Facebook Live Chat
Trang chủ > Web Security and Penetration Testing

Web Security and Penetration Testing

2017-05-06

I. Nội dung đào tạo

  • Chương trình bao gồm nhiều kỹ năng thiết thực về an toàn thông tin, bao gồm việc xây dựng, kiểm thử xâm nhập Web. Cung cấp những kiến thức thiết thực trong quá trình bảo mật thông tin, trình bày các phương pháp mà hacker thường sử dụng để tấn công một hệ thống như quá trình thăm dò, quét lỗi cho đến khai thác một mục tiêu.
  • Trong nội dung chương trình những người tham gia sẽ được đào tạo cùng các nhân viên của công ty. Học viên sẽ được cung cấp các kỹ thuật mới nhất, những ứng dụng tiên tiến nhất trong quá trình tấn công và phòng thủ.
  • Nội dung khóa học này sẽ trang bị cho những người tham gia các kiến thức từ cơ bản đến chuyên sâu về bảo mật hệ thống, biết sử dụng thành thạo các công cụ và phương thức tấn công của các Hacker, có khả năng ngăn chặn, phòng chống các hành vi xâm nhập trái phép và phá hoại hệ thống Website của mình.

II. Đối tượng tham gia chương trình đào tạo

Khóa học này phù hợp với những học viên muốn tìm hiểu, xây dựng một ứng dựng Web an toàn cho cá nhân hoặc doanh nghiệp mà chưa biết phải làm những gì, và bắt đầu từ đâu.

Những người quan tâm hoặc làm trong các lĩnh vực sau:

  • Penetration Testing/Vulnerability Assessment : Đánh giá mức độ bảo mật của hệ thống IT

  • Risk and Compliance: Quản lý rủi ro và tuân thủ chính sách bảo mật trong doanh nghiệp

  • System Admin: Quản trị hệ thống và  mạng, thiết kế kiến trúc an ninh

  • Security Operations Center/Intrusion Detection: Trung tâm vận hành, theo dõi tình trạng an ninh và phát hiện các xâm nhập trái phép.

  • Secure Development: Bảo đảm phần mềm được phát triển một cách an toàn.

  • IT Security Management: Quản lý toàn bộ các vấn đề ở mức vĩ mô về an toàn thông tin

  • Incident Response: Phản ứng và xử lý sự cố an ninh

  • Forensics: Điều tra thông tin

  • Sinh viên ( năm thứ 2, 3 ), sinh viên sắp tốt nghiệp về chuyên ngành an toàn thông tin.

III. Những kỹ năng đạt được sau chương trình đào tạo

Các kỹ năng mà người tham gia đạt được sau quá trình đào tạo cùng các nhân viên của công ty:

  • Trang bị các kỹ năng thiết yếu của những chuyên gia bảo mât hệ thống chuyên nghiệp.

  • Thu thập các thông tin trên hệ thống thông tin.

  • Nhận dạng các ứng dụng bảo mật

  • Kỹ thuật khai thác social engineering.

  • Nhận diện các thông số hệ điều hành, cấu hình là các lỗ hổng bảo mật.

  • Phát hiện ra các lổ hổng và đánh giá khả năng tấn công.

  • Trang bị kỹ năng tấn công cơ bản và thiết yếu nhất.

  • Đánh giá mức độ bảo mật của các ứng dụng trên mạng.

  • Tìm hiểu các nguy cơ bảo mật trong các môi trường thông tin khác nhau.

  • Phát hiện các nguy cơ tấn công từ những hacker hoặc đối thủ cạnh tranh.

  • Khai thác lỗ hổng dùng sql injection.

  • Đánh giá hiệu quả các phương án phòng thủ.

Những người sau khi hoàn thành chương trình có thể ứng tuyển để trở thành chuyên gia an toàn thông tin, tư vấn an toàn thông tin…cho các doanh nghiệp hoặc các tổ chức như Viettel, FPT, CMC… Vì nội dung chương trình đào tạo là kiến thức dùng trong quá trình làm việc của các tổ chức về lĩnh vực này, các vị trí ứng tuyển phù hợp với người tham gia sau khi hoàn thành chương trình như sau:

1. Viettel:

2. CMC

3. FPT

IV. Chứng chỉ Web Security

Chứng chỉ Web Security được xây dựng theo chương trình Web Application Penetration Testing của OWASP. Link tham khảo: https://www.owasp.org/index.php/Web_Application_Penetration_Testing

 

Đây là một chương trình chuẩn bao gồm đầy đủ các nội dung để đào tạo các chuyên gia bảo mật hệ thống làm về lĩnh vực này.

