INE – Practical Web Defense

دوره Practical Web Defense یک دوره آموزشی کاملاً هدایت‌شده و عملی در مورد نحوه حمله به برنامه‌های کاربردی وب در دنیای واقعی و کارهایی است که می‌توانید برای کاهش هر حمله انجام دهید. مدیریت پیکربندی یکی از اولین موضوعاتی است که با آن مواجه خواهید شد و به شما نشان می دهد که چگونه رابط های مدیریتی، بانک های DB، فایل های قدیمی/پشتیبان، آپلود فایل ها و برنامه های کاربردی را به درستی پیکربندی و ایمن کنید. اقدامات کاهشی در برابر حملات رایج احراز هویت و مجوز در مرحله بعدی قرار دارند. به طور خاص، یاد خواهید گرفت که چگونه از برنامه های خود در برابر شمارش کاربر، حملات brute force، فعال بودن اعتبار پیش فرض، دور زدن احراز هویت، حملات پیمایش مسیر، حملات گنجاندن فایل محلی، حملات IDOR و غیره محافظت کنید. مدیریت جلسه ماژول مهم دیگری است که با آن مواجه خواهید شد. در طول دوره PWD، که در آن شما یاد خواهید گرفت که چگونه تثبیت جلسه، متغیرهای جلسه در معرض، CSRF و غیره را کاهش دهید. نقص های منطق تجاری و تأثیر آنها بر وضعیت امنیتی کلی یک برنامه نیز با مثال های واضح پوشش داده شده است. همانطور که حدس می‌زنید، اعتبارسنجی داده‌های مناسب به‌منظور کاهش حملاتی مانند XSS، آلودگی پارامتر HTTP، ORM، SQLi، XXE، SSI، تزریق XPATH، تزریق فرمان، RFI و بسیاری موارد دیگر به تفصیل پوشش داده شده است. یک رویکرد دفاعی جامع نباید از حملات علیه پیاده‌سازی‌های رمزنگاری و سرویس‌های وب (XML و JSON-RPC، SOAP & REST، حملات جعلی/عملی و غیره) غافل شود. کدگذاری ایمن کاربردی نیز شامل مواردی مانند کاهش سطح حمله، اعتبارسنجی دقیق ورودی، اصل حداقل امتیاز، دسترسی ایمن به داده‌ها و توابع و غیره است. هنگامی که دسترسی به کد وجود ندارد، وصله مجازی راه حلی است. PWD نحوه انجام وصله مجازی و نحوه استفاده از آن برای اهداف تشخیص نفوذ/پیشگیری را آموزش می دهد.

لینک دانلود دوره آموزشی INE – Practical Web Defense

 

حجم: 9.7 گیگابایت

دانلود – بخش اول
دانلود – بخش دوم
دانلود – بخش سوم
دانلود – بخش چهارم

Date: 2023
Publisher: INE
By: Abraham Aranguren
Course Duration: 40h 30m
Format: Video + Slide
Difficulty Level: Professional

The Practical Web Defense course is a fully guided and practical self-study course about how web applications are attacked in the real world and what you can do to mitigate every attack. Configuration management is among the first topics you will come across, showing you how to properly configure and secure admin interfaces, DB listeners, old/backup files, file uploads and applications in general. Mitigations against common authentication and authorization attacks are up next. Specifically, you will learn how to protect your applications against user enumeration, brute force attacks, default credentials being active, authentication schema bypasses, path traversal attacks, local file inclusion attacks, IDOR attacks etc. Session management is another important module you will come across during the PWD course, in which you will learn how to mitigate session fixation, exposed session variables, CSRF etc. Business logic flaws and their impact on the overall security posture of an application is also covered with clear examples. As you would have guessed, proper data validation is covered in detail, in order to mitigate attacks such as XSS, HTTP parameter pollution, ORM, SQLi, XXE, SSI, XPATH injection, Command injection, RFI and many more. A holistic defense approach should not neglect attacks against crypto implementations and web services (XML & JSON-RPC, SOAP & REST, spoofing/action attacks, etc.). Applied secure coding is also included highlighting matters such as attack surface reduction, strict input validation, least privilege principle, secure access to data & functions etc. When no access to code is provided, virtual patching is the way to go. PWD teaches how to perform virtual patching and how to leverage it for intrusion detection/prevention purposes.

Jump to category
Course
Tool Introduction

Activities:4

Tool Introduction – Study Guide

ZAP and cURL

OWTF

OWASP OWTF AND THE OWASP TESTING GUIDE

Information Gathering

Activities:3

Information Gathering – Study Guide

Information Gathering

INFORMATION GATHERING

Configuration Management

Activities:3

Configuration Management – Study Guide

Configuration Management

CONFIGURATION MANAGEMENT

Authentication

Activities:3

Authentication – Study Guide

Authentication

AUTHENTICATION

Authorization

Activities:3

Authorization – Study Guide

Authorization

AUTHORIZATION

Session Management

Activities:3

Session Management – Study Guide

Session Management

SESSION MANAGEMENT

Business Logic Flaws

Activities:3

Business Logic Flaws – Study Guide

Business Logic Flaws

BUSINESS LOGIC FLAWS

Data Validation

Activities:3

Data Validation – Study Guide

Data Validation

DATA VALIDATION FLAWS

Cryptography

Activities:3

Cryptography – Study Guide

Cryptography

CRYPTOGRAPHY

Denial of Service

Activities:3

Denial of Service – Study Guide

Denial of Service

DENIAL OF SERVICE FLAWS

WebServices

Activities:11

WebServices – Study Guide

XML RPC

JSON RPC

SOAP

REST

XML-RPC – Part 1

JSON-RPC

SOAP

RESTFUL WEB SERVICES

RESTFUL WEB SERVICES – Part 2

XML-RPC – Part 2

Client Side and Phishing

Activities:3

Client Side and Phishing – Study Guide

Client Side and Phishing

CLIENT SIDE AND PHISHING

Error Handling and Logging

Activities:3

Error Handling and Logging – Study Guide

Error Handling and Logging

ERROR HANDLING AND LOGGING

Applied Secure Coding Principles

Activities:1

Applied Secure Coding Principles – Study Guide

Virtual Patching and Intrusion Detection

Activities:3

Virtual Patching and Intrusion Detection – Study Guide

Virtual Patching and Intrusion Detection

VIRTUAL PATCHING AND INTRUSION DETECTION

Securing Web Applications

Activities:3

Securing Web Applications – Study Guide

Exam Preparation

Exam Preparation

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.