Ataki na Strony Internetowe

Samodzielna próba włamania to najlepszy sposób, aby sprawdzić, czy Twoja strona jest rzeczywiście bezpieczna.

• Zastanawiałeś się kiedykolwiek nad tematyką ataków na strony internetowe?
• Zadawałeś sobie pytanie, w jaki sposób może dojść do ataku na www?
• Chciałbyś wiedzieć, w jaki sposób udało się atakującym podmienić ostatnio strony rządowe, stronę JoeMonster’a czy słynnego hakera Kevina Mitnick’a?
• Może zastanawiałeś się nad tym, jak sprawić, aby Twoja strona internetowa była bezpieczna i odporna na ataki?
• A może sam chciałbyś przeprowadzić atak na własną witrynę?

Jeżeli interesuje Cię zagadnienie ataków na strony internetowe, bez względu na to, czy jesteś programistą, administratorem witryny czy zwykłym użytkownikiem, przedstawiamy Ci multimedialne szkolenie, które omawia temat website hackingu w sposób praktyczny, zrozumiały i przede wszystkim prosty.

Ostatnio słychać było wiele szumu wokół ACTA i lawinowych deface’ów (deface z angielskiego oznacza podmianę zawartości) wielu popularnych stron rządowych, włączając w to prywatne witryny ministrów i premiera. Media huczały od informacji na ten temat, ale nikt nie zadawał pytania odnośnie mechanizmów i technicznej strony tych ataków. Wynik jest taki, że do przeciętnego Kowalskiego docierają tylko ogólne informacje i mało kto wie, o co tak naprawdę chodzi.

Na szczęście my wiemy, o co chodzi i zakładam, że Ty także chcesz wiedzieć więcej niż przeciętny Kowalski. Jest to jeden z powodów, dla którego stworzyliśmy dla Ciebie to szkolenie. Każdy z nas w jakimś stopniu ma dzisiaj styczność ze stronami internetowymi. To oczywiste, że warto znać techniki, które mogą wykorzystywać agresorzy, aby odpowiednio się przed nimi zabezpieczyć.

Ataki na Strony Internetowe (ASI) jest szkoleniem tak prostym do przyswojenia, na ile to było możliwe. W każdym module szkolenia znajdziesz:

1. Dokładny opis konkretnego ataku
2. Część praktyczną, czyli przykładowy atak zrealizowany krok po kroku
3. Wnioski i sposoby obrony

Szkolenie ASI zostało zrealizowane w całości w systemie Windows 7. Wszystkie techniki ataku zostały przygotowane i zademonstrowane w tym systemie. Jeżeli korzystasz z Windows XP, Vista, czy 7 – wystarczy, że zapoznasz się z pierwszym modułem szkolenia, w którym omawiamy przygotowanie środowiska, i masz pewność, że uda Ci się samodzielnie przeprowadzić przedstawione w szkoleniu „eksperymenty".

W skład zestawu wchodzi podręcznik i dwie płyty DVD.

1. Podręcznik

Podręcznik szkolenia zawiera przystępny opis każdej z prezentowanych technik ataku i sposobów obrony. Moduł (rozdział podręcznika) podzielony jest na:

1. Część teoretyczną, w której poznasz mechanizmy rządzące danym zagadnieniem.
2. Część praktyczną, w której zobaczysz, jak możesz samodzielnie przeprowadzić niemal każdy z opisanych ataków.
3. Zalecenia dotyczące obrony przed omówionym w module atakiem.
Książka napisana jest prostym językiem. W środku znajdziesz wiele listingów, zrzutów ekranu i ilustracji, prezentujących każde omawiane zagadnienie. Wszystko po to, aby szkolenie było dla Ciebie możliwie przystępne i zrozumiałe.

Tutaj możesz pobrać pełny spis treści Podręcznika oraz jeden darmowy rozdział na temat wstrzykiwania kodu PHP. Atak ten był swego czasu (i z resztą nadal jest) bardzo popularny. Istniało wiele podatnych skryptów, w tym dość znany skrypt do obsługi forum dyskusyjnego (którego nazwę tutaj przemilczymy ;-), w których wstrzyknięcie kodu przez włamywacza kończyło się przejęciem pełnej kontroli nad kontem lub serwerem. To bardzo niebezpieczna podatność. Szczególnie, gdy wstrzyknięty zostanie tzw. php shell. Więcej o szczegółach dowiesz się oczywiście z Podręcznika i multimedialnych Szkoleń Video.

