Etikus Hackelés a Gyakorlatban Online: Átfogó Tanfolyam Kezdőknek | robot_dreams
  • élő, online kurzus
  • 16 alkalom
  • személyes visszajelzés
  • gyakorlatias képzés

Etikus hackelés
a gyakorlatban

Legyél te az az etikus hacker, aki teljeskörűen feltérképezi a webalkalmazások sérülékenységeit, mielőtt egy incidens súlyos adatvédelmi kárt okozna!

Horváth Örs Apor

Etikus Hacker, Founder & Managing Director

OR Security

A KURZUSRÓL

  • Időpont:

    OKTÓBER 31.

  • Hossz:

    16 alkalom

  • Formátum:

    élő, online

Az etikus hacker megakadályozza azokat a támadásokat, amelyek adatlopáshoz, rendszerleállásokhoz és jelentős bírságokhoz vezetnek. Olyan sérülékenységeket tár fel, amit sem a fejlesztők, sem a minőségbiztosítók nem tudnak szűrni megfelelő tesztelés hiányában. Csatlakozz intenzív tanfolyamunkhoz, ismerd meg az etikus hackelés eszköztárát, és szerezz tapasztalatot valós webalkalmazások vizsgálatán keresztül!

Miért válaszd az r_d kurzusait?

 
icon
Személyre szabott visszajelzés az előadótól
 
 
icon
Valós üzleti esetek
 
 
icon
Gyakorlati feladatok
 
 
icon
Zárt Discord-csoport
 
 
icon
Tanúsítvány
 
 
icon
2 évig visszanézhető felvételek
 

KINEK AJÁNLJUK A KURZUST?

Szoftverfejlesztőknek

Fejlesztőként nehéz lehet átlátni a biztonsági kihívásokat, ami akár egy parancsinjekciós támadáson keresztül a rendszer teljes összeomlásához vezethet. A kurzuson most megtanulod feltérképezni a webalkalmazások sérülékenységét, hogy a kódbázis minden szakaszában felismerd a támadási felületeket.

Minőségbiztosítási szakértőknek

Ha a QA-szaktudásodat kombinálod a dinamikus sérülékenységi teszteléssel, akkor a legmagasabb fokon vizsgálhatod a webalkalmazások működését. A hibátlan üzemeltetés mellett így azt is biztosítani tudod majd, hogy az adatlopás és a pénzügyi csalás kockázata alacsony szinten maradjon.

Kiberbiztonsági szakembereknek

Szeretnél áttérni az érzékeny webalkalmazások piacára? Ehhez először meg kell értened a támadásaik és sérülékenységeik sajátosságát. A tanfolyamon nemcsak a teljes tesztelési és szkennelési folyamat munkaeszközeit tanulod meg rutinosan alkalmazni, de a munkakörben elvárt riportálás gyakorlatát is megismered.

 

MIRE SZÁMÍTHATSZ A KURZUSON?

  • 01

    Alkalmazásvizsgálat

    A webalkalmazások hackelését már az első órától kezdve a gyakorlatban fogod megismerni: rutint szerzel a ZAP és a Burp Suite használatában, hálózatelemzést és portszkennelést végzel, illetve elkészíted a vizsgált alkalmazás térképét. A titkosítás és hashelés protokolljain keresztül a kriptográfia alapjait is megismered.

  • 02

    Sérülékenységek

    Valós penetrációs teszt példája alapján tanulsz meg olyan sérülékenységi riportokat írni, hogy a vezetőség is egyből értse a problémák súlyát, legyen szó akár egy szerveroldali kérelemhamisításról vagy API-sérülékenységről. A kockázatkezelés lépései mellett szó lesz arról is, mit ne tegyél a jelentés során.

  • 03

    Kiberbiztonsági gyakorlat

    A workshopok során olyan súlyos sérülékenységeket fogsz feltárni, amik a szerver- és kliensoldalon bármikor incidenshez vezethetnek. Közösen keresünk sebezhető alkalmazásokat, hogy az SQL injekciótól kezdve a hozzáférés-vezérlés elleni támadásokig megismerd a kiberbiztonsági céleszközök egész tárházát.

