Web saldırısı ve savunma
Miscellanea / / December 05, 2023
Nitelikler ve deneyim açısından eşsiz bir profesyonel, Bilgisayar Ağ Güvenliği alanında lider bir öğretmen.
Rusya'da etik hackleme konusunda yetkili eğitmen statüsünü alan ilk kişi oldu. Etik hackleme eğitmenlerinden oluşan “Mükemmellik Çemberi”nin üyesidir ve Lisanslı Penetrasyon Test Cihazı (Usta) statüsüne sahiptir. Derslerinde bilgi, deneyim ve becerinin gerçek bir kutlaması atmosferi var. Dinleyiciler çok memnun; yorumları okuyun ve kendiniz görün!
Bilgi güvenliği ve etik hackleme alanında 30 sertifika dahil olmak üzere 50 prestijli uluslararası sertifikanın sahibi. Etik Hacking ve Sızma Testi Ustası (Lisanslı Penetrasyon Test Cihazı Ustası). Saldırı Güvenliği Sertifikalı Profesyonel (OSCP) ve Güvenlik Sertifikalı Programı (SCP). Microsoft Sertifikalı Güvenlik Mühendisi (MCSE: Güvenlik) ve EC-Council, Microsoft ve CryptoPro için sertifikalı eğitmen.
Uzman Merkezi ekibi, Sergei Klevogin liderliğindeki Dünya Siber Olimpiyat Oyunları 2015'in finallerine ulaştı ve burada Bölge Şampiyonları Olimpiyat ödülünü kazandı!
Black Hat, Hacker Halted, OWASP AppSec, Positive Hack Days gibi bilgi güvenliği konulu uluslararası konferans ve forumlara düzenli olarak katılır ve ustalık sınıfları düzenler. Bilgisayar korsanlığı teknikleri ve sızma testleri üzerine ücretsiz seminerlerin yazarı ve sunucusu.
Sergey Pavlovich, Rusya Federasyonu Savunma Bakanlığı'nda programcı ve Merkez'de bilgi güvenliği müfettişi olarak deneyime sahiptir. Rusya Federasyonu Bankası, ticari bir bankanın Bilgi Teknolojileri Bölüm Başkanı, Moskova Ekonomi ve İstatistik Enstitüsü'nde öğretmen Enstitü. Sergei Pavlovich'in deneyimi, hem BT ürünleri ve ilkelerine ilişkin profesyonel ustalığı hem de iş süreçlerinin bilgi teknolojileriyle entegrasyonuna ilişkin anlayışı göstermesi açısından çok değerlidir. Ve en önemlisi, Sergey Pavlovich deneyimini paylaşıyor ve karmaşık teknolojiler hakkında basit ve net bir şekilde konuşabiliyor.
Dersleri sırasında, Sergei Pavlovich teorik materyalin açıklamasını sistemin çeşitli bileşenlerinin kurulumuna ilişkin bir gösterimle birleştiriyor. Materyal, genellikle dersin kapsamını aşan ayrıntılarla desteklenir (bir şaka, beklenmedik eğlenceli bir soru, komik bir bilgisayar numarası).
Örnekleri şu bağlantıda bulabilirsiniz: Hacking videosu.
Oracle ve Java derslerinin uzman öğretmeni. Oracle Sertifikalı Uzman, Teknik Bilimler Adayı. Uygulamalı ve öğretimsel faaliyetlerdeki çeşitli deneyimiyle öne çıkmaktadır.
2003 yılında Alexey Anatolyevich MIREA'dan onur derecesiyle mezun oldu. 2006 yılında güvenli otomatik bilgi sistemleri oluşturma konusunda doktora tezini savundu.
Veritabanı güvenliği alanında önemli bir uzman, Oracle DBMS ve SQL Server için güvenli java ve web uygulamaları oluşturma, PL/SQL ve T-SQL'de depolanan program modülleri geliştirme. Büyük devlete ait işletmelerin faaliyetlerini otomatikleştirdi. Java EE platformunu temel alan karmaşık dağıtılmış web uygulamalarının geliştirilmesinde danışmanlık ve danışmanlık hizmetleri sağlar.
Alexey Anatolyevich'in lisansüstü eğitim sistemindeki öğretmenlik deneyimi 7 yılı aşıyor. Kurumsal müşterilerle çalıştı, “BANK PSB”, “İnternet Bilgi Teknolojileri Üniversitesi (INTUIT)”, “SINTERRA” şirketlerinin çalışanlarını eğitti.
