Tīmekļa uzbrukums un aizsardzība

Kvalifikācijas un pieredzes ziņā unikāls profesionālis, vadošais pasniedzējs Datortīklu drošības jomā.

Oracle un Java kursu eksperts. Oracle sertificēts speciālists, tehnisko zinātņu kandidāts. Viņš izceļas ar daudzveidīgu pieredzi praktiskajā un mācību darbā.
2003. gadā Aleksejs Anatoljevičs ar izcilību absolvēja MIREA. 2006. gadā viņš aizstāvēja doktora darbu par tēmu drošu automatizētu informācijas sistēmu izveide.
Liels speciālists datu bāzu drošības jomā, drošu java un tīmekļa lietojumprogrammu izveidē Oracle DBMS un SQL Server, attīstot saglabāto programmu moduļus PL/SQL un T-SQL. Automatizēta lielo valsts uzņēmumu darbība. Sniedz konsultāciju un konsultāciju pakalpojumus sarežģītu izplatītu tīmekļa lietojumprogrammu izstrādē, pamatojoties uz Java EE platformu.
Alekseja Anatoļjeviča pedagoģiskā pieredze pēcdiploma izglītības sistēmā pārsniedz 7 gadus. Strādājis ar korporatīvajiem klientiem, apmācījis darbiniekus uzņēmumos “BANK PSB”, “Informācijas tehnoloģiju interneta universitāte (INTUIT)”, “SINTERRA”.
Vairāku izglītojošu un metodisku rokasgrāmatu par programmēšanu un darbu ar datu bāzēm autore. No 2003. līdz 2005. gadam Aleksejs Anatoljevičs nodarbojās ar ārzemju literatūras adaptāciju un tehnisko tulkošanu par tīmekļa programmēšanu un darbu ar datu bāzēm. Publicējis vairāk nekā 20 zinātniskus rakstus.
Pateicīgi absolventi vienmēr atzīmē pieejamo pat vissarežģītāko tēmu prezentācijas veidu, detalizētas atbildes uz studentu jautājumiem un dzīvo piemēru pārpilnību no skolotāja profesionālās prakses.

1. modulis. Vietņu koncepcijas (2 ak. h.)

-Tīmekļa serveru un tīmekļa lietojumprogrammu darbības principi
- Vietnes un tīmekļa lietojumprogrammu drošības principi
-Kas ir OWASP
-OWASP Top 10 klasifikācijas pārskats
-Ievads ar rīkiem uzbrukumu veikšanai
-Laboratorijas iestatīšana

2. modulis. Injekcijas (4 ac. h.)

-Kas ir injekcijas un kāpēc tās ir iespējamas?
-HTML injekcija
-Kas ir iFrame
-iFrame injekcija
- Kas ir LDAP
-LDAP injekcija
-Kas ir pasta galvenes
-Injekcijas pasta galvenēs
-Operētājsistēmas komandu injekcija
-PHP koda ievadīšana
- Kas ir servera puses iekļaušana (SSI)
-SSI injekcijas
-Strukturētās vaicājumu valodas (SQL) koncepcijas
-SQL injekcija
-Kas ir AJAX/JSON/jQuery
-SQL injekcija AJAX/JSON/jQuery
-Kas ir CAPTCHA
-SQL injekcija, apejot CAPTCHA
-SQLite injekcija
- SQL injekcijas piemērs programmā Drupal
-Kas ir saglabātās SQL injekcijas
-Saglabātas SQL injekcijas
-Saglabātas SQLite injekcijas
-XML jēdzieni
-Saglabāta SQL injekcija XML formātā
-Izmantojot lietotāja aģentu
-SQL injekcija lietotāja aģenta laukā
-Aklās SQL injekcijas uz loģiska pamata
- Aklās SQL injekcijas uz laiku
-Aklās SQLite injekcijas
- Kas ir objektu piekļuves protokols (SOAP)
-Akla SQL injekcija SOAP
-XML/XPath injekcija

3. modulis. Datorurķēšanas autentifikācija un sesija (2 ac. h.)

-Apiet CAPTCHA
-Uzbrukums paroles atkopšanas funkcionalitātei
-Uzbrukums pieteikšanās veidlapām
-Uzbrukums izejas kontrolei
-Uzbrukumi parolēm
- Vāju paroļu izmantošana
-Izmantojot universālu paroli
-Uzbrukumi administratīvajiem portāliem
- Uzbrukumi sīkdatnēm
-Uzbrukumi sesijas ID nodošanai vietrādī URL
- Sesijas fiksācija

4. modulis. Svarīgu datu noplūde (2 ac. h.)

