Đánh giá bảo mật Web cơ bản

Thời lượng

40 giờ (05 ngày)

Mục tiêu khóa học
  • Cung cấp cho học viên góc nhìn tổng quan về các hướng kiểm tra bảo mật.
  • Cung cấp kiến thức chi tiết về các lỗ hổng bảo mật phổ biến trên web hiện nay.
  • Giúp học viên có khả năng tự tìm và khai thác các lổ hổng bảo mật.
Đối tượng tham gia khóa học
  • Chuyên viên phân tích bảo mật.
  • Lập trình viên muốn hiểu được các lỗi bảo mật của ứng dụng web.
  • Sinh viên, quản trị viên hệ thống đam mê về bảo mật và các kỹ thuật tìm và khai thác lỗi.
Điều kiện tiên quyết
  • Có kiến thức cơ bản về network, HTTP/HTTPS.
  • Nắm được ít nhất một ngôn ngữ lập trình web như PHP, Python, JSP.
  • Hiểu về cơ sở dữ liệu, truy vấn SQL.
Nội dung khóa học

Chương 1.

  • Giới thiệu về kiểm tra bảo mật Web.
  • Nhận dạng hệ thống và nền tảng ứng dụng Web.
  • Nhận dạng các điểm yếu từ cấu hình SSL
  • Nhận dạng các điểm yếu từ phần cấu hình.
  • Các công cụ Spider.
  • Google Hacking.
  • Phân tích Function flow và Data flow.

Chương 2.

  • Tổng quan các kỹ thuật tìm kiếm lỗ hổng.
  • Sử dụng web proxy để phát hiện và thẩm tra các lỗ hổng.
  • Sử dụng Burp Suite.
  • Tìm kiếm các thông tin bị rò rỉ từ ứng dụng.
  • Thu thập các thông tin về tài khoản người dùng.
  • Directory Traversal.
  • SQL Injection Cơ bản.
  • Blind SQL Injection.

Chương 3.

  • XXE Injection.
  • Code Injection.
  • Các kỹ thuật khai thác từ các lỗ hổng injection.
  • Cross Site Scripting.
  • Cross Site Request Forgery.

Chương 4.

  • Các kỹ thuật khai thác từ lỗ hổng XSS, CSRF.
  • Kỹ thuật khai thác lỗi ở client-side (BeEF).
  • Session Fixation.
  • Session Vulnerabilities.

Chương 5.

  • Tìm kiếm và khai thác các đối tượng được tham chiếu không an toàn.
  • Tìm kiếm và khai thác các lỗ hổng về thao tác file.
  • Các lỗ hổng liên quan đến redirect và forward.
  • Một số tình huống phối hợp các kiểu lỗ hổng để chiếm quyền hệ thống.
  • Lab cuối khoá: Capture The Flag.
  • Học tại Hồ Chí Minh

  • Học tại Hà Nội

  • Học trực tuyến


Các khóa học khác