Tento kurz poskytuje základní přehled o penetračním testování webových aplikací, s důrazem na praktické dovednosti. Účastníci se seznámí s metodikou OWASP TOP 10, základními technikami testování jak ručně, tak automatickýma nástrojema. Účastníci kurzu si také vyzkouší sepsání závěrečné zprávy, která je stejně důležitá jako samotné testování.

Cílem kurzu je poskytnout účastníkům pevné základy v oblasti penetračního testování webových aplikací. Účastníci se naučí, jak identifikovat běžné zranitelnosti, jak používat nástroje pro ruční i automatizované testování a jak vytvářet závěrečné zprávy o výsledcích testů pro zákazníka.

1. Úvod do penetračního testování

   • Co je penetrační testování a etický hacking
   • Základní pojmy a příprava testovacího prostředí
   • Metodika OWASP TOP 10
   • Jak funguje HTTP komunikace
   • Zachytávání a modifikace HTTP komunikace pomocí nástroje Burp Suite

2. Mapování webové aplikace

   • Základní techniky sběru informací o webu
   • Zjišťování verzí serverů a frameworků
   • Identifikování vstupů
   • Mapování pomocí nástroje ZAP

3. Relace

   • Co je to relace
   • Předávání relace
   • Relace z pohledu útočníka
   • Session fixation
   • Zabezpečení relace

4. Injectování

   • Command Injection
   • SQL Injection
   • Cross-Site Scripting (XSS)

5. Procházení výsledků a psaní závěrečné zprávy

   • Jak analyzovat výsledky testů
   • Ověřování nálezů (false positive nálezy)
   • Jak psát závěrečné zprávy pro různé cílové skupiny (technické a netechnické)

6. Závěr

   • Shrnutí kurzu a další zdroje pro samostudium
   • Doporučení nástrojů a technik pro další praxi

Jednodenní kurz (9:00 – 17:00).

Základní znalost webových technologií. Základní znalost linuxového systému. Zájem o oblast kybernetické bezpečnosti.