  • 04

    Karrier

    A kurzus során végzett projektmunkádra személyes értékelést kapsz, és felkészülsz egy cybersecurity engineer állásinterjúra is. A karrierlehetőségek mellett azokra az aspektusokra is rálátsz majd, amik a hatáskörödön túl vezethetnek krízishez: az üzleti logikai hibákra, illetve egy webalkalmazás nem biztonságos designelemeire.

AZ ELŐADÓ

Horváth Örs Apor

Etikus Hacker, Founder & Managing Director
OR Security

  • Több mint 24 éves tapasztalattal bíró kiberbiztonsági szakértő, aki 16 éve elsősorban nemzetközi projekteken dolgozik.

  • Évekig 48 ország informatikai rendszereiért felelt csapataival.

  • Egy évtizedes közép- és felső vezetői nemzetközi tapasztalattal rendelkezik, 6 évig volt a Hacktivity konferencia németországi nagykövete.

  • A Bug Bounty/VDP-programok minden oldalát ismeri: cégével aktív technikai partnere az egyik BBP szolgáltató platformnak, fizető sérülékenységeket tárt fel és mások által jelentett sérülékenységeket javított csapataival.

  • Vezetése alatt az elsők között szerzett németországi nonprofit startup BSI (Bundesamt für Sicherheit in der Informationstechnik) tanúsítványt, amelyet azóta már többször is sikeresen reauditáltak.

Program

  • 01 alkalom
    10.31. 18:00–19:30

    Bevezetés az etikus hackelés világába

    • Az etikusság tisztázása, széles körű értelmezése, nemzetközi standardok
    • Kik azok a fekete / fehér / szürke kalapos hackerek és mit takar a red / blue / purple teaming?
    • A CIA (mint Confidentiality, Integrity, Availability) triád fontosságának megértése.
    • Kik lehetnek célkeresztben? Adat, hardver, szoftver, ember, szellemi tulajdon, reputáció stb.
    • Biztonsági irányelvek, szabványok és eljárások.
    • Standardok (ISO 27001, PCI DSS, FedRAMP, GDPR, 3D-secure)
    • Social Engineering
    • Malware: mi az és milyen fajtái ismertek? vírus, worm, trojan (horse), ransomware, spyware, adware, rootkit, backdoor
    • Az etikus hackelés fázisai
    • A támadás különböző formái és az esetleges sérülékenységek
    • CTF, Bug Bounty, Pentest
  • 02 alkalom
    11.05. 18:00–19:30

    Webalkalmazás-biztonság, hackelés és annak munkafolyamatai

    • Application Security Engineer
      • Mi a feladata egy alkalmazásbiztonsági mérnöknek?
      • SDLC
      • Az alkalmazásfejlesztés különböző szakaszainak megértése és feladatai
      • Riportolás
    • Módszertanok és keretrendszerek
      • OWASP
      • PTS
      • NIST
      • CCM
      • MITRE ATT&CK
    • Mesterséges intelligencia (AI) a kiberbiztonságban
  • 03 alkalom
    11.07. 18:00–19:30

    Workshop 1: Munkaeszközök áttekintése

    • Burp Suite
    • ZAP
    • Web Application Vulnerability Scanners
      • Ingyenes, nyílt forráskódú eszközök
      • Kereskedelmi forgalomban kapható, professzionális megoldások
  • 04 alkalom
    11.12. 18:00–19:30

    Hálózatok kiberbiztonsága

    • Hálózatelemzés és portszkennelés
      • Nézzük meg melyek a legismertebb portok
      • Demó: Nmap
      • Wireshark, tcpdump
    • Mik azok a tűzfalak és hogyan működnek?
    • DNS biztonság
      • Segédprogramok áttekintése amelyekkel információk szerezhetőek a gazdagépről (whois, nslookup, dig)
      • Aldomain-átvétel
      • Sérülékenységek
      • Demó: whois, nslookup, dig
  • 05 alkalom
    11.14. 18:00–19:30

    A (vizsgált) webalkalmazás térképének elkészítése

    • Alkalmazás-feltérképezés
    • Információgyűjtés a webszerverről
    • Bőbeszédű válasz (verbose response)
    • A webalkalmazás belépési pontjainak meghatározása (entry points)
    • Az eszközök és használatuk áttekintése
  • 06 alkalom
    11.26. 18:00–19:30

