Security Testing OWASP TOP 10

Старт курсу: набір завершений 🥳 на 15.05.2023

старт наступної групи 😅 11.09.2023

Тривалість: 8 занять по 2 години

Заняття: 2 рази на тиждень ПН та ЧТ о 18:00

Група: до 10 людей

Місце проведення: Google meet

Запис відео курсу буде надіслано на пошту

Вартість курсу: 9000 грн

Як зростаюча тенденція в ІТ-індустрії на кібербезпеку продуктів, що розробляються і експоненційно збільшує попит на фахівців, які розбираються в тому які методи захисту на атаки з боку шахраїв можна застосувати, щоб захистити себе від зловмисників. В рамках цього курсу, який складається з 20 годин, ви дізнаєтеся про ТОП-10 критичних веб вразливостей, визначених спільнотою OWASP. Ви не тільки дізнаєтеся про них теоретично, а й помацаєте на практиці, кожну з уразливостей, використовуючи при цьому інструменти, які полегшуватимуть вам пошук цих дір.

Інструменти, які будуть використані на тренінгу:

Sqlmap, Burp Suite, OWASP ZAP, Metasploit, Nmap, Ettercap, Wireshark, Social engineering toolkit, BeEF, Rainbowcrack, Hashcat, john, LOIC, Shodan, Google Hacking Database, ExifTool, Cloudfail

Що змінилося в новому OWASP 2021:

Демо OWASP 2021:

Програма курсу OWASP TOP 10:

1) Introduction into Security Testing:

1.1 History security

1.2 Hacker attacks

1.3 Security testing in SDLC

1.4 Tools for Security testing

1.5 OWASP TOP 10

1.6 OWASP ASVS

1.7 OWASP Testing Guide

2) A1:Broken Access Control

2.1 Demo and Practice

2.2 Work with Burp Suite intruder and autorize

2.3 Protection Recommendations

3) A2:Cryptographic Failures

3.1 Causes of “Cryptographic Failures” vulnerability

3.2 Demo and Practice with Wireshark and Ettercap

3.3 Protection Recommendations

4) A3:Injection

4.1 What it is “Injection” attack

4.2 HTML injection - Demo + Practice

4.3 SQL injection - Demo + Practice

4.4 OS command injection - Demo + Practice

4.5 XML injection - Demo + Practice

4.6 Reflected XSS - Demo + Practice

4.7 Stored XSS - Demo + Practice

4.8 DOM XSS. - Demo + Practice

4.9 Automation tools for search injection.

- Demo + Practice SQLmap

- Demo + Practice OWASP ZAP

- Demo + Practice Burp Suite repeater + intruder + scanner

- Demo + Practice Beef

4.10 Protection Recommendations.

5) A04:Insecure Design

5.1 Capcha

5.2 Errors in logic

5.3 Secure Design Principles

5.4. Demo and Practice with Burp Suite stepper

6) A5:Security Misconfiguration

6.1 Default accounts and their passwords

6.2 Missing appropriate security hardening

- Demo + Practice with Slowloris and cloudfail

6.3 Error handling reveals stack traces

6.4 XML External Entities (XXE)

- Demo and Practice with Burp Suite and MsfVenom

6.5 Protection Recommendations

7) A6:Vulnerable and Outdated Components

7.1 Demo and Practice with Nmap, Wappalyzer and Toolkit

7.2 Demo and Practice with Metasploit framework

7.3 Protection Recommendations

8) A7:Identification and Authentication Failures

8.1 Brute force

8.2 Session hijecking

8.3 Flag Http_only and Secure.

8.4 Rainbow table

8.5 Demo + Practice Rainbowcrack, Hashcat

8.6 Demo + Practice Burp Suite and Hydra

8.7 Protection Recommendations

9) A8:Software and Data Integrity Failures

9.1 What it is “Insecure Deserialization”

9.2 Demo and Practice with Burp Suite

9.3 Protection Recommendations

10) A9:Insufficient Logging & Monitoring

10.1 What it is Insufficient Logging & Monitoring” attack

10.2 Сauses of “Insufficient Logging & Monitoring” vulnerability

10.3 Protection Recommendations.

11) A10 Server Side Request Forgery (SSRF)

11.1 Demo and Practice Burp Suite collaborator

11.2 Protection Recommendations

12) Cross-Site Request Forgery (CSRF): Bonus

12.1 What it is CSRF

12.2 Demo and Practice

12.3 Protection Recommendations

13) Closing-Up

13.1 How create report about find vulnerability

13.2 Conclusions

13.3 Literature

13.4 Recommendations on further steps.