1. Mục tiêu

Môn học bổ sung các kiến thức về an ninh ứng dụng web.

2. Đối tượng

• Những người quan tâm đến an toàn thông tin.
• Chuyên viên kiểm định an toàn thông tin.
• Hacker mũ trắng.
• Lập trình viên web.

3. Nội dung

Phần 1:

• Module 1: Web dưới góc nhìn của chuyển viên kiểm định.
• Module 2: Tổng quan về các trình duyệt và máy chủ web
• Module 3: Các kiến trúc web
• Module 4: Thảo luận về quản lý phiên làm việc của web
• Module 5: Giới thiệu các loại lỗ hổng bảo mật của web
• Module 6: Xác định phạm vi và quá trình kiểm thử ứng dụng web
• Module 7: Xác định loại kiểm thử
• Module 8: Khai thác Heartbleed
• Module 9: Sử dụng Burp Suite trong kiểm thử ứng dụng web

Phần 2:

• Module 1: Khám phá kiến trúc của ứng dụng
• Module 2: Xác định hệ điều hành của máy chủ
• Module 3: Cấu hình SSL và các điểm yếu
• Module 4: Khám phá virtual hosting và ảnh hưởng của nó lên việc kiểm thử
• Module 5: Cách xác định cân bằng tải
• Module 6: Khám phá cấu hình phần mềm
• Module 7: Khám phá các nguồn thông tin ngoại tuyến
• Module 8: Tìm hiểu công cụ duyệt website tự động
• Module 9: Tạo script nhằm tạo truy vấn web tự động
• Module 10: Khám phá và khai thác Shellshock

Phần 3:

• Module 1: Python trong kiểm định ứng dụng web
• Module 2: Lỗ hổng ứng dụng web và các kỹ thuật kiểm định
• Module 3: Interception proxies
• Module 4: Zed Attack Proxy (ZAP)
• Module 5: Burp Suite
• Module 6: Tìm hiểu thất thoát thông tin và duyệt thư mục
• Module 7: Thu thập tên đăng nhập
• Module 8: SQL injection
• Module 9: Blind SQL injection
• Module 10: Command Injection
• Module 11: Directory traversal
• Module 12:Local File Inclusion (LFI)
• Module 13:Remote File Inclusion (RFI)
• Module 14:JavaScript dành cho tin tặc

Phần 4:

• Module 1: Cross-Site Scripting (XSS)
• Module 2: Cross-Site Request Forgery (CSRF)
• Module 3: Các lỗ hổng liên quan đến phiên làm việc
• Module 4: Session fixation
• Module 5: AJAX
• Module 6: XML and JSON
• Module 7: Tấn công luận lý
• Module 8: Công cụ quét ứng dụng web tự động w3af

Phần 5:

• Module 1: Giới thiệu công cụ sqlmap
• Module 2: Kiểm thử web với Metasploit
• Module 3: Framework khai thác trình duyệt
• Module 4: Các phương pháp biến trình duyệt thành zombie
• Module 5: Từ tấn công web đến chiếm hệ thống
• Module 6: XML and JSON
• Module 7: Ăn cắp cookies
• Module 8: Thực thi câu lệnh qua lỗ hổng ứng dụng web

4. Thời lượng

48 giờ

5. Yêu cầu kiến thức

Biết sử dụng các lệnh Linux đơn giản.

6. Chứng chỉ

Học viên được Trung tâm an ninh mạng CNSC – Trường đại học Công nghệ thông tin, Đại học quốc gia TPHCM cấp Chứng chỉ hoàn tất khóa học.