RSS

Archive

Apr
8th
Wed
permalink

Conviso Security Training: Web Hacking Techniques

Após o sucesso do curso Web Hacking Techniques ministrado durante a uCon Conference 2009, atualizamos o calendário para turmas em Belo Horizonte, Brasília, Curitiba, Recife, Rio de Janeiro e São Paulo. Abaixo, segue o conteúdo do data sheet do curso, que também está disponível em formato PDF.

CONVISO SECURITY TRAINING: WEB HACKING TECHNIQUES

Ao entender as principais vulnerabilidades em aplicações web, os alunos deste curso são capacitados em práticas de programação segura e no uso de ferramentas para testes de segurança neste modelo de aplicação

APRESENTAÇÃO

Racional

A segurança de aplicações é um campo relativamente novo no Brasil, mas que deveria ser considerado estratégico pelas empresas frente ao novo comportamento dos crackers que buscam explorar vulnerabilidades conhecidas para cometer crimes contra as empresas e cidadãos. Uma pesquisa conduzida pelo Ponemon Institute, definiu o valor de US$ 200 por arquivo comprometido, chegando a uma média de US$ 6.6 milhões em cada evento onde existe vazamento de informações. Em um exemplo concreto, o SEC multou em US$ 275,000 uma empresa que deixou seus clientes serem lesados pela ineficácia dos controles estabelecidos.

A própria evolução dos sistemas de proteção causou este cenário, onde a excelente performance de firewalls e IDS/IPS protegem as redes de dados de ataques comuns, levando os criminosos a procurarem portas em outra camada: as aplicações. De fato, a maioria dos especialistas considera esta é a principal origem de ataques pela Internet.

Sobre o Curso

O Conviso Security Labs oferece o curso Web Hacking Techniques como resposta a esta demanda, onde ensinamos as técnicas de uma análise de segurança de forma prática, pelo ensinamento teórico conjugado com exercícios práticos e estudos de casos. Ao entender as principais vulnerabilidades em aplicações web e como evitar que elas sejam criadas, os alunos deste curso são capacitados em práticas de programação segura e no uso de ferramentas e técnicas manuais para testes de segurança neste modelo de aplicação.

Público Alvo

O curso Web Hacking Techniques é destinado para profissionais de IT Security, programadores e profissionais que trabalham com a administração de servidores web e tenham a necessidade de aprender ou se atualizar nos modelos utilizados para ataques externos e internos, permitindo assim desenvolver práticas de proteção de seus recursos e resposta à incidentes baseado em técnicas eficientes.

Pré-Requisitos

As técnicas apresentadas exigem que os alunos tenham conhecimento mínimos em IT Security, facilitando assim o entendimento das práticas e permitindo o foco no conteúdo disponibilizado:

  • Conceitos de segurança como controle de acesso e tríade CID.
  • Conceitos básicos de Administração de Redes de Dados, protocolo TCP/IP, conexão de serviços e modelos de arquitetura.
  • Conhecimentos básicos de programação e construção de aplicações em plataformas web.
  • Inglês técnico para leitura de parte do material de apoio e entendimento das ferramentas fornecidas.

DESCRIÇÃO DOS MÓDULOS

O curso Web Hacking Techniques tem a carga horária de 16 horas distribuída em dois dias de treinamento intensivo, onde seis módulos são utilizados para capacitar a turma na teoria, exercícios práticos e estudos de casos reais.

Módulo 1. Introdução

Apresentamos a ementa do curso, integramos os alunos e instrutores e mostramos de forma geral o ambiente de testes hands on, onde utilizamos diversas ferramentas e técnicas manuais para demonstrar na prática a teoria ensinada. 

Módulo 2. Técnicas Iniciais

Desenvolvemos o assunto com base nas técnicas utilizadas para análise de segurança em aplicações web de uma forma geral. Utilizando conceitos e modelos suportados pelo Open Web Application Security Project (OWASP), Web Application Security Consortium (WASC) orientamos como o processo deverá ser desenvolvido ao longo do curso e aplicado em casos reais.

Módulo 3. Conhecimento do Ambiente

Abordamos o protocolo HTTP e a arquitetura dos servidores de aplicação, demonstrando como as vulnerabilidades podem ser exploradas nas camadas de aplicação, redes de dados e arquitetura.

Módulo 4. Exploração de Vulnerabilidades

Trabalhando no modelo sugerido pelo OWASP Testing Guide, abordamos as vulnerabilidades presentes no OWASP Top 10 e desenvolvemos o assunto aprofundando falhas comuns como Clickjacking e SSLStrip e técnicas diversas como  password cracking e encoding.

