Материал данного курса позволит слушателям изучить принципы, механизмы и инструменты проведения тестирования на возможность проникновение – pentest’а – в Web-приложения. В данном курсе пентест рассматривается как один из процессов, необходимых для построения архитектуры корпоративной кибербезопасности, поэтому в нём также поднимаются методологические вопросы организации пентеста, а также использования данных, полученных в результате его проведения.
Предварительные требования к аудитории:
Необходимы знания общей кибербезопасности на уровне курса Основы кибербезопасности, а также знания о работе сетей TCP/IP на уровне курса Сети TCP/IP. Рекомендуется обладать знаниями о моделировании угроз на уровне курса Моделирование угроз кибербезопасности
Модуль 1. Принципы организации пентеста.
• Цели и задачи проведения пентеста.
• Пентестt в рамках архитектуры корпоративной безопасности.
• Цикл жизни кибератак.
• Модели кибератак.
• Инструменты для проведения пентеста.
• Обработка результатов проведения пентеста.
Модуль 2. Подготовка к проведению кибератаки
• Использование информации из открытых источников. OSINT.
• Сканирование целей и выявление уязвимых мест для кибератак.
• Подбор нужных инструментов и методов проведения кибератаки.
Модуль 3. Архитектура и компоненты Web-приложений
• HTML и HTTP.
• Кодировки данных.
• Web-серверы.
• Web-клиенты.
• Расширения browser’ов.
• «Активный» контент.
• Архитектура Progressive Web App.
• Атаки на web-приложения. OWASP top 10.
Модуль 4. Перехват Web-трафика
• Организация перехвата web-трафика.
• Proxy-сервисы.
• Анализ Web-трафика и извлечение данных.
Модуль 5. Атаки на серверную часть Web-приложений
• Организация DoS-атак на WEB-приложения.
• Эксплуатация ошибок в правилах авторизации и работы с файлами.
• Эксплуатация логических ошибок работы WEB-приложений.
• Эксплуатация ошибок в настройках и уязвимостей CMS.
• Организация вредоносного внедрения в ОС Web-приложения.
• Перехват HTTP-сессий и данных cookie.
• Обход шифрования HTTPS/TLS.
• Получение доступа к учетным записям WEB-приложений.
• Организация кибератак на системы аутентификации типа SSO.
• Эксплуатация WEB-приложений через SQL-инъекции.
• Организация атак на базы данных WEB-приложений.
• Организация кибератак типа SSRF.
• Организация кибератак на облачные сервисы.
Модуль 6. Атаки на клиентскую часть Web-приложений
• Организация кибератак типа XSS.
• Организация кибератак типа XXE.
• Организация кибератак типа CSRF.
• Организация атак типа Clickjacking.
Модуль 7. Развитие кибератаки через Web-приложение
• Извлечение данных.
• Запуск исполнимого кода в ОС Web-приложения.
• Эскалация привилегий учетной записи.
• Распространение контроля над другими системами в ходе кибератаки.
• Удаление следов кибератаки.
Модуль 8. Подготовка отчета о проведении пентеста
• Модель угроз и результаты проведения пентеста.
• Управление рисками на основе данных, выявленных пентестом.
• Модернизация корпоративной программы учета уязвимостей.
• Модернизация стратегических метрик кибербезопасности.