Webový útok a obrana

Kvalifikáciou a praxou jedinečný profesionál, popredný pedagóg v oblasti Bezpečnosť počítačových sietí.

Odborný lektor kurzov Oracle a Java. Certifikovaný špecialista Oracle, kandidát technických vied. Vyznačuje sa rôznorodými skúsenosťami v praktickej a pedagogickej činnosti.
V roku 2003 absolvoval Alexey Anatolyevich s vyznamenaním MIREA. V roku 2006 obhájil dizertačnú prácu na tému Budovanie bezpečných automatizovaných informačných systémov.
Významný špecialista v oblasti bezpečnosti databáz, budovanie bezpečných java a webových aplikácií pre Oracle DBMS a SQL Server, vývoj uložených programových modulov v PL/SQL a T-SQL. Automatizovali činnosť veľkých štátnych podnikov. Poskytuje konzultačné a poradenské služby pri vývoji komplexných distribuovaných webových aplikácií založených na platforme Java EE.
Učiteľská prax Alexeyho Anatolyevicha v postgraduálnom vzdelávacom systéme presahuje 7 rokov. Pracovala s korporátnymi klientmi, vyškolenými zamestnancami spoločností „BANK PSB“, „Internet University of Information Technologies (INTUIT)“, „SINTERRA“.
Autor viacerých vzdelávacích a metodických príručiek o programovaní a práci s databázami. Od roku 2003 do roku 2005 sa Alexey Anatolyevich zaoberal úpravou a technickým prekladom zahraničnej literatúry o webovom programovaní a práci s databázami. Publikoval viac ako 20 vedeckých prác.
Vďační absolventi vždy zaznamenávajú prístupný spôsob prezentácie aj tých najzložitejších tém, podrobné odpovede na otázky študentov a množstvo živých príkladov z odbornej praxe učiteľa.

Modul 1. Koncepty webových stránok (2 ak. h.)

-Princípy fungovania webových serverov a webových aplikácií
-Princípy bezpečnosti webových stránok a webových aplikácií
-Čo je OWASP
-OWASP Top 10 prehľad klasifikácie
-Úvod do nástrojov na vykonávanie útokov
- Laboratórne nastavenie

Modul 2. Injekcie (4 ac. h.)

-Čo sú injekcie a prečo sú možné?
- HTML injekcia
-Čo je iFrame
- vstrekovanie iFrame
-Čo je LDAP
- LDAP injekcia
-Čo sú hlavičky pošty
-Injekcie v hlavičke pošty
-Vstrekovanie príkazov operačného systému
-Vstrekovanie kódu PHP
-Čo sú inklúzie na strane servera (SSI)
-SSI injekcie
-Koncepty SQL (Structured Query Language).
- SQL injekcia
-Čo je AJAX/JSON/jQuery
-Injekcia SQL v AJAX/JSON/jQuery
-Čo je CAPTCHA
-Injekcia SQL obchádza CAPTCHA
- SQLite injekcia
-Príklad SQL injection v Drupale
-Čo sú uložené SQL injekcie
-Uložené injekcie SQL
-Uložené injekcie SQLite
-Koncepty XML
-Uložená SQL injekcia do XML
-Pomocou User-Agenta
-Vloženie SQL do poľa User-Agent
-Slepé SQL injekcie na logickom základe
-Dočasné slepé injekcie SQL
-Slepé injekcie SQLite
-Čo je Object Access Protocol (SOAP)
-Blind SQL Injection v SOAP
-XML/XPath injekcia

Modul 3. Hackerské overenie a relácia (2 ac. h.)

- Obíďte CAPTCHA
-Útok na funkciu obnovenia hesla
-Útok na prihlasovacie formuláre
-Útok na výstupnú kontrolu
-Útoky na heslá
-Používanie slabých hesiel
-Používanie univerzálneho hesla
-Útoky na administratívne portály
- Útoky na súbory cookie
-Útoky na odovzdanie ID relácie v adrese URL
- Fixácia relácie

Modul 4. Únik dôležitých údajov (2 ac. h.)

-Pomocou kódovania Base64
-Otvorený prenos poverení cez HTTP
-Útoky na SSL BEAST/CRIME/BREACH
-Útok na zraniteľnosť Heartbleed
-Zraniteľnosť POODLE
-Ukladanie údajov na webovom úložisku HTML5
-Používanie zastaraných verzií SSL
-Ukladanie údajov do textových súborov

Modul 5. Externé objekty XML (2 ac. h.)

