Svobodná aplikační bezpečnost II

Znalost nástrojů pro testování slabých míst webových aplikací nejenže je velmi důležitá pro penetrační testování, ale je hodnotná i jiným formám zjišťování úrovně zabezpečení.

Kurz účastníky prakticky seznámí s bezpečnostním testováním následujícími nástroji: Zed Attack Proxy (ZAP), Skipfish, WebScarab, Nessus Vulnerability Scanner. Na kurzu účastníkovi budou stručně předvedeny i další nástroje: Grabber, Grendel-Scan, Nikto, Vega, Wapiti, Websecurify, OpenVAS.

Cíl kurzu

Porozumět základním principům fungování a ovládání nástrojů bezpečnostního / penetračního testování.

Osnova

1. Zed Attack Proxy (ZAP) - Uživatelsky velmi jednoduchý nástroj pro hledání zranitelností ve webových aplikacích. Je vhodný pro uživatele, kteří se věnují penetračnímu testování, ale také pro vývojáře a funkční testery. Poskytuje automatizované skenery a sadu nástrojů, které umožňují hledat slabá místa v zabezpečení.
2. Skipfish - Nástroj pro bezpečnostní průzkum webové aplikace. Lze jím provádět nenáročné bezpečnostní testy, lepší výsledky lze očekávat při opakovaných bezpečnostních kontrolách.
3. WebScarab - Nástroj pro účely analýzy bezpečnosti webové aplikace.
4. Nessus Vulnerability Scanner - Mocný nástroj pro široké spektrum bezpečnostních kontrol, testů, analýz. Má prakticky neustále aktualizované knihovny s více než 59 000 pluginů.

Pro získání širšího přehledu stručné seznámení s nástroji:

5. Grabber - Jednoduchý, ne příliš rychlý, avšak poměrně přizpůsobivý skener webových aplikací. Určený pro testování spíše menších webových stránek (osobní stránky, fóra apod.).
6. Grendel-Scan - Nástroj pro testování zabezpečení webových aplikací. Obsahuje automatizovaný testovací modul pro detekci běžných zranitelností webových aplikací a pomocné funkce pro manuální testy.
7. Nikto - Webový server, skener, jenž provádí komplexní testy webových serverů - kontroly zastaralých verzí, testy přítomnosti potenciálně nebezpečných souborů / CGI, konfigurace serverů a mnoho jiných testů.
8. Vega - Bezpečnostní skener webových aplikací k vyhledávání základních zranitelností (SQL Injection, XSS aj.).
9. Wapiti - Obdobně jako v předešlém případě, skener základních zranitelností webových aplikaci.
10. Websecurify - Nástroj pro bezpečnostní testování zranitelností s kombinací automatických a manuálních technologií.
11. OpenVAS - Rámec několika služeb a nástrojů pro komplexní skenování a správu zranitelností.

Časová náročnost

Celodenní kurz (9-16 hod.)

Vstupní podmínky

Technická náročnost: střední.

  • Základní přehled o bezpečnosti ICT.
  • Základní znalost příkazů v Linuxu (k dispozici jsou počítače s operačním systémem Ubuntu s nainstalovanými nástroji).
  • Základní znalost počítačových sítí.
  • Vlastní instalaci Nessus Vulnerability Scanner na svém počítači (pokud účastník nemá, může se i tak s nástrojem seznámit prostřednictvím prezentace).

Rozvrh

Datum Čas Místo Lektor Volná místa Cena s DPH Přihlásit