0
Ansichten
Web-Angriff und -Verteidigung
Verschiedenes / / December 05, 2023
Ein einzigartiger Fachmann in Bezug auf Qualifikationen und Erfahrung, ein führender Lehrer auf dem Gebiet der Computernetzwerksicherheit.
Er war der erste in Russland, der den Status eines autorisierten Ausbilders für ethisches Hacken erhielt. Er ist Mitglied des „Circle of Excellence“ der Ethical-Hacking-Ausbilder und hat den Status eines Licensed Penetration Tester (Master). In seinen Kursen herrscht eine Atmosphäre einer echten Feier von Wissen, Erfahrung und Können. Die Zuhörer sind begeistert – lesen Sie die Rezensionen und überzeugen Sie sich selbst!
Inhaber von 50 renommierten internationalen Zertifizierungen, darunter 30 Zertifizierungen in Informationssicherheit und ethischem Hacking. Master für ethisches Hacking und Penetrationstests (lizenzierter Penetrationstester-Master). Offensive Security Certified Professional (OSCP) und Security Certified Program (SCP). Microsoft Certified Security Engineer (MCSE: Security) und zertifizierter Ausbilder für EC-Council, Microsoft und CryptoPro.
Unter der Leitung von Sergei Klevogin erreichte das Team des Spezialistenzentrums das Finale der World CyberOlympic Games 2015, wo es den olympischen Preis als Champions der Region gewann!
Nimmt regelmäßig an internationalen Konferenzen und Foren zum Thema Informationssicherheit teil und leitet Meisterkurse – Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days. Autor und Moderator von kostenlosen Seminaren zu Hacking-Techniken und Penetrationstests.
Sergej Pawlowitsch hat Erfahrung als Programmierer im Verteidigungsministerium der Russischen Föderation und als Inspektor für Informationssicherheit in der Zentrale Bank der Russischen Föderation, Leiter der Abteilung Informationstechnologie in einer Geschäftsbank, Lehrer am Moskauer Wirtschafts- und Statistikinstitut Institut. Die Erfahrung von Sergej Pawlowitsch ist sehr wertvoll, da sie sowohl die professionelle Beherrschung von IT-Produkten und -Prinzipien als auch ein Verständnis für die Integration von Geschäftsprozessen mit Informationstechnologien zeigt. Und was am wichtigsten ist: Sergej Pawlowitsch teilt seine Erfahrungen und kann einfach und klar über komplexe Technologien sprechen.
Während seines Unterrichts kombiniert Sergej Pawlowitsch die Erläuterung des theoretischen Materials mit der Demonstration der Einrichtung verschiedener Komponenten des Systems. Der Stoff wird durch Details ergänzt, die oft den Rahmen des Kurses sprengen (ein Witz, eine unerwartete unterhaltsame Frage, ein lustiger Computertrick).
Beispiele finden Sie unter dem Link: Hacking-Video.
Erfahrener Dozent für Oracle- und Java-Kurse. Oracle Certified Specialist, Kandidat der technischen Wissenschaften. Er zeichnet sich durch seine vielfältigen Erfahrungen in praktischer und pädagogischer Tätigkeit aus.
Im Jahr 2003 schloss Alexey Anatolyevich sein Studium an der MIREA mit Auszeichnung ab. Im Jahr 2006 verteidigte er seine Doktorarbeit zum Thema Aufbau sicherer automatisierter Informationssysteme.
Ein bedeutender Spezialist auf dem Gebiet der Datenbanksicherheit, der sichere Java- und Webanwendungen für Oracle DBMS und SQL Server erstellt und gespeicherte Programmmodule in PL/SQL und T-SQL entwickelt. Automatisierte die Aktivitäten großer staatlicher Unternehmen. Bietet Beratungs- und Beratungsdienste bei der Entwicklung komplexer verteilter Webanwendungen auf Basis der Java EE-Plattform.
Die Lehrerfahrung von Alexey Anatolyevich im postgradualen Bildungssystem beträgt mehr als 7 Jahre. Arbeitete mit Firmenkunden zusammen und schulte Mitarbeiter der Unternehmen „BANK PSB“, „Internet University of Information Technologies (INTUIT)“ und „SINTERRA“.
