeslagen SQLite-injecties
-XML-concepten
-Opgeslagen SQL-injectie in XML
-Gebruik van User-Agent
-SQL-injectie in het veld User-Agent
-Blinde SQL-injecties op logische basis
-Blinde SQL-injecties op tijdelijke basis
-Blinde SQLite-injecties
-Wat is Object Access Protocol (SOAP)
-Blinde SQL-injectie in SOAP
-XML/XPath-injectie
module3. Hacking-authenticatie en sessie (2 ac. H.)
- CAPTCHA omzeilen
-Aanval op de functionaliteit voor wachtwoordherstel
-Aanval op inlogformulieren
-Aanval op de outputcontrole
-Aanvallen op wachtwoorden
-Gebruik van zwakke wachtwoorden
-Een universeel wachtwoord gebruiken
-Aanvallen op administratieve portalen
-Aanvallen op cookies
-Aanvallen bij het doorgeven van de sessie-ID in de URL
- Sessiefixatie
module4. Lekkage van belangrijke gegevens (2 ac. H.)
-Gebruik van Base64-codering
-Open verzending van inloggegevens via HTTP
-Aanvallen op SSL BEAST/CRIME/BREACH
-Aanval op Heartbleed-kwetsbaarheid
-POEDEL-kwetsbaarheid
-Opslaan van gegevens in HTML5-webopslag
-Verouderde versies van SSL gebruiken
-Opslaan van gegevens in tekstbestanden
module5. Externe XML-objecten (2 ac. H.)
-Aanval op externe XML-objecten
-XXE-aanval bij het opnieuw instellen van het wachtwoord
-Aanval op kwetsbaarheid in inlogformulier
-Aanval op kwetsbaarheid in zoekformulier
-Denial of service-aanval
module6. Overtreding van toegangscontrole (2 ac. H.)
-Een voorbeeld van een aanval op een onveilige directe link bij het wijzigen van het wachtwoord van een gebruiker
-Een voorbeeld van een aanval op een onveilige directe link bij het opnieuw instellen van het wachtwoord van een gebruiker
-Een voorbeeld van een aanval op een onveilige directe link bij het bestellen van tickets in een online winkel
-Directory Traversal in mappen
-Directory traversal in bestanden
-Aanval op de Host-header die leidt tot cachevergiftiging
-Aanval op de hostheader die leidt tot het opnieuw instellen van het wachtwoord
-Inclusief lokaal bestand in SQLiteManager
- Lokaal of extern bestand inschakelen (RFI/LFI)
-Apparaatbeperkingsaanval
-Aanval op beperking van toegang tot directory's
-SSRF-aanval
-Aanval op XXE
Module 7. Onveilige configuratie (2 ac. H.)
-Principes van configuratieaanvallen
-Willekeurige toegang tot bestanden in Samba
- Flash-beleidsbestand voor meerdere domeinen
-Gedeelde bronnen in AJAX
-Cross-site-tracering (XST)
-Denial of Service (grote brokgrootte)
-Denial of Service (langzame HTTP DoS)
-Denial of Service (SSL-uitputting)
-Denial of Service (XML-bom)
-Onveilige DistCC-configuratie
-Onveilige FTP-configuratie
-Onveilige NTP-configuratie
-Onveilige SNMP-configuratie
-Onveilige VNC-configuratie
-Onveilige WebDAV-configuratie
-Lokale escalatie van privileges
-Man in the Middle-aanval in HTTP
-Man in the Middle-aanval in SMTP
-Onveilige opslag van gearchiveerde bestanden
-Robots-bestand
Module 8. Cross-site scripting (XSS) (3 ac. H.)
- Weerspiegelde XSS in GET-verzoeken
- Weerspiegelde XSS in POST-verzoeken
- Weerspiegelde XSS naar JSON
-Gereflecteerde XSS in AJAX
Gereflecteerde XSS in XML
-Gereflecteerde XSS in de retourknop
-Gereflecteerde XSS in de Eval-functie
-Gereflecteerde XSS in HREF-attribuut
-Gereflecteerde XSS in inlogformulier
-Voorbeeld van gereflecteerde XSS in phpMyAdmin
-Gereflecteerde XSS in PHP_SELF-variabele
-Gereflecteerde XSS in de Referer-header
- Weerspiegelde XSS in de header van de User-Agent
-Gereflecteerde XSS in aangepaste headers
-Opgeslagen XSS in blogposts
-Opgeslagen XSS bij het wijzigen van gebruikersgegevens
-Opgeslagen XSS in cookies
-Opgeslagen XSS in SQLiteManager
-Opgeslagen XSS in HTTP-headers
Module 9. Onveilige deserialisatie (2 ac. H.)
-Demonstratie van PHP-objectinjectie
-Backdoor-injectie tijdens deserialisatie
-Onveilige deserialisatie in JavaScript
Module 10. Het gebruik van componenten met bekende kwetsbaarheden (2 ac. H.)
-Lokale bufferoverflow-aanvallen
-Remote buffer overflow-aanvallen
-SQL-injectie in Drupal (Drupageddon)
-Heartbleed-kwetsbaarheid
-Uitvoering van code op afstand in PHP CGI
-Aanval op PHP Eval-functie
-Kwetsbaarheid in phpMyAdmin BBCode Tag XSS
-Shellshock-kwetsbaarheid
-Een lokaal bestand verbinden in SQLiteManager
-Injectie van PHP-code in SQLiteManager
-XSS in SQLiteManager
Module 11. Gebrek aan logboekregistratie en monitoring (1 ac. H.)
-Voorbeeld van onvoldoende logboekregistratie
-Voorbeeld van kwetsbaarheid bij loggen
-Een voorbeeld van onvoldoende monitoring
Je raakt vertrouwd met de internationale informatiebeveiligingsnorm ISO/IEC 27002 en krijgt praktische aanbevelingen voor het beheren van het informatiebeveiligingssysteem van een bedrijfsnetwerk conform de standaard en het nemen van complexe besluiten, waaronder: het voorkomen van incidenten op het gebied van computerbeveiliging, het creëren, implementeren, onderhouden daarvan systemen.
4,1