Veebirünnak ja kaitse
Varia / / December 05, 2023
Kvalifikatsiooni ja kogemuste poolest ainulaadne professionaal, juhtiv õpetaja arvutivõrkude turvalisuse valdkonnas.
Ta oli esimene Venemaal, kes sai eetilise häkkimise volitatud instruktori staatuse. Ta on eetiliste häkkimisinstruktorite "Circle of Excellence" liige ja tal on litsentsitud läbitungimistestija (meistri) staatus. Tema tundides valitseb tõeline teadmiste, kogemuste ja oskuste tähistamise õhkkond. Kuulajad on rõõmsad – lugege arvustusi ja veenduge ise!
Omab 50 mainekat rahvusvahelist sertifikaati, sealhulgas 30 infoturbe ja eetilise häkkimise sertifikaati. Eetilise häkkimise ja läbitungimise testimise magister (litsentsitud läbitungimistesti meister). Solvav turbesertifitseeritud professionaal (OSCP) ja turbesertifikaat (SCP). Microsofti sertifitseeritud turbeinsener (MCSE: turvalisus) ja EC-Councili, Microsofti ja CryptoPro sertifitseeritud juhendaja.
Sergei Klevogini juhtimisel jõudis Spetsialistide Keskuse meeskond 2015. aasta maailma küberolümpiamängude finaali, kus võideti piirkonna tšempionide olümpiaauhind!
Osaleb ja viib regulaarselt läbi meistrikursusi rahvusvahelistel infoturbe teemalistel konverentsidel ja foorumitel – Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days. Häkkimistehnikate ja läbitungimise testimise teemaliste tasuta seminaride autor ja esineja.
Sergei Pavlovitšil on kogemus Vene Föderatsiooni kaitseministeeriumis programmeerijana, keskkaitses infoturbe inspektorina. Vene Föderatsiooni Pank, kommertspanga infotehnoloogia osakonna juhataja, Moskva Majandus- ja Statistikainstituudi õppejõud Instituut. Sergei Pavlovitši kogemus on väga väärtuslik selle poolest, et see näitab nii IT-toodete ja -põhimõtete professionaalset valdamist kui ka arusaamist äriprotsesside integreerimisest infotehnoloogiatega. Ja mis kõige tähtsam, Sergei Pavlovitš jagab oma kogemusi ning oskab rääkida keerulistest tehnoloogiatest lihtsalt ja selgelt.
Oma tundides ühendab Sergei Pavlovitš teoreetilise materjali selgituse süsteemi erinevate komponentide seadistamise demonstratsiooniga. Materjali täiendatakse detailidega, mis sageli väljuvad kursuse mahust (nali, ootamatu meelelahutuslik küsimus, naljakas arvutitrikk).
Näiteid leiate lingilt: Häkkimisvideo.
Oracle'i ja Java kursuste ekspertõpetaja. Oracle'i sertifitseeritud spetsialist, tehnikateaduste kandidaat. Teda eristab mitmekülgne kogemus praktilises ja õppetöös.
2003. aastal lõpetas Aleksei Anatoljevitš MIREA kiitusega. 2006. aastal kaitses ta doktoritöö teemal turvaliste automatiseeritud infosüsteemide ehitamine.
Andmebaaside turvalisuse suurspetsialist, Oracle DBMS-i ja SQL Serveri jaoks turvaliste Java- ja veebirakenduste loomine, salvestatud programmimoodulite arendamine PL/SQL ja T-SQL keeles. Automatiseeriti suurte riigiettevõtete tegevust. Osutab konsultatsiooni- ja nõustamisteenuseid Java EE platvormil põhinevate keeruliste hajutatud veebirakenduste arendamisel.
Aleksei Anatoljevitši õpetamiskogemus kraadiõppesüsteemis ületab 7 aastat. Töötanud äriklientidega, koolitanud ettevõtete “BANK PSB”, “Internet University of Info Technologies (INTUIT)”, “SINTERRA” töötajaid.
