Interneto puolimas ir gynyba

Unikalus pagal kvalifikaciją ir patirtį profesionalas, pirmaujantis dėstytojas Kompiuterinių tinklų apsaugos srityje.

Oracle ir Java kursų mokytoja ekspertė. Oracle sertifikuotas specialistas, technikos mokslų kandidatas. Jis išsiskiria įvairiapuse praktinės ir mokymo veiklos patirtimi.
2003 m. Aleksejus Anatoljevičius su pagyrimu baigė MIREA. 2006 m. apgynė daktaro disertaciją saugių automatizuotų informacinių sistemų kūrimo tema.
Pagrindinis specialistas duomenų bazių saugumo srityje, kuriantis saugias Java ir žiniatinklio programas Oracle DBMS ir SQL Server, kuriantis saugomų programų modulius PL/SQL ir T-SQL. Automatizavo didelių valstybės valdomų įmonių veiklą. Teikia konsultavimo ir konsultavimo paslaugas kuriant sudėtingas paskirstytas žiniatinklio programas, pagrįstas Java EE platforma.
Aleksejaus Anatoljevičiaus dėstymo patirtis antrosios pakopos studijų sistemoje viršija 7 metus. Dirbo su verslo klientais, mokė įmonių „BANK PSB“, „Informacinių technologijų interneto universitetas (INTUIT)“, „SINTERRA“ darbuotojus.
Kelių mokomųjų ir metodinių vadovų apie programavimą ir darbą su duomenų bazėmis autorė. 2003–2005 m. Aleksejus Anatoljevičius užsiėmė užsienio literatūros apie žiniatinklio programavimą pritaikymu ir techniniu vertimu bei darbu su duomenų bazėmis. Paskelbė per 20 mokslinių straipsnių.
Dėkingi absolventai visada atkreipia dėmesį į prieinamą net sudėtingiausių temų pateikimo būdą, išsamius atsakymus į studentų klausimus ir daugybę gyvų pavyzdžių iš mokytojo profesinės praktikos.

1 modulis. Svetainės koncepcijos (2 ak. h.)

-Žiniatinklio serverių ir interneto programų veikimo principai
- Svetainės ir žiniatinklio programų saugos principai
- Kas yra OWASP
-OWASP 10 geriausių klasifikacijų apžvalga
- Supažindinimas su atakų vykdymo įrankiais
- Laboratorijos įrengimas

2 modulis. Injekcijos (4 ak. h.)

– Kas yra injekcijos ir kodėl jos galimos?
-HTML injekcija
- Kas yra iFrame
-iFrame įpurškimas
- Kas yra LDAP
- LDAP injekcija
– Kas yra laiškų antraštės
-Injekcijos laiškų antraštėse
-Operacinės sistemos komandų įpurškimas
-PHP kodo įvedimas
- Kas yra serverio pusės įtraukimai (SSI)
-SSI injekcijos
- Struktūrinės užklausos kalbos (SQL) sąvokos
- SQL injekcija
– Kas yra AJAX/JSON/jQuery
- SQL įpurškimas AJAX / JSON / jQuery
- Kas yra CAPTCHA
-SQL įpurškimas apeinant CAPTCHA
-SQLite injekcija
- SQL įterpimo Drupal sistemoje pavyzdys
-Kas yra saugomos SQL injekcijos
-Saugomos SQL injekcijos
-Saugomos SQLite injekcijos
-XML sąvokos
- Išsaugotas SQL įterpimas į XML
-Naudojant vartotojo agentą
-SQL įterpimas į vartotojo agento lauką
- Aklos SQL injekcijos loginiu pagrindu
- Laikinos aklos SQL injekcijos
- Aklosios SQLite injekcijos
- Kas yra objektų prieigos protokolas (SOAP)
- Aklas SQL įpurškimas SOAP
-XML/XPath injekcija

3 modulis. Įsilaužimo autentifikavimas ir seansas (2 ac. h.)

-Apeiti CAPTCHA
- Ataka prieš slaptažodžio atkūrimo funkciją
- Prisijungimo formų ataka
- Išėjimo valdymo puolimas
- Atakos prieš slaptažodžius
- Silpnų slaptažodžių naudojimas
- Naudoti universalų slaptažodį
-Administracinių portalų atakos
- Atakos prieš slapukus
- Atakos perduodant seanso ID URL
- Seanso fiksavimas

4 modulis. Svarbių duomenų nutekėjimas (2 ak. h.)

- Naudojant Base64 kodavimą
- Atviras kredencialų perdavimas per HTTP
- Atakos prieš SSL BEAST / CRIME / BREACH
- Ataka prieš Heartbleed pažeidžiamumą
-POODLE pažeidžiamumas
- Duomenų saugojimas HTML5 žiniatinklio saugykloje
-Naudojamos pasenusios SSL versijos
- Duomenų saugojimas tekstiniuose failuose

5 modulis. Išoriniai XML objektai (2 ac. h.)

