Tento kurz poskytuje základní přehled o penetračním testování webových aplikací, s důrazem na praktické dovednosti. Účastníci se seznámí s metodikou OWASP TOP 10, základními technikami testování jak ručně, tak automatickýma nástrojema. Účastníci kurzu si také vyzkouší sepsání závěrečné zprávy, která je stejně důležitá jako samotné testování.

Cílem kurzu je poskytnout účastníkům pevné základy v oblasti penetračního testování webových aplikací. Účastníci se naučí, jak identifikovat běžné zranitelnosti, jak používat nástroje pro ruční i automatizované testování a jak vytvářet závěrečné zprávy o výsledcích testů pro zákazníka.

1. Úvod do penetračního testování

   • Co je penetrační testování a etický hacking
   • Základní pojmy a příprava před testováním
   • Metodika OWASP TOP 10

2. Enumerace webové aplikace

   • Základní techniky enumerace
   • Zjišťování verzí serverů a frameworků
   • Zkoumání struktury webových aplikací

3. Ruční testování

   • Základy ručního penetračního testování
   • Ukázka ručního testování pro různé zranitelnosti (např. XSS, CSRF)
   • Praktické příklady práce s prohlížečovými nástroji a dalšími manuálními technikami

4. Automatické nástroje

   • Seznámení s nástroji pro automatické testování (ZAP, Burp Suite)
   • Ukázka testování pomocí OWASP ZAP, Nikto.
   • Analýza výsledků automatických skenů

5. Procházení výsledků a psaní závěrečné zprávy

   • Jak analyzovat výsledky testů
   • Ověřování nálezů (false positive nálezy)
   • Jak psát závěrečné zprávy pro různé cílové skupiny (technické a netechnické)

6. Závěr

   • Shrnutí kurzu a další zdroje pro samostudium
   • Doporučení nástrojů a technik pro další praxi

Jednodenní kurz (9:00 – 17:00).

Základní znalost webových technologií. Zájem o oblast kybernetické bezpečnosti.