Verkkohyökkäys ja puolustus
Miscellanea / / December 05, 2023
Ainutlaatuinen pätevyyden ja kokemuksen ammattilainen, johtava opettaja tietokoneverkkoturvallisuuden alalla.
Hän oli ensimmäinen Venäjällä, joka sai valtuutetun eettisen hakkeroinnin ohjaajan statuksen. Hän on eettisten hakkerointiohjaajien "Circle of Excellence" jäsen ja hänellä on Licensed Penetration Tester (Master) -asema. Hänen luokissaan vallitsee todellisen tiedon, kokemuksen ja taitojen juhlan tunnelma. Kuuntelijat ovat iloisia - lue arvostelut ja katso itse!
Hänellä on 50 arvostettua kansainvälistä sertifikaattia, mukaan lukien 30 tietoturva- ja eettisen hakkeroinnin sertifikaattia. Eettisen hakkeroinnin ja läpäisytestauksen mestari (lisensoitu tunkeutumistestausmestari). Offensive Security Certified Professional (OSCP) ja Security Certified Program (SCP). Microsoft Certified Security Engineer (MCSE: Security) ja sertifioitu kouluttaja EC-Councilille, Microsoftille ja CryptoProlle.
Sergei Klevoginin johdolla Specialist Centerin joukkue pääsi World CyberOlympic Games 2015 -finaaliin, jossa he voittivat alueen mestarien olympiapalkinnon!
Osallistuu säännöllisesti ja pitää mestarikursseja kansainvälisissä tietoturvaa koskevissa konferensseissa ja foorumeissa - Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days. Hakkerointitekniikoita ja tunkeutumistestausta koskevien ilmaisten seminaarien kirjoittaja ja juontaja.
Sergei Pavlovichilla on kokemusta ohjelmoijana Venäjän federaation puolustusministeriössä, tietoturvatarkastajana keskushallinnossa. Venäjän federaation pankki, liikepankin tietotekniikkaosaston johtaja, opettaja Moskovan talous- ja tilastoinstituutissa instituutti. Sergei Pavlovichin kokemus on erittäin arvokas, koska se osoittaa sekä IT-tuotteiden ja -periaatteiden ammatillista hallintaa että ymmärrystä liiketoimintaprosessien integroinnista tietoteknologioihin. Ja mikä tärkeintä, Sergey Pavlovich jakaa kokemuksensa ja voi puhua monimutkaisista teknologioista yksinkertaisesti ja selkeästi.
Sergei Pavlovich yhdistää tunneilla teoreettisen materiaalin selityksen järjestelmän eri osien asennuksen esittelyyn. Aineistoa täydennetään yksityiskohdilla, jotka usein ylittävät kurssin (vitsi, odottamaton viihdyttävä kysymys, hauska tietokonetemppu).
Löydät esimerkkejä linkistä: Hakkerointivideo.
Oracle- ja Java-kurssien asiantuntijaopettaja. Oraclen sertifioitu asiantuntija, teknisten tieteiden kandidaatti. Hänelle on tunnusomaista monipuolinen kokemus käytännön ja opetustoiminnasta.
Vuonna 2003 Aleksei Anatoljevitš valmistui arvosanoin MIREAsta. Vuonna 2006 hän puolusti väitöskirjaansa turvallisten automatisoitujen tietojärjestelmien rakentamisesta.
Merkittävä tietokantaturvallisuuden asiantuntija, turvallisten java- ja web-sovellusten rakentaminen Oracle DBMS: lle ja SQL Serverille sekä tallennettujen ohjelmamoduulien kehittäminen PL/SQL: llä ja T-SQL: llä. Automatisoi suurten valtionyhtiöiden toimintaa. Tarjoaa konsultointi- ja neuvontapalveluita Java EE -alustaan perustuvien monimutkaisten hajautettujen web-sovellusten kehittämisessä.
Aleksei Anatoljevitšin opetuskokemus jatkokoulutusjärjestelmästä on yli 7 vuotta. Työskenteli yritysasiakkaiden kanssa, koulutti työntekijöitä yhtiöissä "BANK PSB", "Internet University of Information Technologies (INTUIT)", "SINTERRA".
Useiden ohjelmointia ja tietokantojen kanssa työskentelyä koskevien opetus- ja metodologisten oppaiden kirjoittaja. Vuodesta 2003 vuoteen 2005 Aleksei Anatoljevitš osallistui ulkomaisen kirjallisuuden mukauttamiseen ja tekniseen kääntämiseen verkko-ohjelmoinnin ja tietokantojen kanssa. Julkaissut yli 20 tieteellistä artikkelia.