Nội dung chương trình Web Security and Penetration Testing tại công ty ALVASKY JSC là chương trình đào tạo phiên bản mới nhất giúp cho học viên tiếp cận với những công cụ, giải pháp bảo mật mới nhất của OWASP.

V. Chi tiết về nội dung chương trình

Demo:

Một buổi học trực tuyến vê an ninh Web
- Phương pháp tấn công vào Web Server sử dụng Metasploit với mã khai thác được viết bởi học viên:

 

Lesson 1: Giới thiệu về an ninh ứng dụng web và các phương pháp kiểm thử

 

  • Giới thiệu về ứng dụng Web.

    • Cung cấp các kiến thức cần biết về ứng dụng Web.

    • Hướng dẫn cách xây dựng, thiết lập ứng dụng Web thực tế.

  • Trình bày về 10 nguy cơ nguy hiểm nhất có thể xảy ra đối với ứng dụng Web
    ( Owasp Top 10 threats )

    • A1 Injection

    • A2 Broken Authentication and Session Management

    • A3 Cross-Site Scripting (XSS)

    • A4 Insecure Direct Object References

    • A5 Security Misconfiguration

    • A6 Sensitive Data Exposure

    • A7 Missing Function Level Access Control

    • A8 Cross-Site Request Forgery (CSRF)

    • A9 Using Components with Known Vulnerabilities

    • A10 Unvalidated Redirects and Forwards

  • Trình bày các phương thức kiểm thử ứng dụng web

    • Trình bày các phương thức kiểm thử hiện tại của các chuyên viên kiểm thử hệ thống đang sử dụng.

  • Cài đặt và kiểm thử một số ứng dụng web thực tế.

Lesson 2: Các phương pháp thu thập thông tin và cấu hình hệ thống để kiểm thử

  • Fingerprint Web Server

  • Fingerprint Web Application  and Web Application Framework

  • Finding subdomains

  • Google dorking

  • Web application platform configuration

  • Old, backup and Unreferenced File for sensitive information exposure

  • Enumerate infrastructure and application admin interfaces

  • Examples

  • Reference and homework

Lesson 3: Trình bày các phương pháp tấn công vào quá trình xác thực

  • Bypass authentication management schema

  • Brute-force authentication

  • Examples

  • Reference and homework

Lesson 4: Trình bày các phương pháp tấn công vào quá trình quản lý phiên đăng nhập

  • Bypass session management schema

  • Cross-Site Request Forgery (CSRF)

  • Session Fixation flaw

  • Examples

  • Reference and homework

Lesson 5: Trình bày các phương pháp tấn công vào quá trình phân quyền

  • Bypass authorization schema

  • Path traversal

  • Insecure Direct Object References (IDOR)

  • Examples

  • Reference and homework

Lesson 6: SQL injection

  • Basic of SQL injection

  • SQL injection techniques

  • Examples

  • Reference and homework

Lesson 7: Các phương pháp tấn công vào hệ thống khác

  • Code, OS command injection

  • Local/Remote file inclusion

  • Examples

  • Reference and homework

Lesson 8: Trình bày phương pháp khai thác từ người sử dụng ( XSS )

  • Cross-Site Scripting (XSS):

    • Getting start with XSS

    • Reflected XSS

    • Stored XSS

    • DOM-based XSS

  • Examples

  • Reference and homework

Lesson 9: Trình bày về các lỗ hổng liên quan đến quá trình xử lý logic của hệ thống

  • Upload of Malicious Files

  • Upload of Unexpected File Types

  • Examples

  • Reference and homework

Lesson 10: Thực hiện một bài thi chứng chỉ Web Security

VI. Thông tin về chương trình đào tạo

1. Thời gian bắt đầu chương trình đào tào

Khai giảng: Thứ 5 ngày 18/05/2017

Class 1: Thứ 2, Thứ 4 19:00 - 21:00

Class 2: Thứ 3, Thứ 5 19:00 - 21:00

2. Thời lượng của chương trình đào tạo

- 12 buổi ( ~2 months ) + 1 buổi thi lấy chứng chỉ.

3. Địa điểm tổ chức

- Giảng đường D5 - 103, Trường Đại Học Bách Khoa Hà Nội - Số 1 Đại Cồ Việt, Hai Bà Trưng, Hà Nội.

4. Điều kiện tham gia

- Người tham gia cần phải qua một bài kiểm tra trình độ đầu vào để  tham gia khóa học.

- Địa điểm: 54/121 Chùa Láng, Láng Thượng, Đống Đa, Hà Nội.

5. Liên hệ tư vấn trực tiếp

- Mr Dương Xuân Hiệp

- Facebook: https://www.facebook.com/hiep.duong.73

- Số điện thoại: (+84) 961 024 586

- Link đăng ký khóa học: https://goo.gl/miB83d

- Website: https://alvasky.com