Đầu trang

Danh sách Khóa học > Bảo Mật Ứng Dụng Web

  • Bảo Mật Ứng Dụng Web

Thời lượng 48 giờ / Học phí 3,200,000

KHÓA HỌC BẢO MẬT ỨNG DỤNG WEB

1. Mô tả khóa học

Theo thống kê của Viện SANS (http://www.sans.org), khoảng 70% các vụ tấn công, xâm hại vào các máy chủ và website hiện nay là xuất phát từ các ứng dụng web; cũng theo khuyến cáo này, bảo mật ứng dụng web cũng đồng nghĩa với việc bảo vệ cả hệ thống website.

Xuất phát từ thực tế đó, khóa học “Bảo mật ứng dụng Web” được thiết kế đặc biệt, nhằm cung cấp học viên kiến thức, kinh nghiệm về cấu hình, cài đặt, bảo trì và nâng cao tính năng bảo mật cho máy chủ web và các ứng dụng của nó; bên cạnh đó còn giúp học viên nâng cao kỹ năng lập trình web an toàn trước các cuộc tấn công thông qua web.

2. Kết quả khóa học

Sau khi hoàn thành khóa học, học viên có thể:

  • Hiểu rõ các khái niệm liên quan đến bảo mật ứng dụng web
  • Hiểu rõ khái niệm về “web hacking”, các kiểu xâm nhập như SQL Injection, Session Hijack, DoS, Social Engineering v.v…
  • Nắm vững quy trình, phương thức tấn công vào ứng dụng, website.
  • Phương thức cài đặt, cấu hình máy chủ web an toàn
  • Xây dựng cơ chế mã hóa dữ liệu an toàn
  • Ứng dụng các phần mềm, công cụ bảo mật ứng dụng web như Mod-Security, IIS Lockdown, URL Scans v.v…
  • Phương thức lập trình web an toàn
  • V.v…

3. Đối tượng tham gia khóa học

Dành cho bất kỳ học viên nào quan tâm đến bảo mật thông tin máy tính, đặc biệt là các quản trị viên, lập trình viên, sinh viên học sinh trong ngành muốn tìm hiểu, nâng cao khả năng vận hành và bảo mật hệ thống máy chủ, và các ứng dụng web, kỹ năng lập trình web an toàn.

Xa hơn, chúng tôi cung cấp đến học viên những kiến thức, kinh nghiệm thực tế trong công tác, nhằm giúp học viên nắm vững kỹ năng thực hành, ứng dụng những kiến thức thực tế làm việc.

4. Yêu cầu kỹ năng học viên

Không có yêu cầu kỹ năng của học viên. Tuy nhiên, học viên có kiến thức căn bản máy tính về mạng, máy chủ, lập trình web, v.v… và có khả năng đọc, hiểu tài liệu tiếng Anh sẽ có lợi thế hơn.

5. Đội ngũ giảng viên

Nhóm tham gia giảng dạy là các kỹ sư bảo mật nhiệt tình, kinh nghiệm giảng dạy của XFrog đảm nhiệm, cung cấp kiến thức, kinh nghiệm làm việc thiết thực nhất đến học viên.

6. Lịch khai giảng : thời lượng 2 tháng; học phí 3.2 triệu/khóa.

7. Quyền lợi học viên

Học viên được cung cấp miễn phí giáo trình và các phương tiện, công cụ thực hành trong suốt quá trình học.

