Курс Кібербезпека вебзастосунків

На цьому курсі ми спочатку вивчимо основи кібербезпеки та роботи з мережами, розберемо вразливості на практиці й навчимося протистояти атакам. Опануємо не тільки технічні скіли зламу, а й зможемо обґрунтувати доцільність виправлення помилок і демонструвати потенційний вплив на систему.

Програма курсу

Знайомство з напрямом кібербезпеки

• Зрозумієте основні визначення та підходи у сфері кібербезпеки
• Ознайомитеся з базовими інструментами для проходження курсу
• Дізнаєтесь, які напрями професійного розвитку існують у сфері кібербезпеки

Процес роботи Application Security

• Ознайомитесь із завданнями, які виконує Application Security Engineer
• Розглянете фреймворки, якими керуються Application Security Engineers
• Дізнаєтеся категорії вразливостей за списком OWASP Top 10
• Зрозумієте, з чого складається звіт вразливостей і який він має вигляд

Воркшоп №1 - Огляд інструментів для роботи

• Дізнаєтесь, як працювати з Burp Suite Proxy і ZAP
• Навчитеся запускати сканери вразливостей

Кібербезпека мереж

• Зрозумієте загальні принципи роботи мережі, модель OSI
• Зможете встановлювати, налаштовувати й працювати з мережними утилітами
• Дізнаєтесь, які напрями атак на мережу існують
• Навчитеся сканувати мережу та перехоплювати трафік зі свого комп'ютера

Побудова карти застосунку

• Дізнаєтеся способи пошуку всіх можливих компонентів застосунку
• Зрозумієте, як працювати з Burp Suite Proxy

Основи криптографії

• Зрозумієте відмінність між шифруванням, хешуванням та кодуванням
• Вивчите принципи синхронної та асинхронної криптографії
• Дізнаєтесь, як відбувається шифрування інформації
• Ознайомитеся з криптографічним алгоритмом RSA
• Розглянете основні атаки на криптографію

Атаки на серверну частину вебзастосунків (Частина 1)

• Ознайомитеся з різними типами вразливостей: XXE, File Upload
• Навчитеся запускати сканери вразливостей

Воркшоп №2 - SQL injections, sqlmap

• Дізнаєтеся, що таке SQL-ін'єкція
• Зможете продемонструвати вразливість та її вплив на систему
• Ознайомитеся з інструментами пошуку вразливості
• Навчитеся виправляти вразливу систему

Атаки на серверну частину вебзастосунків (Частина 2)

Дізнаєтеся типові вразливості, що стосуються контролю доступу.

Атаки на серверну частину вебзастосунків (Частина 3)

• Зможете ідентифікувати й експлуатувати атаки на шаблони
• Зрозумієте принцип перевірки безпеки API
• Дізнаєтеся вектори й розвиток SSRF-атак

Воркшоп №3 - SSRF, SSTI, API attacks

Зрозумієте, як здійснювати пошук, розвивати та експлуатувати вразливості на серверну частину вебзастосунків.

Атаки на клієнтську частину вебзастосунків

• Ознайомитеся з пошуком, експлуатацією та рекомендаціями щодо захисту вразливостей: XSS, CSRF, Clickjacking
• Розглянете вразливості, що стосуються JWT

Підготовка звіту вразливостей

• Дізнаєтесь, як написати звіт з виконаного проєкту пошуку вразливостей у вебзастосунку
• Зрозумієте структуру звіту і роль його основних частин
• Навчитеся представляти звіт для технічних і менеджмент-ролей

Воркшоп №4 - Пошук та експлуатація вразливостей на клієнтську частину вебзастосунків

• Дізнаєтесь, як виявляти й розгортати атаки на клієнтську частину вебзастосунків
• Опануєте способи обходу захисту на клієнтській стороні

Вразливості, пов'язані з людським фактором. Напрями розвитку в сфері кібербезпеки

• Ознайомитеся із вразливостями, що стосуються бізнес-логіки
• Зрозумієте напрями розвитку в сфері кібербезпеки
• Дізнаєтесь, як підготуватися до практичної частини співбесіди

Презентація курсового проєкту

Особливості курсу

• Теорія
• Практика
• Проєкт в портфоліо
• Кар'єра

Викладачі курсу

Богдан Середницький - Cyber Security Engineer at Ciklum