Autor mehrerer pädagogischer und methodischer Handbücher zum Programmieren und Arbeiten mit Datenbanken. Von 2003 bis 2005 beschäftigte sich Alexey Anatolyevich mit der Adaption und technischen Übersetzung ausländischer Literatur zur Webprogrammierung und zur Arbeit mit Datenbanken. Veröffentlichte über 20 wissenschaftliche Arbeiten.
Dankbare Absolventen loben ausnahmslos die zugängliche Art der Darstellung selbst komplexester Themen, die ausführlichen Antworten auf Fragen der Studierenden und die Fülle an lebendigen Beispielen aus der Berufspraxis des Lehrers.
Modul 1. Website-Konzepte (2 ac. H.)
-Funktionsprinzipien von Webservern und Webanwendungen
-Grundsätze der Website- und Webanwendungssicherheit
-Was ist OWASP?
-OWASP Top 10 Klassifizierungsübersicht
-Einführung in Tools zur Durchführung von Angriffen
-Laboraufbau
Modul 2. Injektionen (4 ac. H.)
-Was sind Injektionen und warum sind sie möglich?
-HTML-Injektion
-Was ist iFrame?
-iFrame-Injektion
-Was ist LDAP?
-LDAP-Injektion
-Was sind E-Mail-Header?
-Injektionen in E-Mail-Headern
-Injektion von Betriebssystembefehlen
-PHP-Code-Injection
-Was sind serverseitige Einschlüsse (SSI)?
-SSI-Injektionen
-Structured Query Language (SQL)-Konzepte
-SQL-Injektion
-Was ist AJAX/JSON/jQuery?
-SQL-Injection in AJAX/JSON/jQuery
-Was ist CAPTCHA?
-SQL-Injection unter Umgehung von CAPTCHA
-SQLite-Injektion
-Beispiel für SQL-Injection in Drupal
-Was sind gespeicherte SQL-Injections?
-Gespeicherte SQL-Injektionen
-Gespeicherte SQLite-Injektionen
-XML-Konzepte
-Gespeicherte SQL-Injection in XML
-Verwendung eines Benutzeragenten
-SQL-Injection in das User-Agent-Feld
-Blinde SQL-Injections auf logischer Basis
-Blinde SQL-Injections auf vorübergehender Basis
-Blinde SQLite-Injektionen
-Was ist Object Access Protocol (SOAP)?
-Blinde SQL-Injection in SOAP
-XML/XPath-Injektion
Modul 3. Hacking-Authentifizierung und Sitzung (2 ac. H.)
-CAPTCHA umgehen
-Angriff auf die Passwortwiederherstellungsfunktion
-Angriff auf Anmeldeformulare
-Angriff auf die Ausgangskontrolle
-Angriffe auf Passwörter
-Verwendung schwacher Passwörter
-Verwendung eines universellen Passworts
-Angriffe auf Verwaltungsportale
-Angriffe auf Cookies
-Angriffe auf die Weitergabe der Sitzungs-ID in der URL
-Sitzungsfixierung
Modul 4. Verlust wichtiger Daten (2 ac. H.)
-Verwendung der Base64-Kodierung
-Offene Übertragung der Zugangsdaten per HTTP
-Angriffe auf SSL BEAST/CRIME/BREACH
-Angriff auf die Heartbleed-Schwachstelle
-POODLE-Sicherheitslücke
-Speicherung von Daten im HTML5-Webspeicher
-Verwendung veralteter SSL-Versionen
-Speicherung von Daten in Textdateien
Modul 5. Externe XML-Objekte (2 ac. H.)
-Angriff auf externe XML-Objekte
-XXE-Angriff beim Zurücksetzen des Passworts
-Angriff auf Schwachstelle im Anmeldeformular
-Angriff auf Sicherheitslücke im Suchformular
-Denial-of-Service-Angriff
Modul 6. Verstoß gegen die Zugangskontrolle (2 ac. H.)