-Útok na externé XML objekty
-XXE útok pri resetovaní hesla
-Útok na zraniteľnosť v prihlasovacom formulári
-Útok na zraniteľnosť vo vyhľadávacom formulári
- Útok odmietnutia služby

Modul 6. Porušenie kontroly prístupu (2 ac. h.)

-Príklad útoku na nezabezpečený priamy odkaz pri zmene hesla používateľa
-Príklad útoku na nezabezpečený priamy odkaz pri resetovaní hesla používateľa
-Príklad útoku na nezabezpečený priamy odkaz pri objednávaní lístkov v internetovom obchode
-Prechádzanie adresárov v adresároch
-Prechádzanie adresárov v súboroch
-Útok na hlavičku hostiteľa vedúci k otrave vyrovnávacej pamäte
-Útok na hlavičku hostiteľa vedúci k resetovaniu hesla
-Vrátane lokálneho súboru v SQLiteManager
-Povoliť lokálny alebo vzdialený súbor (RFI/LFI)
- Útok na obmedzenie zariadenia
-Útok na obmedzenie prístupu k adresáru
-SSRF útok
-Útok na XXE

Modul 7. Nezabezpečená konfigurácia (2 ac. h.)

-Princípy konfiguračných útokov
-Náhodný prístup k súborom v Sambe
- Flash súbor zásad pre viaceré domény
-Zdieľané zdroje v AJAX
– sledovanie medzi stránkami (XST)
– Odmietnutie služby (veľký kus)
-Denial of Service (pomalý HTTP DoS)
-Odmietnutie služby (vyčerpanie SSL)
-Denial of Service (XML bomba)
-Nezabezpečená konfigurácia DistCC
-Nezabezpečená konfigurácia FTP
-Nezabezpečená konfigurácia NTP
-Nezabezpečená konfigurácia SNMP
-Nezabezpečená konfigurácia VNC
-Nezabezpečená konfigurácia WebDAV
- Eskalácia miestnych privilégií
-Man in the Middle Attack v HTTP
-Muž v strednom útoku v SMTP
-Nebezpečné ukladanie archivovaných súborov
- Súbor robotov

Modul 8. Skriptovanie medzi stránkami (XSS) (3 ac. h.)

-Odráža XSS v požiadavkách GET
-Odráža XSS v požiadavkách POST
-Odráža XSS na JSON
-Odrážané XSS v AJAX
Odráža XSS v XML
-Odrazené XSS v tlačidle návratu
-Odráža XSS vo funkcii Eval
-Odráža XSS v atribúte HREF
-V prihlasovacom formulári sa odráža XSS
-Príklad odrazeného XSS v phpMyAdmin
-Odráža XSS v premennej PHP_SELF
-Odráža XSS v hlavičke Referer
-Odráža XSS v hlavičke User-Agent
-Odráža XSS vo vlastných hlavičkách
-Uložené XSS v blogových príspevkoch
-Uložené XSS pri zmene používateľských údajov
-Uložené XSS v súboroch cookie
-Uložené XSS v SQLiteManager
-Uložené XSS v hlavičkách HTTP

Modul 9. Nebezpečná deserializácia (2 ac. h.)

-Ukážka PHP object injection
-Vstrekovanie zadných dvierok počas deserializácie
-Nebezpečná deserializácia v JavaScripte

Modul 10. Používanie komponentov so známymi zraniteľnosťami (2 ac. h.)

-Local buffer overflow útoky
-Vzdialené útoky s pretečením vyrovnávacej pamäte
-Injekcia SQL v Drupale (Drupageddon)
-Zraniteľnosť srdca
-Vzdialené spustenie kódu v PHP CGI
-Útok na funkciu PHP Eval
-Zraniteľnosť v phpMyAdmin BBCode Tag XSS
-Zraniteľnosť shellshock
-Pripojenie lokálneho súboru v SQLiteManager
-Vloženie kódu PHP do SQLiteManager
-XSS v SQLiteManager

Modul 11. Nedostatok protokolovania a monitorovania (1 ac. h.)

-Príklad nedostatočnej ťažby dreva
-Príklad zraniteľnosti protokolovania
-Príklad nedostatočného monitorovania