Security Testing OWASP TOP 10

Старт курсу: з 02.12.2024

Тривалість: 10 занять по 2 години

Заняття: 2 рази на тиждень ПН та ЧТ о 18:00

Група: до 15 людей

Місце проведення: Google meet

Запис відео курсу буде надіслано на пошту

Вартість курсу: 10000 грн

Зараз, коли індустрія інформаційних технологій росте експоненційно, питання кібербезпеки стає ще актуальнішим. Кожного дня з'являються нові веб-додатки, системи та технології, що відкривають широкі можливості, але разом із цим збільшують потенційні загрози для безпеки. Кіберзлочинці стають все винахідливішими і завзятішими в своїх атаках, і, отже, нам важливо бути завжди готовими захищати наші веб-додатки від цих загроз.

Не можна не враховувати той факт, що країна агресор Росія, активно здійснює постійні кібератаки на інфраструктуру та веб-додатки. Це нагадує нам про важливість глобальної співпраці та підготовки, щоб ефективно протистояти таким загрозам.

На нашому тренінгу ми докладаємо всіх зусиль, щоб готувати вас до викликів цього складного кібербезпечного ландшафту. Ми віримо, що навчання та практика є найкращими способами захисту ваших веб-додатків та даних від кіберзагроз. Реєструйтесь на нашому тренінгу прямо зараз та приєднуйтеся до групи професіоналів, готових захищати цифровий світ від кібернападів.

Чому варто взяти участь?

  1. Глибокі знання OWASP TOP 10: На цьому тренінгу ви не тільки дізнаєтеся про основні вразливості, включені в OWASP TOP 10, але й зрозумієте, як їх виявляти та захищати ваші веб-додатки від них.

  2. Багато практики: Ми віримо в активне навчання, тому більша частина часу буде відведена практичним завданням. Ви зможете відразу застосовувати ваші знання на практиці. Буде практика як на занятті так і на домашній роботі.

  3. Практичні рекомендації: На кожному занятті ви отримаєте практичні рекомендації та кращі практики з виявлення та виправлення вразливостей.

  4. Підготовка до написання репортів: Однією з ключових частин цього тренінгу є навчання, як писати детальні та інформативні репорти про виявлені вразливості. Це навичка, яка стане вам в нагоді в майбутньому.

  5. Сертифікат: Після успішного завершення курсу, якщо складете іспит вкінці, ви отримаєте сертифікат, який підтвердить ваші знання та навички в області безпеки веб-додатків.

Інструменти, які будуть використані на тренінгу:

Chat GPT, Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Wireshark, Social engineering toolkit, BeEF, Rainbowcrack, Hashcat, john, LOIC, Shodan, Google Hacking Database, ExifTool, Cloudfail, Wappalyzer, Vulners, DorkSearch

Що змінилося в новому OWASP 2021:

Демо OWASP 2021:

Програма курсу OWASP TOP 10:

1) Introduction into Security Testing:

1.1 History security

1.2 Hacker attacks

1.3 Security testing in SDLC

1.4 Tools for Security testing

1.5 OWASP TOP 10

1.6 OWASP ASVS

1.7 OWASP Testing Guide

2) A1:Broken Access Control

2.1 Demo and Practice with Broken Access Control

2.2 Work with Burp Suite intruder and autorize

2.3 Demo and Practice Google Hacking DataBase

2.4 Demo and Practice DorkSearch, DorkGPT, Google Dorks scanner

2.5 What is it Metadata

2.6 Demo and Practice Exiftool

2.7 Protection Recommendations

3) A2:Cryptographic Failures

3.1 Causes of “Cryptographic Failures” vulnerability

3.2 Demo and Practice with Wireshark and Ettercap

3.3 Protection Recommendations

4) A3:Injection

4.1 What it is “Injection” attack

4.2 HTML injection - Demo + Practice

4.3 SQL injection - Demo + Practice

4.3 SQL injection Blind - Demo + Practice

4.4 OS command injection - Demo + Practice

4.5 XML injection - Demo + Practice

4.6 Reflected XSS - Demo + Practice

4.7 Stored XSS - Demo + Practice

4.8 DOM XSS. - Demo + Practice

4.9 Automation tools for search injection.

- Demo + Practice SQLmap

- Demo + Practice OWASP ZAP

- Demo + Practice Burp Suite repeater + intruder + scanner

- Demo + Practice Beef

4.10 Protection Recommendations.

5) A04:Insecure Design

5.1 Capcha

5.2 Errors in logic

5.3 Secure Design Principles

5.4. Demo and Practice with Burp Suite stepper

5.5 What is it Fraud

5.6 Protection Recommendations.

6) A5:Security Misconfiguration

6.1 Default accounts and their passwords

6.2 Missing appropriate security hardening

- Demo + Practice with Slowloris and cloudfail

6.3 Error handling reveals stack traces

6.4 XML External Entities (XXE)

- Demo and Practice with Burp Suite and MsfVenom

6.5 Protection Recommendations

7) A6:Vulnerable and Outdated Components

7.1 Demo and Practice with Nmap, Wappalyzer, Vulners

7.2 Demo and Practice how to use Shodan

7.3 What is the Malware

7.4 Demo and Practice phishing attack with SetToolkit

7.5 Demo and Practice with Metasploit framework

7.6 Protection Recommendations

8) A7:Identification and Authentication Failures

8.1 Brute force

8.2 Session hijecking

8.3 Flag Http_only and Secure.

8.4 Rainbow table

8.5 Demo + Practice Rainbowcrack, Hashcat

8.6 Demo + Practice Burp Suite and Hydra

8.7 Protection Recommendations

9) A8:Software and Data Integrity Failures

9.1 What it is “Insecure Deserialization”

9.2 Demo and Practice with Burp Suite for find Insecure Deserialization

9.3 What it is IDOR

9.4 Demo and Practice with Burp Suite for find IDOR

9.5 Protection Recommendations

10) A9:Insufficient Logging & Monitoring

10.1 What it is Insufficient Logging & Monitoring” attack

10.2 Сauses of “Insufficient Logging & Monitoring” vulnerability

10.3 Protection Recommendations.

11) A10 Server Side Request Forgery (SSRF)

11.1 Demo and Practice Burp Suite collaborator

11.2 Protection Recommendations

12) Cross-Site Request Forgery (CSRF): Bonus

12.1 What it is CSRF

12.2 Demo and Practice

12.3 Protection Recommendations

13) HOW to pentest with chat GPT: Bonus

12.1 How to write right prompt for chat gpt

12.2 Demo and Practice Сhat gpt

12.3. How integrate chat gpt to PentestGPT plagin

12.4 Protection Recommendations

14) Closing-Up

13.1 How create report about find vulnerability

13.2 Conclusions

13.3 Literature

13.4 Recommendations on further steps.

Старт курсу: з 02.12.2024

Тривалість: 10 занять по 2 години

Заняття: 2 рази на тиждень ПН та ЧТ о 18:00

Група: до 15 людей

Місце проведення: Google meet

Запис відео курсу буде надіслано на пошту

Вартість курсу: 10000 грн