Módulo 5. Técnicas e Ferramentas

Apresentamos as principais ferramentas utilizadas na análise de vulnerabilidades de aplicações web, além de demonstrar como utilizar recursos para casos específicos e desenvolver modelos que sejam adequados para diferentes iniciativas.

Módulo 6. Avaliação

Durante o desenvolvimento dos módulos, um challenge é apresentado para a turma utilizar de forma prática as informações ministradas durante as aulas, permitindo que o instrutor interaja diretamente dirimindo dúvidas e esclarecendo questionamentos. Durante a avaliação, o conhecimento obtido durante os dias anteriores é utilizado para uma avaliação de conhecimento, onde os alunos tem a missão de penetrar em uma aplicação web preparada para o curso, utilizando as técnicas de exploração ensinadas e reportando os resultados nos formatos adequados para as audiências técnica e executiva.

EMENTA

Durante os seis módulos do curso Web Hacking Techniques, os tópicos apresentados na ementa são utilizados como base para a condução das aulas e orientação dos alunos. 

Como os assuntos abordados são extremamente dinâmicos, nos reservamos o direito de incrementar o tempo alocado para cada um dos assuntos de acordo com a orientação geral da turma e notícias relevantes do mercado de IT Security. Isso garante que a base do curso permaneça dentro do nível de excelência que praticamos e os assuntos sempre sejam relevantes.

Primeiro Dia

  1. Introdução (Apresentação da Ementa, Apresentação da Turma e Apresentação do Ambiente de Testes Hands On)
  2. Técnicas Iniciais (Existe um how to para o hacking?, Onde praticar?, Ambiente de Treinamento, Conceitos e Definições e Ferramentas Essenciais - Add-Ons Firefox; Proxies de Análise Passiva; Ferramentas para Fuzzing.
  3. Conhecimento do Ambiente (Introdução a servidores de aplicação , Metodologia para Teste de Intrusão Web e Explorando as vulnerabilidades do OWASP Top 10)

Segundo Dia

  1. Exploração de Vulnerabilidades (Clickjacking, XSS + Clickjacking, SSLStrip, Password Cracking, Brute-force online, Brute-force offline e Encoding)
  2. Ferramentas (wmap, w3af, WebSlayer, sqlmap)
  3. Avaliação (Exercício Final para avaliação de conhecimentos adquiridos e Encerramento do Curso)

INFORMAÇÕES ADICIONAIS

Modelo

  • Turmas com 8 a 15 alunos
  • Material de apoio específico, com apostilas, estudos de casos, análise de cenários e CD contendo todo o material e ferramentas utilizadas durante o aprendizado
  • Bibliografia e conteúdo constantemente atualizados para refletir a situação do mercado
  • Todos os cursos incluem instruções teóricas e exercícios práticos em sala de aula
  • Instrutores de mercado com experiência profissional e didática adequada

Amenidades para os Alunos

  • Coffee-Break em todos os dias de curso
  • Instalações adequadas e bem localizadas

Certificados Diferenciados

Nossos cursos fornecem uma sólida base para os alunos se capacitarem em busca de certificações de mercado:

  • Certificado de participação do curso para freqüência igual ou superior a 80%
  • Certificado de qualificação no curso para aproveitamento igual ou superior a 70% na avaliação final
  • Formação das Turmas
  • As turmas são formadas à partir do momento em que o quorum de 08 pessoas, é atingido. A atualização da quantidade de inscritos é mostrada diariamente em nosso web site.

Descontos Progressivos

Ao efetuar a inscrição e efetuar o pagamento, você pode se beneficiar com a nossa política de descontos progressivos:

  • Inscrições feitas até 60 dias antes do início do curso recebem um desconto de 15%
  • Inscrições feitas até 30 dias antes do início do curso recebem um desconto de 10%
  • Inscrições feitas até 15 dias antes do início do curso recebem um desconto de 5%

Inscrições

  • As inscrições podem ser feitas diretamente em nosso web site ou através do endereço cursos@conviso.com.br. Nossos cursos são oferecidos em diversas datas nas cidades de Belo Horizonte, Brasília, Curitiba, Recife, Rio de Janeiro e São Paulo

Investimento

  • Valor do Curso sem desconto: R$ 1.300,00
  • Formas de Pagamento: Boleto Bancário, cartão de crédito ou depósito em conta corrente