Svobodná aplikační bezpečnost II
Znalost nástrojů pro testování slabých míst webových aplikací nejenže je velmi důležitá pro penetrační testování, ale je hodnotná i jiným formám zjišťování úrovně zabezpečení.
Kurz účastníky prakticky seznámí s bezpečnostním testováním následujícími nástroji: Zed Attack Proxy (ZAP), Skipfish, WebScarab, Nessus Vulnerability Scanner. Na kurzu účastníkovi budou stručně předvedeny i další nástroje: Grabber, Grendel-Scan, Nikto, Vega, Wapiti, Websecurify, OpenVAS.
Cíl kurzu
Porozumět základním principům fungování a ovládání nástrojů bezpečnostního / penetračního testování.
Osnova
1. Zed Attack Proxy (ZAP) - Uživatelsky velmi jednoduchý nástroj pro hledání zranitelností ve webových aplikacích. Je vhodný pro uživatele, kteří se věnují penetračnímu testování, ale také pro vývojáře a funkční testery. Poskytuje automatizované skenery a sadu nástrojů, které umožňují hledat slabá místa v zabezpečení.
2. Skipfish - Nástroj pro bezpečnostní průzkum webové aplikace. Lze jím provádět nenáročné bezpečnostní testy, lepší výsledky lze očekávat při opakovaných bezpečnostních kontrolách.
3. WebScarab - Nástroj pro účely analýzy bezpečnosti webové aplikace.
4. Nessus Vulnerability Scanner - Mocný nástroj pro široké spektrum bezpečnostních kontrol, testů, analýz. Má prakticky neustále aktualizované knihovny s více než 59 000 pluginů.
Pro získání širšího přehledu stručné seznámení s nástroji:
5. Grabber - Jednoduchý, ne příliš rychlý, avšak poměrně přizpůsobivý skener webových aplikací. Určený pro testování spíše menších webových stránek (osobní stránky, fóra apod.).
6. Grendel-Scan - Nástroj pro testování zabezpečení webových aplikací. Obsahuje automatizovaný testovací modul pro detekci běžných zranitelností webových aplikací a pomocné funkce pro manuální testy.
7. Nikto - Webový server, skener, jenž provádí komplexní testy webových serverů - kontroly zastaralých verzí, testy přítomnosti potenciálně nebezpečných souborů / CGI, konfigurace serverů a mnoho jiných testů.
8. Vega - Bezpečnostní skener webových aplikací k vyhledávání základních zranitelností (SQL Injection, XSS aj.).
9. Wapiti - Obdobně jako v předešlém případě, skener základních zranitelností webových aplikaci.
10. Websecurify - Nástroj pro bezpečnostní testování zranitelností s kombinací automatických a manuálních technologií.
11. OpenVAS - Rámec několika služeb a nástrojů pro komplexní skenování a správu zranitelností.
Časová náročnost
Celodenní kurz (9-16 hod.)
Vstupní podmínky
Technická náročnost: střední.
-
Základní přehled o bezpečnosti ICT.
-
Základní znalost příkazů v Linuxu (k dispozici jsou počítače s operačním systémem Ubuntu s nainstalovanými nástroji).
-
Základní znalost počítačových sítí.
-
Vlastní instalaci Nessus Vulnerability Scanner na svém počítači (pokud účastník nemá, může se i tak s nástrojem seznámit prostřednictvím prezentace).
Rozvrh
Datum | Čas | Místo | Lektor | Volná místa | Cena s DPH | Přihlásit |
---|