-Ein Beispiel für einen Angriff auf einen unsicheren Direktlink beim Ändern des Passworts eines Benutzers
– Ein Beispiel für einen Angriff auf einen unsicheren direkten Link beim Zurücksetzen des Passworts eines Benutzers
-Ein Beispiel für einen Angriff auf einen unsicheren Direktlink bei der Bestellung von Tickets in einem Online-Shop
-Verzeichnisdurchlauf in Verzeichnissen
-Verzeichnisdurchlauf in Dateien
-Angriff auf den Host-Header, der zu einer Cache-Vergiftung führt
-Angriff auf den Host-Header, der zum Zurücksetzen des Passworts führt
-Inklusive lokaler Datei im SQLiteManager
-Lokale oder Remote-Datei (RFI/LFI) aktivieren
-Angriff auf Geräteeinschränkungen
-Angriff auf Verzeichniszugriffsbeschränkung
-SSRF-Angriff
-Angriff auf XXE
Modul 7. Unsichere Konfiguration (2 ac. H.)
-Prinzipien von Konfigurationsangriffen
-Zufälliger Zugriff auf Dateien in Samba
- Flash-Domänenübergreifende Richtliniendatei
-Gemeinsame Ressourcen in AJAX
-Cross-Site Tracing (XST)
-Denial of Service (große Blockgröße)
-Denial of Service (langsames HTTP-DoS)
-Denial of Service (SSL-Erschöpfung)
-Denial of Service (XML-Bombe)
-Unsichere DistCC-Konfiguration
-Unsichere FTP-Konfiguration
-Unsichere NTP-Konfiguration
-Unsichere SNMP-Konfiguration
-Unsichere VNC-Konfiguration
-Unsichere WebDAV-Konfiguration
-Lokale Rechteausweitung
-Man-in-the-Middle-Angriff in HTTP
-Man-in-the-Middle-Angriff in SMTP
-Unsichere Speicherung archivierter Dateien
-Robots-Datei
Modul 8. Cross-Site-Scripting (XSS) (3 ac. H.)
-Reflektiertes XSS in GET-Anfragen
-Reflektiertes XSS in POST-Anfragen
-Reflektiertes XSS zu JSON
-Reflektiertes XSS in AJAX
Reflektiertes XSS in XML
-Reflektiertes XSS im Return-Button
-Reflektiertes XSS in der Eval-Funktion
-Reflektiertes XSS im HREF-Attribut
-Reflektiertes XSS im Anmeldeformular
-Beispiel für reflektiertes XSS in phpMyAdmin
-Reflektiertes XSS in der PHP_SELF-Variable
-Reflektiertes XSS im Referer-Header
-Reflektiertes XSS im User-Agent-Header
-Reflektiertes XSS in benutzerdefinierten Headern
-Gespeichertes XSS in Blogbeiträgen
-Gespeichertes XSS bei Änderung der Benutzerdaten
-Gespeichertes XSS in Cookies
-Gespeichertes XSS im SQLiteManager
-Gespeichertes XSS in HTTP-Headern
Modul 9. Unsichere Deserialisierung (2 ac. H.)
-Demonstration der PHP-Objektinjektion
-Backdoor-Injection während der Deserialisierung
-Unsichere Deserialisierung in JavaScript
Modul 10. Verwendung von Komponenten mit bekannten Schwachstellen (2 ac. H.)
-Lokale Pufferüberlaufangriffe
-Remote-Pufferüberlauf-Angriffe
-SQL-Injection in Drupal (Drupageddon)
-Heartbleed-Sicherheitslücke
-Remote-Codeausführung in PHP CGI
-Angriff auf die PHP-Eval-Funktion
-Schwachstelle im phpMyAdmin BBCode Tag XSS
-Shellshock-Schwachstelle
-Verbinden einer lokalen Datei im SQLiteManager
-Injektion von PHP-Code in SQLiteManager
-XSS im SQLiteManager
Modul 11. Mangelnde Protokollierung und Überwachung (1 ac. H.)
-Beispiel für unzureichende Protokollierung
-Beispiel für eine Sicherheitslücke bei der Protokollierung
-Ein Beispiel für unzureichende Überwachung
Gebäudeinformationssicherheit basierend auf ISO/IEC 27002
Sie lernen den internationalen Informationssicherheitsstandard ISO/IEC 27002 kennen und erhalten praktische Empfehlungen für die Verwaltung des Informationssicherheitssystems eines Unternehmensnetzwerks in Übereinstimmung mit der Norm und Treffen komplexer Entscheidungen, einschließlich: Verhindern von Vorfällen im Bereich der Computersicherheit, Erstellen, Implementieren und Aufrechterhalten solcher Systeme.
4,1
Abonnieren
YOU MIGHT ALSO LIKE