Mitmete programmeerimise ja andmebaasidega töötamise õpetlike ja metoodiliste käsiraamatute autor. Aastatel 2003–2005 tegeles Aleksei Anatoljevitš veebiprogrammeerimist käsitleva väliskirjanduse kohandamise ja tehnilise tõlkimisega ning andmebaasidega töötamisega. Avaldanud üle 20 teadusartikli.
Tänulikud lõpetajad märgivad alati isegi kõige keerukamate teemade ligipääsetavat esitusviisi, üksikasjalikke vastuseid õpilaste küsimustele ja elavate näidete rohkust õpetaja ametipraktikast.
1. moodul. Veebisaidi kontseptsioonid (2 ak. h.)
-Veebiserverite ja veebirakenduste tööpõhimõtted
- Veebisaidi ja veebirakenduste turvalisuse põhimõtted
-Mis on OWASP
-OWASP Top 10 klassifikatsiooni ülevaade
- Rünnakute sooritamise tööriistade tutvustus
- Labori seadistamine
2. moodul. Süstid (4 ak. h.)
-Mis on süstid ja miks need on võimalikud?
-HTML-i süstimine
-Mis on iFrame
-iFrame'i süstimine
-Mis on LDAP
-LDAP süstimine
- Mis on kirjade päised
-Süstimised kirja päistesse
-Operatsioonisüsteemi käsu süstimine
-PHP koodi sisestamine
- Mis on serveripoolsed lisamised (SSI)
-SSI süstid
-Struktureeritud päringukeele (SQL) mõisted
-SQL süstimine
-Mis on AJAX/JSON/jQuery
-SQL-i süstimine AJAX/JSON/jQuery-s
-Mis on CAPTCHA
-SQL-i süstimine, möödudes CAPTCHA-st
-SQLite süstimine
-Näide SQL-i süstimisest Drupalis
-Mis on salvestatud SQL-i süstid
-Salvestatud SQL-i süstid
-Salvestatud SQLite süstid
-XML-i kontseptsioonid
-Salvestatud SQL-i sisestamine XML-i
-Kasutajaagendi kasutamine
-SQL-i sisestamine väljale User-Agent
- Pimedad SQL-i süstid loogilisel alusel
- Pimedad SQL-i süstid ajutiselt
- Pimedad SQLite süstid
- Mis on Object Access Protocol (SOAP)
- Pime SQL-i süstimine SOAP-is
-XML/XPath süstimine
3. moodul. Häkkimise autentimine ja seanss (2 ac. h.)
-Mööda CAPTCHAst
- Rünnak parooli taastamise funktsioonile
- Sisselogimisvormide rünnak
- Rünnak väljundi juhtimisele
- Rünnakud paroolidele
- Nõrkade paroolide kasutamine
- Universaalse parooli kasutamine
- Haldusportaalide rünnakud
- Rünnakud küpsistele
- Rünnakud URL-is seansi ID edastamisel
- Seansi fikseerimine
4. moodul. Oluliste andmete lekkimine (2 ak. h.)
- Base64 kodeeringu kasutamine
- Mandaatide avamine HTTP kaudu
- Rünnakud SSL BEAST / CRIME / BREACH vastu
- Rünnak Heartbleedi haavatavuse vastu
-POODLE haavatavus
- Andmete salvestamine HTML5 veebimällu
- SSL-i vananenud versioonide kasutamine
- Andmete salvestamine tekstifailidesse
5. moodul. Välised XML-objektid (2 ac. h.)
-Rünnak välistele XML-objektidele
-XXE rünnak parooli lähtestamisel
- Rünnak haavatavuse vastu sisselogimisvormis
- Haavatavuse rünnak otsinguvormis
-Teenuse keelamise rünnak
6. moodul. Juurdepääsu kontrolli rikkumine (2 ac. h.)