8. Nội dung khóa học

 

PART 1.     Reconnaissance

1.1       Lesson 1: Introduction Web Application Security

1.1.1    Why Build Secure Web Applications?

1.1.2    Attackers: Who, Why, When and How to attack?

1.2       Lesson 2: The Web Application Architecture

1.2.1    About HTML

1.2.2    Transport: HTTP

1.2.3    The Web Client

1.2.4    The Web Server

1.2.5    The Web Application

1.2.6    The Database

1.2.7    Complications and Intermediaries

1.2.8    Web Services

1.3       Lesson 3: The Methodology of Web Hacking

1.3.1    Attack Web Server

1.3.2    Attack the Authentication Mechanism

1.3.3    Attack the Authorization Schemes

1.3.4    Perform a Functional Analysis

1.3.5    Exploit the Data Connectivity 

1.3.6    Attack the Management Interfaces

1.3.7    Social Engineering

1.3.8    Launch a Denial of Service Attack

1.4       Lesson 4: Hacking Web Servers

1.4.1    Common Vulnerabilities by Platform

1.4.2    Apache

1.4.3    Microsoft Internet Information Server (IIS)

1.4.4    Attack Again IIS Components

1.4.5    Escalating Privileges on IIS

1.4.6    Automated Vulnerability Scanning Software

1.4.7    Denial of Service Against Web Servers

PART 2.     The Attack

2.1       Lesson 5: Authentication

2.1.1    Authentication Mechanisms

2.1.2    HTTP Authentication: Basic and Digest

2.1.3    Forms-Based Authentication

2.1.4    Microsoft Passport

2.1.5    Attacking Web Authentication

2.1.6    Password Guessing

2.1.7    Session IT Prediction and Brute Forcing

2.1.8    Subverting Cookies

2.1.9    Bypassing SQL-Backed Login Forms

2.1.10  Bypassing Authentication

2.2       Lesson 6: Authorization

2.2.1    Query String

2.2.2    Post Data

2.2.3    Hidden Tags

2.2.4    URI

2.2.5    HTTP Headers

2.2.6    Cookies

2.3       Lesson 7: Attacking Session State Management

2.3.1    Client-Side Techniques

2.3.2    Hidden Fields

2.3.3    The URL

2.3.4    HTTP Headers and Cookies

2.3.5    Server-Side Techniques

2.3.6    Server-Generated Session IDs

2.3.7    Session Database

2.4       Lesson 8: Input Validation Attacks

2.4.1    User Input

2.4.2    Types of User Input Attacks

2.4.3    Performing Validation

2.4.4    Revealing as Little Information as Possible to the User

2.4.5    Verifying User Input

2.5       Lesson 9: Attacking Web Database

2.5.1    A SQL Primer

2.5.2    SQL Injection

2.6       Lesson 10: Hacking Web Application Management

2.6.1    Web Server Administration

2.6.1.1Telnet

2.6.1.2SSH

2.6.1.3Proprietary Management Ports

2.6.1.4Other Administration Services

2.6.2    Web Content Management

2.6.2.1FTP

2.6.2.2SSH/SCP

2.6.2.3Pront Page

2.6.2.4WebDAV

2.7       Lesson 11: Web Client Hacking

2.7.1    The Problem of Client-Side Security

2.7.2    Active Content Attacks

2.7.3    Cross-Site Scripting

2.7.4    Cookie Hijacking

2.8       Lesson 12: Other Hacking

2.8.1    Social Engineering Attacks

2.8.2    Denial of Services Attacks

PART 3.     Security solution

3.1       Lession 13:  Principles and model web application security

3.1.1    Principles security

3.1.2    Model web application security

3.2       Lession 14: Optimize and Misconfigurations

3.2.1    Operating System

3.2.2    Unnecessary Web Server Extensions

3.2.3    Information Leakage Misconfigurations

3.3       Lession 3: Security Web Application Management

3.3.1    Remote Server Management

3.3.1.1SSH

3.3.1.2Authentication Center

3.3.1.3One time password

3.3.2    Web Content Management

3.3.2.1FTP

3.3.2.2Chmod file and directory

3.3.2.3Site content administrator

3.4       Lession 4: Security code

3.4.1    Code Review

3.4.2    Test Tools

3.5       Lession 5: Securing Data with Encryption

3.5.1    Symmetric and asymmetric encrypt

3.5.2    PKI

3.5.3    SSL

3.6       Lession 6: Firewall web application

3.6.1    Apache module security

3.6.2    Nginx module Roboo