К профилю facebook
К профилю linkedin
gallery/artage-io-thumb-9cfcd10dceda7ae2d9eb329237ac313a
gallery/screenshot_7

Security Testing OWASP TOP 10

Як зростаюча тенденція в ІТ-індустрії на кібербезпеку продуктів, що розробляються і експоненційно збільшує попит на фахівців, які розбираються в тому які методи захисту на атаки з боку шахраїв можна застосувати, щоб захистити себе від зловмисників. В рамках цього курсу, який складається з 20 годин, ви дізнаєтеся про ТОП-10 критичних веб вразливостей, визначених спільнотою OWASP. Ви не тільки дізнаєтеся про них теоретично, а й помацаєте на практиці, кожну з уразливостей, використовуючи при цьому інструменти, які полегшуватимуть вам пошук цих дір.

Інструменти, які будуть використані на тренінгу:

 

Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Wireshark, Social engineering toolkit,  BeEF, Rainbowcrack, Hashcat, john, LOIC, Shodan, Google Hacking Database, Exif Tool, Cloudfail

 

1) Introduction into Security Testing:

    1.1 History security

    1.2 Hacker attacks

    1.3 Security testing in SDLC

    1.4 Tools for Security testing

    1.5 OWASP TOP 10

    1.6 OWASP ASVS

    1.7 OWASP Testing Guide

 

2) A1:Broken Access Control: WAS A6 place in 2017

    2.1 Demo and Practice

    2.2 Work with Burp Suite intruder and autorize

    2.3 Protection Recommendations

 

3) A2:Cryptographic Failures: WAS A3 place in 2017

     3.1 Сauses of “Cryptographic Failures” vulnerability

     3.2 Demo and Practice with Wireshark and Ettercap

     3.3 Protection Recommendations

 

4) A3:Injection: WAS A1 and A7 place in 2017

    4.1 What it is “Injection” attack
    4.2 HTML injection
         - Demo + Practice

    4.3 SQL injection
         - Demo + Practice

    4.4 OS command injection
         - Demo + Practice

    4.5 XML injection
         - Demo + Practice

    4.6 Reflected XSS
         - Demo + Practice
    4.7 Stored XSS
         - Demo + Practice
    4.8 DOM XSS.

         - Demo + Practice

    4.9 Automation tools for search injection.

         - Demo + Practice SQLmap

         - Demo + Practice OWASP ZAP

         - Demo + Practice Burp Suite repeater + intruder + scanner

         - Demo + Practice Beef

    4.10 Protection Recommendations.

 

5) A04:Insecure Design: NEW

    5.1 Capcha

    5.2 Errors in logic

    5.3 Secure Design Principles

    5.4. Demo and Practice with Burp Suite stepper

 

 

6) A5:Security Misconfiguration: WAS A4 and A6 place in 2021

    6.1 Default accounts and their passwords

    6.2 Missing appropriate security hardening

         - Demo + Practice with Slowloris and cloudfail

    6.3 Error handling reveals stack traces

    6.4 XML External Entities (XXE)

         - Demo and Practice with Burp Suite and MsfVenom

    6.5 Protection Recommendations

 

7) A6:Vulnerable and Outdated Components: WAS A9 place in 2017

    7.1 Demo and Practice with Nmap, Wappalyzer and Toolkit

    7.2 Demo and Practice with Metasploit framework

    7.3 Protection Recommendations

 

8) A7:Identification and Authentication Failures: WAS A2 place in 2017

    8.1 Brute force

    8.2 Session hijecking.

    8.3 Flag Http_only and Secure.
    8.4 Rainbow table.
    8.5 Demo + Practice Rainbowcrack, Hashcat

    8.6 Demo + Practice Burp Suite and Hydra

    8.7 Protection Recommendations.

 

9) A8:Software and Data Integrity Failures

    9.1 What it is “Insecure Deserialization”.

    9.2 Demo and Practice with Burp Suite 

    9.3 Protection Recommendations.

 

10) A9:Insufficient Logging & Monitoring: WAS A10 place in 2017

    10.1 What it is Insufficient Logging & Monitoring” attack.

    10.2 Сauses of “Insufficient Logging & Monitoring” vulnerability. 

    10.3 Protection Recommendations.

11) A10 Server Side Request Forgery (SSRF): NEW

    11.1 Demo and Practice Burp Suite collaborator

    11.2 Protection Recommendations.

 

12) Cross-Site Request Forgery (CSRF): Bonus

    12.1 What it is CSRF.

    12.2 Demo and Practice.

    12.3 Protection Recommendations.

 

13) Closing-Up:

    13.1 How create report about find vulnerability

    13.2 Conclusions.

    13.3 Literature.

    13.4 Recommendations on further steps. 

Training OWASP TOP 10

 

Старт курсу: набір на 29 серпня 2022 року
Тривалість: 8 занять по 2 години
Заняття: 2 рази на тиждень ПН та ЧТ о 18:00
Група: до 15 людей
Місце проведення: Google meet
Запис відео курсу буде надіслано на пошту
Вартість курсу: 7000 грн

 

 

Демо заняття:

Програма курсу OWASP TOP 10

gallery/42a98c00-a969-11eb-946f-2762be8c7d73

Старт курсу: набір на 29 серпня 2022 року
Тривалість: 8 занять по 2 години
Заняття: 2 рази на тиждень ПН та ЧТ о 18:00
Група: до 15 людей
Місце проведення: Google meet
Запис відео курсу буде надіслано на пошту
Вартість курсу: 7000 грн

 

Що змінилося в новому OWASP 2021:

gallery/screenshot_2