    A kriptográfia alapjai

    • Titkosítás, hashelés, kódolás
    • Szinkron / aszinkron kriptográfia, blokk/folyam
    • PKI nyilvános kulcsú infrastruktúra, digitális tanúsítványkezelés
    • Az információk titkosítása
    • Az RSA, nyílt kulcsú (vagyis „aszimmetrikus”) titkosító algoritmus
    • Alapvető algoritmusok és protokollok
    • Digitális aláírás
    • Alapvető eszközök és fő sérülékenységek (TLS checker, padding oracle)
  • 07 alkalom
    11.28. 18:00–19:30

    Szerveroldali webalkalmazás-támadások I.

    • Path traversal
    • Fájl feltöltés
    • LFI, RFI
    • XXE
  • 08 alkalom
    12.03. 18:00–19:30

    Workshop 2: SQL Injection

    • Nézzük meg, mi is az az „SQL injekció”
    • Milyen kockázatokkal jár és egyáltalán miért létezik?
    • Gondoljuk át, milyen lehetőségeink vannak általa
    • Közösen megkeressük és kihasználunk sebezhető alkalmazásokat
    • Az SQLmap segítségével automatizáljuk az adatgyűjtés folyamatát
  • 09 alkalom
    12.05. 18:00–19:30

    Szerveroldali webalkalmazás-támadások II.

    • Hitelesítési támadások
    • Információ közzététel (disclosure of information)
    • Hozzáférés-vezérlés elleni támadások
      • DRY contact
    • Munkamenet elleni támadások (Session Management)
  • 10 alkalom
    12.10. 18:00–19:30

    Szerveroldali webalkalmazás-támadások III.

    • SSTI
    • Parancsinjekció
    • Szerveroldali kérelemhamisítás (SSRF)
    • API-biztonság
      • REST API
      • GraphQL
  • 11 alkalom
    12.12. 18:00–19:30

    Workshop 3: API-támadások

    • Gyakorlati munka végzése egy sebezhető GraphQL API-jal
    • API-sérülékenységek felkutatása és kihasználása: SSRF, hitelesítési támadások, parancs befecskendezés, SQL-injekció stb
  • 12 alkalom
    12.17. 18:00–19:30

    Kliensoldali webalkalmazás-támadások

    • XSS
    • CSRF
    • Clickjacking
    • HTML-injekció
  • 13 alkalom
    12.19. 18:00–19:30

    Sérülékenységi riport készítése

    • Tipikus jelentés struktúra
    • Riport közönsége, stakeholderek
    • A sérülékenységek leírásának jellemzői
    • Mit tegyünk ill. ne tegyünk a sérülékenységek jelentése során
    • Prioritás / súlyosság, kockázatkezelés
    • Példa egy jelentésre egy webalkalmazás penteszt projektjéből
    • Exploitlánc
  • 14 alkalom
    01.07. 18:00–19:30

    Workshop 4: Sérülékenységek a webalkalmazások kliens oldalán

    • Gyakorlati munkavégzés sérülékeny webalkalmazásokkal
    • Sérülékenységek keresése és kihasználása
      • XSS
      • CSRF
      • Clickjacking
  • 15 alkalom
    01.09. 18:00–19:30

    A sérülékenységek emberi aspektusa és szakmai fejlődés

    • Nem biztonságos design
    • Nem biztonságos megvalósítás
    • Üzleti logikai hibák
    • Karrierlehetőségek a kiberbiztonság területén
    • Megszerezhető szakmai tudást igazoló nemzetközi tanúsítványok
    • Kiberbiztonsági események, közösségek Magyarországon
    • Felkészülés egy Cyber Security Engineer állásinterjú gyakorlati részére
  • 16 alkalom
    01.14. 18:00–19:30

    Projektmunkák bemutatása

    • A kurzus összegzése, projektmunkák bemutatása

TUDJ MEG TÖBBET

A kurzussal kapcsolatos további információkért töltsd ki az űrlapot, és munkatársunk a lehető leghamarabb felveszi veled a kapcsolatot, hogy bővebb tájékoztatást adjon a kurzus részleteiről és áráról.

 
 
 
Tudj meg többet