O Curso da Clavis à distância de Auditoria de Segurança em Aplicações Web o qual fui aluno. O instrutor, Rafael Soares, conhece a fundo sobre o tema e mandou muito bem em todas as alunas. Dezenas de perguntas foram feitas e nenhuma ficou sem resposta.
Sobre o Curso:
O uso de aplicações web vem crescendo de maneira significativa e com este fato isso novas falhas e formas de exploração estão surgindo à todo momento. Falhas em aplicações web podem acarretar roubo de informações sensíveis, danos de reputação entre tantos outros danos e consequentemente, enormes prejuízos financeiros.
O treinamento Auditoria de Segurança em Aplicações Web visa apresentar os princípios e técnicas para auditorias de segurança em aplicações Web, abordando conceitos fundamentais da área, detalhando as principais vulnerabilidades, formas de exploração e métodos de mitigação destas falhas. Serão apresentadas metodologias e ferramentas, assim como cenários para demonstrações práticas de ataques à aplicações web.
A ementa do curso pode ser visualizada abaixo:
1. Introdução
1.1. Utilização
1.2. Benefícios
1.3. Arquitetura
1.4. Aspectos básicos de Segurança
1.5. Protocolos e Tecnologias
2. Principais Ameaças
2.1. Injeções
2.2. Cross-Site Scripting (XSS)
2.3. Quebra de Autenticação / Roubo de Sessão
2.4. Referência direta à objetos
2.5. Cross-Site Request Forgery (CSRF)
2.6. Falhas de Configuração
2.7. Armazenamento Inseguro
2.8. Falha na Restrição de Acesso à URLs
2.9. Canal Inseguro
2.10. Redirecionamentos Não-Validados
3. Testes de Segurança
3.1. Exposição de Informação
3.2. Configurações e Manutenção
3.3. Autenticação
3.4. Gerenciamento de Sessões
3.5. Autorização
3.6. Funcionalidades e Lógica
3.7. Validação de Dados
3.8. Disponibilidade
3.9. Web Services
3.10. AJAX
4. Ferramentas
4.1. Reconhecimento
4.1.1. HTTRACK
4.1.2. Httprint
4.1.3. Maltego CE
4.2. Varreduras e Análises
4.2.1. Nikto
4.2.2. W3AF
4.2.3. Samurai WTF
4.2.4. Metasploit
4.2.5. Nmap
4.2.6. SQLmap
4.2.7. SQLbrute
4.2.8. SQLninja
4.3. Proxies
4.3.1. WebScarab
4.3.2. Paros Proxy
4.3.3. Burp Suite
4.3.4. Rat Proxy
4.4. Firefox Add-ons
4.4.1. Greasemonkey
4.4.2. Firebug
4.4.3. FoxyProxy
4.4.4. User Agent Switcher
4.4.5. Tamper Data
4.4.6. DOM Inspector
4.4.7. Add N Edit Cookies
4.4.8. Firesheep
4.5. Sniffers
4.5.1. TCPdump
4.5.2. Wireshark
5. Estudos de Casos
1.1. Utilização
1.2. Benefícios
1.3. Arquitetura
1.4. Aspectos básicos de Segurança
1.5. Protocolos e Tecnologias
2. Principais Ameaças
2.1. Injeções
2.2. Cross-Site Scripting (XSS)
2.3. Quebra de Autenticação / Roubo de Sessão
2.4. Referência direta à objetos
2.5. Cross-Site Request Forgery (CSRF)
2.6. Falhas de Configuração
2.7. Armazenamento Inseguro
2.8. Falha na Restrição de Acesso à URLs
2.9. Canal Inseguro
2.10. Redirecionamentos Não-Validados
3. Testes de Segurança
3.1. Exposição de Informação
3.2. Configurações e Manutenção
3.3. Autenticação
3.4. Gerenciamento de Sessões
3.5. Autorização
3.6. Funcionalidades e Lógica
3.7. Validação de Dados
3.8. Disponibilidade
3.9. Web Services
3.10. AJAX
4. Ferramentas
4.1. Reconhecimento
4.1.1. HTTRACK
4.1.2. Httprint
4.1.3. Maltego CE
4.2. Varreduras e Análises
4.2.1. Nikto
4.2.2. W3AF
4.2.3. Samurai WTF
4.2.4. Metasploit
4.2.5. Nmap
4.2.6. SQLmap
4.2.7. SQLbrute
4.2.8. SQLninja
4.3. Proxies
4.3.1. WebScarab
4.3.2. Paros Proxy
4.3.3. Burp Suite
4.3.4. Rat Proxy
4.4. Firefox Add-ons
4.4.1. Greasemonkey
4.4.2. Firebug
4.4.3. FoxyProxy
4.4.4. User Agent Switcher
4.4.5. Tamper Data
4.4.6. DOM Inspector
4.4.7. Add N Edit Cookies
4.4.8. Firesheep
4.5. Sniffers
4.5.1. TCPdump
4.5.2. Wireshark
5. Estudos de Casos
Para a realização do curso, são sugeridos os seguintes conhecimentos prévios:
- conhecimentos básicos de TCP/IP;
- conhecimentos básicos de sistemas GNU/Linux;
Os pré-requisitos deste curso são abordados nos cursos:
"mandou muito bem em todas as alunas" hahaha... ficou estranho
ResponderExcluir