Kiitolliset valmistuneet panevat aina merkille monimutkaisimpienkin aiheiden helppokäyttöisen esitystavan, yksityiskohtaiset vastaukset opiskelijoiden kysymyksiin ja runsaasti eläviä esimerkkejä opettajan ammatillisesta käytännöstä.
Moduuli 1. Verkkosivustokonseptit (2 ak. h.)
-Web-palvelimien ja verkkosovellusten toimintaperiaatteet
- Verkkosivustojen ja verkkosovellusten suojauksen periaatteet
-Mikä on OWASP
-OWASP Top 10 -luokituksen yleiskatsaus
- Johdatus työkaluihin hyökkäysten suorittamiseen
- Laboratorion asetukset
Moduuli 2. Injektiot (4 ak. h.)
- Mitä ruiskeet ovat ja miksi ne ovat mahdollisia?
-HTML-injektio
-Mikä on iFrame
-iFrame-injektio
-Mikä on LDAP
-LDAP-injektio
- Mitä ovat sähköpostin otsikot
- Injektiot postin otsikoissa
-Käyttöjärjestelmän komento-injektio
-PHP-koodin lisäys
- Mitä ovat palvelinpuolen sisällytykset (SSI)
-SSI-injektiot
-Structured Query Language (SQL) -käsitteet
-SQL-injektio
-Mikä on AJAX/JSON/jQuery
-SQL-injektio AJAX/JSON/jQuery-muodossa
-Mikä on CAPTCHA
-SQL-injektio, joka ohittaa CAPTCHA: n
-SQLite-injektio
-Esimerkki SQL-injektiosta Drupalissa
-Mitä tallennetut SQL-injektiot ovat
-Tallennettu SQL-injektiot
-Tallennettu SQLite-injektio
-XML-käsitteet
-Tallennettu SQL-injektio XML: ään
- User-Agentin käyttäminen
-SQL-injektio User-Agent-kenttään
-Sokeat SQL-injektiot loogisesti
-Sokeat SQL-injektiot väliaikaisesti
-Sokeat SQLite-injektiot
- Mikä on Object Access Protocol (SOAP)
-Sokea SQL-injektio SOAPissa
-XML/XPath-injektio
Moduuli 3. Hakkeroinnin todennus ja istunto (2 ac. h.)
-Ohita CAPTCHA
-Hyökkäys salasanan palautustoimintoon
-Hyökkäys kirjautumislomakkeisiin
-Hyökkäys lähdön ohjaukseen
- Hyökkäykset salasanoihin
- Heikojen salasanojen käyttö
-Yleisen salasanan käyttäminen
-Hyökkäyksiä hallintoportaaleihin
- Evästeiden hyökkäykset
- Hyökkäykset URL-osoitteessa olevan istuntotunnuksen välittämiseen
- Istunnon kiinnitys
Moduuli 4. Tärkeiden tietojen vuotaminen (2 ac. h.)
-Käytetään Base64-koodausta
-Avaa valtuustietojen siirto HTTP: n kautta
- Hyökkäykset SSL BEAST / CRIME / BREACH
-Hyökkäys Heartbleed-haavoittuvuuteen
-POODLE-haavoittuvuus
- Tietojen tallentaminen HTML5-verkkotallennustilaan
-Käytetään vanhentuneita SSL-versioita
- Tietojen tallentaminen tekstitiedostoihin
Moduuli 5. Ulkoiset XML-objektit (2 ac. h.)
-Hyökkäys ulkoisiin XML-objekteihin
-XXE-hyökkäys salasanaa nollattaessa
-Hyökkäys haavoittuvuuteen kirjautumislomakkeessa
-Hyökkäys haavoittuvuuteen hakumuodossa
-Palvelunestohyökkäys
Moduuli 6. Kulunvalvonnan rikkominen (2 ac. h.)
