Efectuarea Testelor de Penetrare asupra Aplicațiilor de tip Web (Web Penetration Testing)

Testarea de penetrare („Penetration Testing”) este procesul de a testa un sistem informatic, rețea sau aplicație web pentru a identifica vulnerabilitățile pe care un atacator le-ar putea exploata. Această activitate implică de obicei simularea unui atac asupra sistemului pentru a identifica vulnerabilitățile și a evalua apărarea organizației. Testarea de penetrare este importantă pentru organizații pentru a-și asigura securitatea sistemelor și a se proteja împotriva posibilelor atacuri cibernetice.

Durată

5 zile

Dificultate

Intermediar

Condiții Participare

Acesta este un curs cu dificultate intermediară, prin urmare, este recomandat ca participanții să dețină următoarele cunoștințe și abilități:

  • Utilizare Kali Linux
  • Concepte Esențale de Securitate Cibernetică și Rețelistică

Totodată, instrumentele și software-ul folosite pe parcursul sesiunii de curs sunt open-source sau gratuite, disponibile fără licență pentru oricine.

Examen Practic

La finalizarea cursului, participanții vor susține un exam practic, în care obiectivul va fi de a executa un Penetration Testing și să prezinte un raport final. În urma promovării examenului, se va emite desemnarea și diploma de „CSTCE Web Penetration Tester (CWPT)”

Deprinderi acumulate în urma finalizării cursului

  • Abilități de preparare a unui test de penetrare
  • Abilități de executare testelor de penetrare pentru aplicații web
  • Abilități de executare a testelor de penetrare pentru API
  • Abilități de redactare a rapoartelor de Web Penetration Testing

Instructor: Cristian Cornea

 

 


Cristian are o expertiză largă și variată, de la Web Application Penetration Testing până la Cloud Security Audits. Certificat cu diplome de renume precum OSCE, OSED, OSWE, CREST CRT, OSEP, OSCP, CEH, CompTIA PenTest+, ECIH, CPTC, plus altele. Recunoscut pentru raportarea de vulnerabilități în mod etic de multe organizații importante, precum Pentagon, Sony, AT&T, General Motors, Adobe, Posta Elvețiană, și multe altele.

 

Cristian a fost trainer pentru multiple instituții guvernamentale și private la nivel internațional, precum Unități Militare din Polonia, U.S. Army, Entități Guvernamentale din Slovenia, și multe altele.

 

Totodată, Cristian a prezentat în cadrul multiplelor conferințe recunoscute global în industria securității cibernetice. Câteva example sunt: BSides, Cyber Security Congress Barcelona, DefCamp, HEK Slovenia, HackTheZone, RSTCon.

Detalii

Tarif Participare: 2,200 RON

Locație: Strada George Constantinescu 2-4B, Globalworth Campus B, București 020337 (Prezență Fizică)

În cadrul cursului, fiecare participant va dispune de un calculator, laborator virtual, caiete și instrumente de scris.

Mancare, apă, sucuri, cafea și snacks-uri vor fi puse la dispoziție de către organizatori.

DATE DISPONIBILE PENTRU CURSURI

În proces de restructurare

Programa

  1. MODUL TEORETIC: Metodologia de Penetrare a Aplicațiilor Web
  2. MODUL TEORETIC: Procesul de Pre-Engagement (Definirea Scopului, Prepararea Mediului, SoW, RoE, NDA, etc.)
  3. MODUL TEORETIC: OWASP TOP 10 – Web
  4. MODUL TEORETIC: OWASP TOP 10 – API
  5. MODUL PRACTIC: Enumerarea și Procesul de Recunoaștere
  6. MODUL PRACTIC: Utilizarea Instrumentelor Automate
  7. MODUL PRACTIC: Introducere în Burp Suite Community
  8. MODUL PRACTIC: Enumerarea și Validarea Utilizatorilor
  9. MODUL PRACTIC: Identificarea și Exploatarea Componentelor Vulnerabile
  10. MODUL PRACTIC: Identificarea și Exploatarea Defectelor de Configurație
  11. MODUL PRACTIC: Probleme de Securitate în Management-ul Sesiunii
  12. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților de Autentificare și Autorizare
  13. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților în Funcționalitatea de Încarcare Fișiere (File Upload)
  14. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Cross-Site Scripting (XSS) și HTML Injection
  15. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților SQL Injection
  16. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților XML External Entities Injection (XXE)
  17. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Cross-Site Request Forgery (CSRF)
  18. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilitatiilor Remote Code Execution (RCE)
  19. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Command Injection
  20. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Open Redirect
  21. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Remote File Inclusion (RFI) și Local File Inclusion (LFI)
  22. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Server-Side Request Forgery (SSRF)
  23. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților CSV/Formula Injection
  24. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Broken Access Controls și Insecure Direct Object Reference (IDOR)
  25. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Deserialization
  26. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților CRLF Injection
  27. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Server-Side Template Injection (SSTI)
  28. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților Host Header Injection
  29. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților specifice GraphQL
  30. MODUL PRACTIC: Identificarea și Exploatarea Vulnerabilităților specifice API
  31. MODUL PRACTIC: Automatizarea Verificărilor Manuale
  32. MODUL PRACTIC: Intocmirea unui Raport de Web Penetration Testing