-Izmantojot Base64 kodējumu
-Atvērt akreditācijas datu pārsūtīšanu, izmantojot HTTP
-Uzbrukumi SSL BEAST/CRIME/BREACH
-Uzbrukums Heartbleed ievainojamībai
-PŪDEĻA ievainojamība
- Datu glabāšana HTML5 tīmekļa krātuvē
-Izmantojiet novecojušas SSL versijas
- Datu glabāšana teksta failos

5. modulis. Ārējie XML objekti (2 ac. h.)

-Uzbrukums ārējiem XML objektiem
-XXE uzbrukums, atiestatot paroli
-Uzbrukums ievainojamībai pieteikšanās formā
-Uzbrukums ievainojamībai meklēšanas formā
-Pakalpojuma atteikuma uzbrukums

6. modulis. Piekļuves kontroles pārkāpums (2 ac. h.)

-Piemērs uzbrukumam nedrošai tiešai saitei, mainot lietotāja paroli
-Piemērs uzbrukumam nedrošai tiešai saitei, atiestatot lietotāja paroli
-Piemērs uzbrukumam nedrošai tiešai saitei, pasūtot biļetes interneta veikalā
-Directory Traversal katalogos
-Directory šķērsošana failos
-Uzbrukums resursdatora galvenei, kas izraisa saindēšanos ar kešatmiņu
-Uzbrukums resursdatora galvenei, kas noved pie paroles atiestatīšanas
-Ieskaitot vietējo failu programmā SQLiteManager
- Iespējot lokālo vai attālo failu (RFI/LFI)
-Ierīces ierobežošanas uzbrukums
-Diretorijas piekļuves ierobežojuma uzbrukums
-SSRF uzbrukums
-Uzbrukums XXE

7. modulis. Nedroša konfigurācija (2 ac. h.)

-Konfigurācijas uzbrukumu principi
-Nejauša piekļuve failiem Samba
- Flash starpdomēnu politikas fails
-Koplietotie resursi AJAX
-Starpvietņu izsekošana (XST)
- Pakalpojuma atteikums (liels gabals)
- Pakalpojuma atteikums (lēns HTTP DoS)
- Pakalpojuma liegums (SSL izsmelšana)
- Pakalpojuma atteikums (XML bumba)
-Nedroša DistCC konfigurācija
-Nedroša FTP konfigurācija
-Nedroša NTP konfigurācija
-Nedroša SNMP konfigurācija
-Nedroša VNC konfigurācija
-Nedroša WebDAV konfigurācija
-Vietējo privilēģiju eskalācija
-Man in the Middle Attack HTTP
-Man in the Middle Attack SMTP
-Nedroša arhivēto failu glabāšana
-Robotu fails

8. modulis. Starpvietņu skriptēšana (XSS) (3 ac. h.)

-Atspoguļots XSS GET pieprasījumos
-Atspoguļots XSS POST pieprasījumos
-Atspoguļots XSS uz JSON
-Atspoguļots XSS AJAX
Atspoguļots XSS XML formātā
-Atslēgšanās pogā atspoguļots XSS
-Atspoguļots XSS funkcijā Eval
-Atspoguļots XSS atribūtā HREF
-Atspoguļots XSS pieteikšanās formā
- Parādītā XSS piemērs programmā phpMyAdmin
-Atspoguļots XSS mainīgajā PHP_SELF
-Atspoguļots XSS atsauces galvenē
-Atspoguļots XSS lietotāja aģenta galvenē
-Atspoguļots XSS pielāgotajās galvenēs
- Saglabāts XSS emuāra ziņās
- Saglabāts XSS, mainot lietotāja datus
- Saglabāts XSS sīkfailos
- Saglabāts XSS programmā SQLiteManager
- Saglabāts XSS HTTP galvenēs

9. modulis. Nedroša deserializācija (2 ac. h.)

-PHP objektu injekcijas demonstrēšana
-Backdoor injekcija deserializācijas laikā
-Nedroša deserializācija JavaScript

10. modulis. Izmantojot komponentus ar zināmām ievainojamībām (2 ac. h.)

- Vietējās bufera pārpildes uzbrukumi
-Attālā bufera pārpildes uzbrukumi
- SQL injekcija programmā Drupal (Drupageddon)
- Sirds asiņošanas ievainojamība
-Attālā koda izpilde PHP CGI
-Uzbrukums PHP Eval funkcijai
- phpMyAdmin BBCode Tag XSS ievainojamība
- Shellshock ievainojamība
-Lokālā faila savienošana programmā SQLiteManager
- PHP koda ievadīšana SQLiteManager
-XSS programmā SQLiteManager

11. modulis. Mežizstrādes un uzraudzības trūkums (1 ac. h.)

-Nepietiekamas mežizstrādes piemērs
- Reģistrācijas ievainojamības piemērs
-Nepietiekamas uzraudzības piemērs