Programlama ve veritabanlarıyla çalışma üzerine çeşitli eğitimsel ve metodolojik kılavuzların yazarı. 2003'ten 2005'e kadar Alexey Anatolyevich, web programlama ve veritabanlarıyla çalışma konusunda yabancı literatürün uyarlanması ve teknik çevirisiyle uğraştı. 20'den fazla bilimsel makale yayınladı.
Minnettar mezunlar, en karmaşık konuların bile erişilebilir sunum tarzına, öğrencilerden gelen sorulara ayrıntılı yanıtlara ve öğretmenin mesleki uygulamasından canlı örneklerin bolluğuna her zaman dikkat çeker.
Modül 1. Web sitesi konseptleri (2 ac. H.)
-Web sunucuları ve web uygulamalarının çalışma prensipleri
-Web sitesi ve web uygulaması güvenliğinin ilkeleri
-OWASP nedir
-OWASP İlk 10 sınıflandırmaya genel bakış
-Saldırı gerçekleştirmek için kullanılan araçlara giriş
-Laboratuvar kurulumu
Modül 2. Enjeksiyonlar (4 ac. H.)
-Enjeksiyon nedir ve neden mümkündür?
-HTML enjeksiyonu
-iFrame nedir
-iFrame enjeksiyonu
-LDAP nedir
-LDAP enjeksiyonu
-Posta başlıkları nelerdir
-Posta başlıklarındaki enjeksiyonlar
-İşletim sistemi komut enjeksiyonu
-PHP kod enjeksiyonu
-Sunucu tarafı kapanımları (SSI) nelerdir?
-SSI enjeksiyonları
-Yapılandırılmış Sorgu Dili (SQL) kavramları
-SQL enjeksiyonu
-AJAX/JSON/jQuery nedir?
-AJAX/JSON/jQuery'de SQL enjeksiyonu
-CAPTCHA nedir
-CAPTCHA'yı atlayarak SQL enjeksiyonu
-SQLite enjeksiyonu
-Drupal'da SQL enjeksiyonu örneği
-Saklanan SQL enjeksiyonları nelerdir?
-Depolanan SQL enjeksiyonları
-Depolanan SQLite enjeksiyonları
-XML Kavramları
-XML'e depolanan SQL enjeksiyonu
-Kullanıcı Aracısını Kullanma
-Kullanıcı Aracısı alanına SQL enjeksiyonu
-Mantıksal temelde kör SQL enjeksiyonları
-Geçici olarak kör SQL enjeksiyonları
-Kör SQLite enjeksiyonları
-Nesne Erişim Protokolü (SOAP) Nedir?
-SOAP'ta Kör SQL Enjeksiyonu
-XML/XPath enjeksiyonu
Modül 3. Kimlik doğrulama ve oturum korsanlığı (2 ac. H.)
-CAPTCHA'yı atla
-Şifre kurtarma işlevine saldırı
-Giriş formlarına saldırı
-Çıkış kontrolüne saldırı
-Şifrelere saldırılar
-Zayıf şifre kullanımı
-Evrensel bir şifre kullanma
-Yönetim portallarına saldırılar
-Çerezler'e Saldırılar
-URL'de oturum kimliğinin aktarılmasına yönelik saldırılar
-Oturum sabitleme
Modül 4. Önemli verilerin sızması (2 ac. H.)
-Base64 kodlamasını kullanma
-Kimlik bilgilerinin HTTP yoluyla açık aktarımı
-SSL CANAVAR/Suç/İhlal saldırıları
-Heartbleed güvenlik açığına saldırı
-POODLE güvenlik açığı
-Verilerin HTML5 web depolama alanında saklanması
-SSL'in eski sürümlerini kullanmak
-Verilerin metin dosyalarında saklanması
Modül 5. Harici XML nesneleri (2 ac. H.)
-Harici XML nesnelerine saldırı
Şifre sıfırlanırken -XXE saldırısı
-Giriş formundaki güvenlik açığına saldırı
-Arama formundaki güvenlik açığına saldırı
-Hizmeti engelleme saldırısı
Modül 6. Erişim kontrolünün ihlali (2 ac. H.)