2. Szkolenie Video – DVD #1 – Moduły 1 – 10

Poza Podręcznikiem przygotowaliśmy dla Ciebie także zestaw 2 płyt DVD z multimedialnymi Szkoleniami Video. Wszystkie nagrania zostały przygotowane w systemie Windows i stanowią praktyczną prezentację ataków i zaleceń dotyczących obrony opisanych w Podręczniku. Na płytach znajdziesz udźwiękowione nagrania w najwyższej jakości HD. Autor zadbał o to, abyś mógł wszystko usłyszeć i zobaczyć na własne oczy. Nagrania video pełne są obrazowych przykładów, demonstracji PoC (proof of concept) oraz uwag, które przydadzą Ci się, aby zadbać o bezpieczeństwo własnych stron internetowych. Filmy możesz bez problemu odtworzyć na każdym komputerze PC, MAC lub smartfonie – dołączyliśmy specjalną wersję nagrań dla urządzeń przenośnych w formacie MP4.

Ze szkoleń zawartych na tej płycie dowiesz się:

Moduł 01 – Dowiesz się, jak przygotować system do przeprowadzania przykładowych ataków pokazanych na dalszych nagraniach. Wystarczy Ci do tego dowolny system Windows.
Moduł 02 – Poznasz atak związany z tzw. głębokim ukryciem.
Moduł 03 – Dowiesz się, jak atakujący mógłby przeprowadzić atak siłowy lub słownikowy na stronę internetową oraz formularze i w rezultacie poznać hasło.
Moduł 04 – Na czym polegają ataki typu account lockout, czyli blokady konta.
Moduł 05 – Poznasz metody modyfikacji ukrytych danych, które wykorzystują witryny internetowe. Dzięki temu uda Ci się samodzielnie spreparować dane i wykorzystać podatność na przykładowej stronie.
Moduł 06 – Dowiesz się, jak może dojść do wycieku kluczowych informacji na temat położenia witryny.
Moduł 07 – Zobaczysz, w jaki sposób (za pomocą spreparowanego adresu) agresor mógłby „wyciągnąć” ze strony informacje, które nie są przeznaczone dla użytkownika.
Moduł 08 – Poznasz mechanizm ataku typu path traversal i dowiesz się, jak go wykorzystać.
Moduł 10 – Dowiesz się, jak wykorzystać błąd filtrowania danych wejściowych, aby utworzyć konto z uprawnieniami administratora na przykładowej witrynie.

3. Szkolenie Video – DVD #2 – Moduły 11 – 20

Ze szkoleń zawartych na tej płycie dowiesz się:

Moduł 11 – Dowiesz się, na czym polega atak wstrzyknięcia kodu PHP. Zobaczysz, jak atakujący mógłby wprowadzić wrogi kod do witryny np. za pomocą obrazka lub zakodowanego ciągu znaków.
Moduł 12 – Zobaczysz, jak atakujący mógłby przeprowadzić atak wstrzyknięcia statycznego kodu, gdy autor strony nie zadba o należyte filtrowanie danych wejściowych.
Moduł 13 – Poznasz jeden z najpopularniejszych ataków związany z wstrzyknięciem kodu SQL (SQL injection). Zobaczysz mechanizm działania tego ataku na wielu praktycznych przykładach.
Moduł 14 – Na własne oczy zobaczysz, dlaczego atak XSS należy do najniebezpieczniejszych. Będziesz mógł samodzielnie wstrzyknąć kod na podatną witrynę i podsłuchać sesję użytkownika.
Moduł 14B – Dowiesz się, na czym polega technika XST, czyli cross site tracing.
Moduł 15 – Poznasz ataki typu XSRF i zobaczysz, jak atakujący mógłby zmusić nieświadomego użytkownika do wykonania niepożądanej akcji, np. zmiany własnego hasła lub utworzenia konta.
Moduł 16 – W tym module poznasz zagadnienie zdalnego podsłuchiwania danych za pomocą przeglądarki internetowej.
Moduł 17 – Zobaczysz, jak atakujący mógłby doprowadzić do przejęcia sesji użytkownika i czym to się może skończyć.
Moduł 18 – Poznasz inną odmianę ataku przejęcia sesji.
Moduł 19 – Na przykładach dowiesz się, na czym polegają popularne i niebezpieczne ataki phishingowe i jak się przed nimi zabezpieczyć.
Moduł 20 – Dowiesz się wielu informacji na temat automatyzacji testów bezpieczeństwa. Poznasz kilka interesujących narzędzi do analizy kodu i wyszukiwania błędów w witrynach internetowych.
Na każdej płycie DVD w katalogu Modules znajdziesz także wszystkie kody źródłowe i listingi prezentowane w nagraniach.

Czas trwania wszystkich Szkoleń Video to 3 godziny 5 minut i 16 sekund.