-Näide ebaturvalise otselingi ründamisest kasutaja parooli muutmisel
-Näide rünnakust ebaturvalise otselingi vastu kasutaja parooli lähtestamisel
-Näide ebaturvalise otselingi ründamisest veebipoes piletite tellimisel
- Kataloogide läbimine kataloogides
-Kaustade läbimine failides
-Rünnak hosti päisele, mis põhjustab vahemälu mürgistuse
-Rünnak hosti päisele, mis viib parooli lähtestamiseni
- Sealhulgas kohalik fail SQLiteManageris
- Lubage kohalik või kaugfail (RFI/LFI)
- Seadme piiramise rünnak
-Kausta juurdepääsupiirangu rünnak
-SSRF rünnak
-Rünnak XXE vastu
7. moodul. Ebaturvaline konfiguratsioon (2 ac. h.)
-Konfiguratsioonirünnakute põhimõtted
- Juhuslik juurdepääs failidele Sambas
- Flashi domeenidevaheline poliitikafail
- Jagatud ressursid AJAXis
- Saidiülene jälgimine (XST)
- Teenusest keeldumine (suur tükk)
- Teenuse keelamine (aeglane HTTP DoS)
- Teenuse keelamine (SSL-i ammendumine)
- Teenuse keelamine (XML-pomm)
- Ebaturvaline DistCC konfiguratsioon
- Ebaturvaline FTP konfiguratsioon
-Ebaturvaline NTP konfiguratsioon
- Ebaturvaline SNMP konfiguratsioon
- Ebaturvaline VNC konfiguratsioon
-Ebaturvaline WebDAV-i konfiguratsioon
- Kohalike privileegide eskalatsioon
-Man in the Middle Attack HTTP-s
-Mees keskel ründes SMTP-s
-Arhiivitud failide ebaturvaline salvestus
-Robotite fail
8. moodul. Saididevaheline skriptimine (XSS) (3 ac. h.)
- Peegeldub XSS GET-i päringutes
- POST-i päringutes kajastub XSS
- Peegeldub XSS JSON-iks
- AJAXis peegeldunud XSS
Peegeldunud XSS XML-is
-Tagastusnupul peegeldunud XSS
- Peegeldunud XSS funktsioonis Eval
- Peegeldunud XSS atribuudis HREF
-Peegeldatud XSS sisselogimisvormis
- PhpMyAdminis kajastatud XSS-i näide
- Peegeldunud XSS muutujas PHP_SELF
-Refereri päises kajastub XSS
- User-Agenti päises kajastub XSS
- Peegeldunud XSS kohandatud päistes
-Salvestatud XSS ajaveebi postitustes
-Salvestatud XSS kasutajaandmete muutmisel
-Salvestatud XSS küpsistesse
-Salvestatud XSS SQLiteManageris
-Salvestatud XSS HTTP päistesse
9. moodul. Ebaturvaline deserialiseerimine (2 ak. h.)
- PHP objekti süstimise demonstreerimine
-Tagaukse süstimine deserialiseerimise ajal
-Ebaturvaline deserialiseerimine JavaScriptis
10. moodul. Teadaolevate haavatavustega komponentide kasutamine (2 ac. h.)
- Kohaliku puhvri ületäitumise rünnakud
- Kaugpuhvri ületäitumise rünnakud
- SQL-i süstimine Drupalis (Drupageddon)
- Südameverejooksu haavatavus
-Koodi kaugkäivitamine PHP CGI-s
- PHP Eval funktsiooni rünnak
- Haavatavus phpMyAdmini BBCode Tag XSS-is
- Shellshocki haavatavus
-Kohaliku faili ühendamine SQLiteManageris
- PHP koodi sisestamine SQLiteManagerisse
-XSS SQLiteManageris
11. moodul. Logimise ja seire puudumine (1 ak. h.)
-Ebapiisava metsaraie näide
- Logimise haavatavuse näide
-Ebapiisava seire näide
Saad tuttavaks rahvusvahelise infoturbe standardiga ISO/IEC 27002 ja saad praktilisi soovitusi ettevõtte võrgu infoturbesüsteemi haldamiseks. vastavalt standardile ja keeruliste otsuste tegemine, sh: arvutiturbe valdkonna intsidentide ennetamine, selliste loomine, juurutamine, hooldamine süsteemid.
4,1