Etikus hackelés
a gyakorlatban
Horváth Örs Apor
Etikus Hacker, Founder & Managing Director
OR Security
A KURZUSRÓL
- Időpont:
OKTÓBER 31.
- Hossz:
16 alkalom
- Formátum:
élő, online
Az etikus hacker megakadályozza azokat a támadásokat, amelyek adatlopáshoz, rendszerleállásokhoz és jelentős bírságokhoz vezetnek. Olyan sérülékenységeket tár fel, amit sem a fejlesztők, sem a minőségbiztosítók nem tudnak szűrni megfelelő tesztelés hiányában. Csatlakozz intenzív tanfolyamunkhoz, ismerd meg az etikus hackelés eszköztárát, és szerezz tapasztalatot valós webalkalmazások vizsgálatán keresztül!
Miért válaszd az r_d kurzusait?
KINEK AJÁNLJUK A KURZUST?
MIRE SZÁMÍTHATSZ A KURZUSON?
-
01
Alkalmazásvizsgálat
A webalkalmazások hackelését már az első órától kezdve a gyakorlatban fogod megismerni: rutint szerzel a ZAP és a Burp Suite használatában, hálózatelemzést és portszkennelést végzel, illetve elkészíted a vizsgált alkalmazás térképét. A titkosítás és hashelés protokolljain keresztül a kriptográfia alapjait is megismered.
-
02
Sérülékenységek
Valós penetrációs teszt példája alapján tanulsz meg olyan sérülékenységi riportokat írni, hogy a vezetőség is egyből értse a problémák súlyát, legyen szó akár egy szerveroldali kérelemhamisításról vagy API-sérülékenységről. A kockázatkezelés lépései mellett szó lesz arról is, mit ne tegyél a jelentés során.
-
03
Kiberbiztonsági gyakorlat
A workshopok során olyan súlyos sérülékenységeket fogsz feltárni, amik a szerver- és kliensoldalon bármikor incidenshez vezethetnek. Közösen keresünk sebezhető alkalmazásokat, hogy az SQL injekciótól kezdve a hozzáférés-vezérlés elleni támadásokig megismerd a kiberbiztonsági céleszközök egész tárházát.
-
04
Karrier
A kurzus során végzett projektmunkádra személyes értékelést kapsz, és felkészülsz egy cybersecurity engineer állásinterjúra is. A karrierlehetőségek mellett azokra az aspektusokra is rálátsz majd, amik a hatáskörödön túl vezethetnek krízishez: az üzleti logikai hibákra, illetve egy webalkalmazás nem biztonságos designelemeire.
AZ ELŐADÓ
Horváth Örs Apor
Etikus Hacker, Founder & Managing Director
OR Security
-
Több mint 24 éves tapasztalattal bíró kiberbiztonsági szakértő, aki 16 éve elsősorban nemzetközi projekteken dolgozik.
-
Évekig 48 ország informatikai rendszereiért felelt csapataival.
-
Egy évtizedes közép- és felső vezetői nemzetközi tapasztalattal rendelkezik, 6 évig volt a Hacktivity konferencia németországi nagykövete.
-
A Bug Bounty/VDP-programok minden oldalát ismeri: cégével aktív technikai partnere az egyik BBP szolgáltató platformnak, fizető sérülékenységeket tárt fel és mások által jelentett sérülékenységeket javított csapataival.
-
Vezetése alatt az elsők között szerzett németországi nonprofit startup BSI (Bundesamt für Sicherheit in der Informationstechnik) tanúsítványt, amelyet azóta már többször is sikeresen reauditáltak.
Program
-
01 alkalom10.31. 18:00–19:30
Bevezetés az etikus hackelés világába
- Az etikusság tisztázása, széles körű értelmezése, nemzetközi standardok
- Kik azok a fekete / fehér / szürke kalapos hackerek és mit takar a red / blue / purple teaming?
- A CIA (mint Confidentiality, Integrity, Availability) triád fontosságának megértése.
- Kik lehetnek célkeresztben? Adat, hardver, szoftver, ember, szellemi tulajdon, reputáció stb.
- Biztonsági irányelvek, szabványok és eljárások.
- Standardok (ISO 27001, PCI DSS, FedRAMP, GDPR, 3D-secure)
- Social Engineering
- Malware: mi az és milyen fajtái ismertek? vírus, worm, trojan (horse), ransomware, spyware, adware, rootkit, backdoor
- Az etikus hackelés fázisai
- A támadás különböző formái és az esetleges sérülékenységek
- CTF, Bug Bounty, Pentest
-
02 alkalom11.05. 18:00–19:30
Webalkalmazás-biztonság, hackelés és annak munkafolyamatai
- Application Security Engineer
- Mi a feladata egy alkalmazásbiztonsági mérnöknek?