- Esimerkki hyökkäämisestä suojaamattomaan suoraan linkkiin käyttäjän salasanaa vaihdettaessa
- Esimerkki hyökkäämisestä suojaamattomaan suoraan linkkiin käyttäjän salasanaa nollattaessa
-Esimerkki hyökkäämisestä epävarmaa suoraa linkkiä vastaan tilattaessa lippuja verkkokaupasta
-Hakemistojen läpikäynti hakemistoissa
-Hakemistojen läpikäynti tiedostoissa
- Isäntä-otsikon hyökkäys, joka johtaa välimuistin myrkytykseen
- Isäntäotsikon hyökkäys, joka johtaa salasanan nollaukseen
- Sisältää paikallisen tiedoston SQLiteManagerissa
- Ota käyttöön paikallinen tai etätiedosto (RFI/LFI)
- Laiterajoitushyökkäys
-Hakemiston pääsyrajoitushyökkäys
-SSRF-hyökkäys
-Hyökkäys XXE: tä vastaan
Moduuli 7. Epäturvallinen kokoonpano (2 ac. h.)
- Konfigurointihyökkäysten periaatteet
-Satunnainen pääsy tiedostoihin Sambassa
- Verkkotunnusten välinen Flash-käytäntötiedosto
-Jaetut resurssit AJAXissa
- Cross-Site Tracing (XST)
- Palvelunesto (suuri palakoko)
- Palvelunesto (hidas HTTP DoS)
- Palvelunesto (SSL: n loppuminen)
- Palvelunesto (XML-pommi)
- Turvaton DistCC-kokoonpano
- Epäturvallinen FTP-määritys
- Epäturvallinen NTP-määritys
- Epäturvallinen SNMP-määritys
- Epäturvallinen VNC-kokoonpano
-Suojaamaton WebDAV-määritys
-Paikallisten etuoikeuksien eskaloituminen
-Man in the Middle Attack HTTP: ssä
-Man in the Middle Attack SMTP: ssä
- Arkistoitujen tiedostojen suojaamaton tallennus
-Robotit tiedosto
Moduuli 8. Cross-site scripting (XSS) (3 ac. h.)
-Heijastunut XSS GET-pyynnöissä
-Heijastunut XSS POST-pyynnöissä
- Heijastunut XSS JSON: ksi
-Heijastunut XSS AJAXissa
Heijastunut XSS XML: ssä
-Heijastunut XSS paluupainikkeessa
-Heijastunut XSS Eval-toiminnossa
-Heijastunut XSS HREF-attribuutissa
-Heijastunut XSS kirjautumislomakkeessa
-Esimerkki heijastuvasta XSS: stä phpMyAdminissa
-Heijastunut XSS PHP_SELF-muuttujassa
-Heijastunut XSS viiteotsikossa
-Heijastunut XSS User-Agent-otsikossa
-Heijastunut XSS mukautetuissa otsikoissa
-Tallennettu XSS blogikirjoituksiin
-Tallennettu XSS, kun käyttäjätietoja vaihdetaan
-Tallennettu XSS evästeisiin
-Tallennettu XSS SQLiteManageriin
-Tallennettu XSS HTTP-otsikoihin
Moduuli 9. Epäturvallinen deserialisointi (2 ac. h.)
- Esittely PHP-objektin injektiosta
-Takaoven ruiskutus deserialisoinnin aikana
-Epäturvallinen deserialisointi JavaScriptissä
Moduuli 10. Käyttämällä komponentteja, joissa on tunnettuja haavoittuvuuksia (2 ac. h.)
-Paikalliset puskurin ylivuotohyökkäykset
-Etäpuskurin ylivuotohyökkäykset
-SQL-injektio Drupalissa (Drupageddon)
- Sydänverenvuotohaavoittuvuus
-Etäkoodin suoritus PHP CGI: ssä
-Hyökkäys PHP Eval -toimintoon
- phpMyAdmin BBCode Tag XSS -haavoittuvuus
-Shellshock-haavoittuvuus
- Paikallisen tiedoston yhdistäminen SQLiteManagerissa
-Injektio PHP-koodi SQLiteManager
-XSS SQLiteManagerissa
Moduuli 11. Kirjaamisen ja seurannan puute (1 ak. h.)
-Esimerkki riittämättömästä kirjaamisesta
-Esimerkki kirjaamisen haavoittuvuudesta
- Esimerkki riittämättömästä seurannasta
Tutustut kansainväliseen tietoturvastandardiin ISO/IEC 27002 ja saat käytännön suosituksia yritysverkon tietoturvajärjestelmän hallintaan. standardin mukaisesti ja monimutkaisten päätösten tekeminen, mukaan lukien: tietokoneturvallisuuden alan tapahtumien estäminen, tällaisten luominen, toteuttaminen, ylläpito järjestelmät.
4,1