-Bir kullanıcının şifresini değiştirirken güvenli olmayan bir doğrudan bağlantıya yapılan saldırı örneği
-Kullanıcının şifresini sıfırlarken güvenli olmayan bir doğrudan bağlantıya yapılan saldırı örneği
-Çevrimiçi bir mağazada bilet siparişi verirken güvenli olmayan doğrudan bağlantıya yapılan saldırıya bir örnek
-Dizinlerde Dizin Geçişi
-Dosyalarda dizin geçişi
- Ana Bilgisayar başlığına saldırı, önbellek zehirlenmesine neden olur
-Parolanın sıfırlanmasına yol açan Ana Bilgisayar başlığına saldırı
-SQLiteManager'a yerel dosya dahil
-Yerel veya uzak dosyayı (RFI/LFI) etkinleştirin
-Cihaz kısıtlama saldırısı
-Dizin erişim kısıtlama saldırısı
-SSRF saldırısı
-XXE'ye saldırı
Modül 7. Güvenli olmayan yapılandırma (2 ac. H.)
-Yapılandırma saldırılarının ilkeleri
-Samba'daki dosyalara rastgele erişim
- Flash Etki Alanları Arası Politika Dosyası
-AJAX'ta paylaşılan kaynaklar
-Siteler Arası İzleme (XST)
-Hizmet Reddi (Büyük Parça Boyutu)
-Hizmet Reddi (Yavaş HTTP DoS)
-Hizmet Reddi (SSL Tükenmesi)
-Hizmet Reddi (XML Bombası)
-Güvensiz DistCC yapılandırması
-Güvensiz FTP yapılandırması
-Güvensiz NTP yapılandırması
-Güvensiz SNMP yapılandırması
-Güvensiz VNC yapılandırması
-Güvensiz WebDAV yapılandırması
-Yerel ayrıcalık yükseltme
-HTTP'de Ortadaki Adam Saldırısı
-SMTP'de Ortadaki Adam Saldırısı
-Arşivlenmiş dosyaların güvenli olmayan şekilde saklanması
-Robotlar dosyası
Modül 8. Siteler arası komut dosyası çalıştırma (XSS) (3 ac. H.)
-GET isteklerinde yansıtılan XSS
-POST isteklerinde yansıtılan XSS
-XSS'i JSON'a yansıttı
-AJAX'ta yansıtılan XSS
XML'de yansıtılan XSS
-Geri dönüş düğmesine yansıtılan XSS
-Eval işlevinde yansıtılan XSS
-HREF özelliğinde yansıtılan XSS
-Giriş formunda yansıtılan XSS
-phpMyAdmin'de yansıtılan XSS örneği
-PHP_SELF değişkeninde yansıtılan XSS
-Referer başlığında yansıtılan XSS
-Kullanıcı Aracısı başlığında yansıtılan XSS
-Özel başlıklarda yansıtılan XSS
-Blog yazılarında saklanan XSS
-Kullanıcı verilerini değiştirirken saklanan XSS
-Çerezlerde saklanan XSS
-SQLiteManager'da saklanan XSS
-HTTP başlıklarında saklanan XSS
Modül 9. Güvenli olmayan seri durumdan çıkarma (2 ac. H.)
-PHP nesne enjeksiyonunun gösterimi
-Seri durumdan çıkarma sırasında arka kapı enjeksiyonu
-JavaScript'te güvenli olmayan seri durumdan çıkarma
Modül 10. Bilinen güvenlik açıklarına sahip bileşenleri kullanma (2 ac. H.)
-Yerel arabellek taşması saldırıları
-Uzaktan tampon taşması saldırıları
-Drupal'da (Drupageddon) SQL enjeksiyonu
-Heartbleed güvenlik açığı
-PHP CGI'da uzaktan kod yürütme
-PHP Eval işlevine saldırı
-phpMyAdmin BBCode Tag XSS'deki güvenlik açığı
-Shellshock güvenlik açığı
-SQLiteManager'da yerel bir dosyaya bağlanma
-PHP kodunun SQLiteManager'a enjeksiyonu
SQLiteManager'da -XSS
Modül 11. Günlük kaydı ve izleme eksikliği (1 ac. H.)
-Yetersiz kayıt örneği
-Günlüğe kaydetme güvenlik açığı örneği
-Yetersiz izleme örneği
Uluslararası bilgi güvenliği standardı ISO/IEC 27002 hakkında bilgi sahibi olacak ve bir kurumsal ağdaki bilgi güvenliği sistemini yönetmek için pratik öneriler alacaksınız. standarda uygun olarak ve aşağıdakiler dahil olmak üzere karmaşık kararlar almak: bilgisayar güvenliği alanında olayların önlenmesi, bu tür olayların oluşturulması, uygulanması, sürdürülmesi sistemler.
4,1