Login to
OWASP top 10

С Логин Святом

Старт курсу: старт наступної групи 😉 24 жовтня 2022 року
набір завершений на 🥳 29 серпня 2022 року
Тривалість: 8 занять по 2 години
Заняття: 2 рази на тиждень ПН та ЧТ о 18:00
Група: до 15 людей
Місце проведення: Google meet
Запис відео курсу буде надіслано на пошту
Вартість курсу: 7000 грн

Якщо вам дуже хочеться на тренінг, а ви просто не хочете створювати стресову ситуацію вашому бюджету, повною оплатою одразу за тренінг, то ми можемо розбити ціну на кілька платежів, на весь період поки що триває тренінг. Без комісій та відсотків :-)

Про тренінг

ЦЕЙ ТРЕНІНГ ДЛЯ ТИХ, ХТО ВЖЕ ВИРОС З МАНУАЛЬНОГО ТЕСТУВАННЯ І не просто знаходити баги, а й шукати вразливості, за які платять на Bug bounty

Як зростаючу тенденцію в ІТ-індустрії на кібербезпеку продуктів, що в свою чергу експоненційно збільшує попит на фахівців, які розуміються на тому, які методи захисту на атаки з боку шахраїв можна застосувати, щоб захистити себе від зловмисників. В рамках цього курсу, який складається з 20 годин, ви дізнаєтеся про ТОП-10 критичних веб-уразливостей, визначених спільнотою OWASP. Ви не тільки дізнаєтеся про них теоретично, але й помацаєте на практиці, кожну з вразливостей, використовуючи при цьому автоматичні інструменти, які полегшуватимуть вам пошук цих дірок. У тренінг входить останній список OWASP TOP 10 2021 року, заснований на статистиці з поширених вразливостей.

Інструменти, які будуть використані на тренінгу:

- Sqlmap
- Burp Suite
- OWASP ZAP
- Metasploit
- Nmap
- Ettercap
- Social engineering toolkit
- BeEF
- Rainbowcrack
- Hashcat
- Slowloris

Демо:
Що змінилося у новому OWASP 2021:

Програма тренінгу

1) Introduction into Security Testing:

1.1 History security
1.2 Hacker attacks
1.3 Security testing in SDLC
1.4 Tools for Security testing
1.5 OWASP TOP 10
1.6 OWASP ASVS
1.7 OWASP Testing Guide

2) A1:Broken Access Control

2.1 Demo and Practice
2.2 Work with Burp Suite intruder and autorize
2.3 Protection Recommendations

3) A2:Cryptographic Failures:

3.1 Сauses of “Cryptographic Failures” vulnerability
3.2 Demo and Practice with Wireshark and Ettercap
3.3 Protection Recommendations

4) A3:Injection:

4.1 What it is “Injection” attack
4.2 HTML injection
- Demo + Practice
4.3 SQL injection
- Demo + Practice
4.4 OS command injection
- Demo + Practice
4.5 XML injection
- Demo + Practice
4.6 Reflected XSS
- Demo + Practice
4.7 Stored XSS
- Demo + Practice
4.8 DOM XSS
- Demo + Practice
4.9 Automation tools for search injection
- Demo + Practice SQLmap
- Demo + Practice OWASP ZAP
- Demo + Practice Burp Suite repeater + intruder + scanner
- Demo + Practice Beef 4.10 Protection Recommendations.

5) A04:Insecure Design:

5.1 Capcha
5.2 Errors in logic
5.3 Secure Design Principles
5.4. Demo and Practice with Burp Suite stepper

6) A5:Security Misconfiguration:

6.1 Default accounts and their passwords
6.2 Missing appropriate security hardening
- Demo + Practice with Slowloris and cloudfail
6.3 Error handling reveals stack traces
6.4 XML External Entities (XXE)
- Demo and Practice with Burp Suite and MsfVenom
6.5 Protection Recommendations

7) A6:Vulnerable and Outdated Components:

7.1 Demo and Practice with Nmap, Wappalyzer and Toolkit
7.2 Demo and Practice with Metasploit framework
7.3 Protection Recommendations

8) A7:Identification and Authentication Failures:

8.1 Brute force
8.2 Session hijecking
8.3 Flag Http_only and Secure
8.4 Rainbow table
8.5 Demo + Practice Rainbowcrack, Hashcat
8.6 Demo + Practice Burp Suite and Hydra
8.7 Protection Recommendations.

9) A8:Software and Data Integrity Failures:

9.1 What it is “Insecure Deserialization”
9.2 Demo and Practice with Burp Suite
9.3 Protection Recommendations.

10) A9:Insufficient Logging & Monitoring:

10.1 What it is Insufficient Logging & Monitoring” attack
10.2 Сauses of “Insufficient Logging & Monitoring” vulnerability
10.3 Protection Recommendations.

11) A10 Server Side Request Forgery (SSRF):

11.1 Demo and Practice Burp Suite collaborator
11.2 Protection Recommendations.

12) Closing-Up:

12.1 How create report about find vulnerability
12.2 Conclusions.
12.3 Literature.
12.4 Recommendations on further steps.

Для кого цей тренінг?

Для тих, хто бажає освоїти кар'єру Pentester.
ти отримаєш на цьому курсі такі навички:

- Дізнаєшся про тендітні місця в веб-розробці.

- Навчишся робити тестування безпеки.

- Ознайомишся з тим, як можна додатково підробляти на Bug Bounty.

- Навчишся правильно застосовувати автоматичні інструменти для пошуку вразливостей.

- Отримаєш практичний досвід у тестуванні безпеки.

- Складати звіт щодо знайдених уразливостей.

Записатися