- Išorinių XML objektų ataka
-XXE ataka iš naujo nustatant slaptažodį
- Prisijungimo formos pažeidžiamumo ataka
- Ataka prieš pažeidžiamumą paieškos formoje
- Paslaugų atsisakymo ataka

6 modulis. Praėjimo kontrolės pažeidimas (2 ak. h.)

- Atakos prieš nesaugią tiesioginę nuorodą pavyzdys keičiant vartotojo slaptažodį
- Atakos prieš nesaugią tiesioginę nuorodą pavyzdys, kai iš naujo nustatomas vartotojo slaptažodis
-Atakos dėl nesaugios tiesioginės nuorodos pavyzdys užsakant bilietus internetinėje parduotuvėje
-Katalogų perkėlimas kataloguose
- Katalogų perėjimas failuose
- Ataka prieš pagrindinio kompiuterio antraštę, sukelianti talpyklos apsinuodijimą
- Ataka prieš pagrindinio kompiuterio antraštę, dėl kurios slaptažodis nustatomas iš naujo
-Įskaitant vietinį failą į SQLiteManager
- Įgalinti vietinį arba nuotolinį failą (RFI / LFI)
-Įrenginio apribojimo ataka
- Katalogų prieigos apribojimo ataka
-SSRF ataka
- Ataka prieš XXE

7 modulis. Nesaugi konfigūracija (2 ac. h.)

- Konfigūracijos atakų principai
- Atsitiktinė prieiga prie failų „Samba“.
- „Flash“ kelių domenų politikos failas
- Bendrinami AJAX ištekliai
- Kryžminis stebėjimas (XST)
- Paslaugos atsisakymas (didelis gabalas)
- Paslaugos atsisakymas (lėtas HTTP DoS)
- Paslaugos atsisakymas (SSL išnaudojimas)
- Paslaugos atsisakymas (XML bomba)
- Nesaugi DistCC konfigūracija
- Nesaugi FTP konfigūracija
- Nesaugi NTP konfigūracija
- Nesaugi SNMP konfigūracija
- Nesaugi VNC konfigūracija
- Nesaugi WebDAV konfigūracija
- Vietos privilegijų eskalavimas
- Žmogus viduryje HTTP puolimo
-Žmogus viduryje puolimo SMTP
- Nesaugus archyvuotų failų saugojimas
- Robotų failas

8 modulis. Kelių svetainių scenarijus (XSS) (3 ak. h.)

- GET užklausose atsispindėjo XSS
- Atsispindėjo XSS POST užklausose
- Atspindi XSS į JSON
- Atsispindi XSS AJAX
Atsispindi XSS XML
- Atsispindi XSS grįžimo mygtuke
- Atsispindėjo XSS funkcijoje Eval
- Atsispindi XSS HREF atribute
- Atsispindi XSS prisijungimo formoje
- phpMyAdmin rodomo XSS pavyzdys
- Atspindėtas XSS kintamajame PHP_SELF
- Referer antraštėje atspindėtas XSS
- Atsispindi XSS vartotojo agento antraštėje
- Atsispindi XSS tinkintose antraštėse
-Saugomas XSS tinklaraščio įrašuose
-Saugomas XSS keičiant vartotojo duomenis
- Išsaugotas XSS slapukuose
- Išsaugotas XSS SQLiteManager
-Saugomas XSS HTTP antraštėse

9 modulis. Nesaugi deserializacija (2 ak. h.)

- PHP objekto įvedimo demonstravimas
- Galinių durų įpurškimas deserializacijos metu
- Nesaugus deserializavimas JavaScript

10 modulis. Naudojant komponentus su žinomomis pažeidžiamumu (2 ac. h.)

-Vietinio buferio perpildymo atakos
- Nuotolinės buferio perpildymo atakos
- SQL įpurškimas „Drupal“ („Drupageddon“)
- Širdies kraujavimo pažeidžiamumas
- Nuotolinis kodo vykdymas PHP CGI
- PHP Eval funkcijos ataka
- phpMyAdmin BBCode Tag XSS pažeidžiamumas
- „Shellshock“ pažeidžiamumas
- Vietinio failo prijungimas SQLiteManager
- PHP kodo įvedimas į SQLiteManager
-XSS SQLiteManager

11 modulis. Trūksta registravimo ir stebėjimo (1 ak. h.)

- Nepakankamo kirtimo pavyzdys
- Registravimo pažeidžiamumo pavyzdys
- Nepakankamo stebėjimo pavyzdys