- SDLC
- Az alkalmazásfejlesztés különböző szakaszainak megértése és feladatai
- Riportolás
- Módszertanok és keretrendszerek
- OWASP
- PTS
- NIST
- CCM
- MITRE ATT&CK
- Mesterséges intelligencia (AI) a kiberbiztonságban
- Application Security Engineer
-
03 alkalom11.07. 18:00–19:30
Workshop 1: Munkaeszközök áttekintése
- Burp Suite
- ZAP
- Web Application Vulnerability Scanners
- Ingyenes, nyílt forráskódú eszközök
- Kereskedelmi forgalomban kapható, professzionális megoldások
-
04 alkalom11.12. 18:00–19:30
Hálózatok kiberbiztonsága
- Hálózatelemzés és portszkennelés
- Nézzük meg melyek a legismertebb portok
- Demó: Nmap
- Wireshark, tcpdump
- Mik azok a tűzfalak és hogyan működnek?
- DNS biztonság
- Segédprogramok áttekintése amelyekkel információk szerezhetőek a gazdagépről (whois, nslookup, dig)
- Aldomain-átvétel
- Sérülékenységek
- Demó: whois, nslookup, dig
- Hálózatelemzés és portszkennelés
-
05 alkalom11.14. 18:00–19:30
A (vizsgált) webalkalmazás térképének elkészítése
- Alkalmazás-feltérképezés
- Információgyűjtés a webszerverről
- Bőbeszédű válasz (verbose response)
- A webalkalmazás belépési pontjainak meghatározása (entry points)
- Az eszközök és használatuk áttekintése
-
06 alkalom11.26. 18:00–19:30
A kriptográfia alapjai
- Titkosítás, hashelés, kódolás
- Szinkron / aszinkron kriptográfia, blokk/folyam
- PKI nyilvános kulcsú infrastruktúra, digitális tanúsítványkezelés
- Az információk titkosítása
- Az RSA, nyílt kulcsú (vagyis „aszimmetrikus”) titkosító algoritmus
- Alapvető algoritmusok és protokollok
- Digitális aláírás
- Alapvető eszközök és fő sérülékenységek (TLS checker, padding oracle)
-
07 alkalom11.28. 18:00–19:30
Szerveroldali webalkalmazás-támadások I.
- Path traversal
- Fájl feltöltés
- LFI, RFI
- XXE
-
08 alkalom12.03. 18:00–19:30
Workshop 2: SQL Injection
- Nézzük meg, mi is az az „SQL injekció”
- Milyen kockázatokkal jár és egyáltalán miért létezik?
- Gondoljuk át, milyen lehetőségeink vannak általa
- Közösen megkeressük és kihasználunk sebezhető alkalmazásokat
- Az SQLmap segítségével automatizáljuk az adatgyűjtés folyamatát
-
09 alkalom12.05. 18:00–19:30
Szerveroldali webalkalmazás-támadások II.
- Hitelesítési támadások
- Információ közzététel (disclosure of information)
- Hozzáférés-vezérlés elleni támadások
- DRY contact
- Munkamenet elleni támadások (Session Management)
-
10 alkalom12.10. 18:00–19:30
Szerveroldali webalkalmazás-támadások III.
- SSTI
- Parancsinjekció
- Szerveroldali kérelemhamisítás (SSRF)
- API-biztonság
- REST API
- GraphQL
-
11 alkalom12.12. 18:00–19:30
Workshop 3: API-támadások
- Gyakorlati munka végzése egy sebezhető GraphQL API-jal
- API-sérülékenységek felkutatása és kihasználása: SSRF, hitelesítési támadások, parancs befecskendezés, SQL-injekció stb
-
12 alkalom12.17. 18:00–19:30
Kliensoldali webalkalmazás-támadások
- XSS
- CSRF
- Clickjacking
- HTML-injekció
-
13 alkalom12.19. 18:00–19:30
Sérülékenységi riport készítése
- Tipikus jelentés struktúra
- Riport közönsége, stakeholderek
- A sérülékenységek leírásának jellemzői
- Mit tegyünk ill. ne tegyünk a sérülékenységek jelentése során
- Prioritás / súlyosság, kockázatkezelés
- Példa egy jelentésre egy webalkalmazás penteszt projektjéből
- Exploitlánc
-
14 alkalom01.07. 18:00–19:30
Workshop 4: Sérülékenységek a webalkalmazások kliens oldalán
- Gyakorlati munkavégzés sérülékeny webalkalmazásokkal
- Sérülékenységek keresése és kihasználása
- XSS
- CSRF
- Clickjacking
-
15 alkalom01.09. 18:00–19:30
A sérülékenységek emberi aspektusa és szakmai fejlődés
- Nem biztonságos design
- Nem biztonságos megvalósítás
- Üzleti logikai hibák
- Karrierlehetőségek a kiberbiztonság területén
- Megszerezhető szakmai tudást igazoló nemzetközi tanúsítványok
- Kiberbiztonsági események, közösségek Magyarországon
- Felkészülés egy Cyber Security Engineer állásinterjú gyakorlati részére
-
16 alkalom01.14. 18:00–19:30
Projektmunkák bemutatása
- A kurzus összegzése, projektmunkák bemutatása
TUDJ MEG TÖBBET
A kurzussal kapcsolatos további információkért töltsd ki az űrlapot, és munkatársunk a lehető leghamarabb felveszi veled a kapcsolatot, hogy bővebb tájékoztatást adjon a kurzus részleteiről és áráról.