หลักสูตร ความมั่นคงปลอดภัยด้านเว็บแอพพลิเคชัน (Web Application Security)

หลักสูตร ความมั่นคงปลอดภัยด้านเว็บแอพพลิเคชัน (Web Application Security)

จุดประสงค์ของหลักสูตรนี้
ในปัจจุบันภัยคุกคามที่เกิดขึ้นจากผู้ไม่ประสงค์ดี (Hacker) ที่มุ่งเน้นการโจมตีหน่วยงานภาครัฐเป็นหลัก จากทั้งภายใน และภายนอกประเทศ เพื่อทาลายชื่อเสียงและเรียกร้องสิทธิต่างๆ ตามที่ต้องการ ซึ่งเว็บไซต์ตกเป็นเป้าหมายหลักที่โดนบุกรุกเนื่องจากผู้ไม่ประสงค์ดีสามารถเข้าถึงจากที่ใดก็ได้บนโลกใบนี้ผ่านระบบเครือข่ายอินเทอร์เน็ต ดังนั้นเพื่อเป็นการพัฒนานักเขียนโปรแกรมด้านเว็บแอพพลิเคชันให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่างๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บแอพพลิเคชันแบบ Hacker ทาให้ผู้เข้าร่วมอบรมมีตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนาแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สาเร็จ

ความรู้พื้นฐานของผู้เข้าอบอรม
o การใช้งานคอมพิวเตอร์เบื้องต้น
o การใช้งานระบบปฎิบัติการ Linux เบื้องต้น
o การเขียนโปรแกรมภาษา HTML, PHP, JavaScript เบื้องต้น

เงื่อนไขการอบรม
o บุคลากรที่มีประสบการณ์ในการทำงานอย่างน้อย 2 ปี
o เครื่องโน้ตบุ๊กคอมพิวเตอร์ติดตั้งระบบปฎิบัติการ Windows 7 64 bit, CPU Core i5 GEN 4 ขึ้นไป, Memory ขนาด 8 GB,             พื้นที่ Hard disk ขนาด 100 GB

ระยะเวลาการอบรม จำนวน 3 วัน (จำนวนผู้เข้าอบรม 30 ท่าน)

เนื้อหาวันที่ 1

เวลา

เนื้อหา รายละเอียด

9.00-10.30 Introduction to Web Application

·   ภัยคุกคาม ช่องโหว่ ที่เกิดขึ้นในปัจจุบัน

·   เรียนรู้ค าศัพท์ที่เกี่ยวข้อง

·   ประวัติการพัฒนาเว็บแอพพลิเคชัน

·   โครงสร้างระบบเว็บแอพพลิเคชัน

·    ทำความรู้จัก HTTP Protocol

10.30-10.45 อาหารว่าง
 

10.45-12.00

Introduction to Web Application Security

·        Defence in depth

12.00-13.00 รับประทานอาหารกลางวัน
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

13.00-14.30

Web Application Penetration Testing Methodology

·   ทำความรู้จัก Open Web Application Security Project (OWASP)

·   เรียนรู้ 10 อันดับช่องโหว่ที่เกิดขึ้นในปัจจุบันบนเว็บแอพพลิเคชัน

·    A1-Injection

o   Explanations

o   SQL Injection Demo

o   Command Injection Demo

o   JSON Injection Demo

o   Defence

·     LAB

·     A2-Broken Authentication and Session Management

o  Explanations

o  Hijack a Session

o  Username Enum Demo

o  BruteForce Demo

o  Defence

·       LAB

14.30-14.45 อาหารว่าง

 

เวลา เนือหา รายละเอียด

14.45-17.00

o   A3-Cross-site Scripting

o   Explanations

o   Reflected XSS HTML context Demo

o   Reflected XSS JS context Demo

o   Stored Demo

o   Defence

o   LAB

o   A4-Insecure Direct Object Reference

o   Explanations

o   IDOR files tokens Demo

o   IDO URLs tokens Demo

o   Defence

o   LAB

o   A5-Security Misconfiguration

o   Explanations

o   Directory Browsing

o   User Agent Manipulation

o   Defence

o   LAB

 เนื้อหาวันที่ 2

เวลา เนื้อหา รายละเอียด
9.00-10.30 ·       A6 Sensitive Data Exposure

o               Explanations

o               Comments Demo

o               HiddenPages Demo

o               HTMLS Web Storage Demo

o               Defenses

·       LAB

·       A7 Missing Function Level Access Control

o   Explanations o   Role Demo o   Defenses

·       LAB

10.30-10.45 อาหารว่าง
 

 

 

10.45-12.00

·        A8 Cross-site Request Forgery

a.             Explanations

b.            CSRF JS Demo

c.              Entropy Demo

d.            Defenses

·        LAB

o   A10 Unvalidated Redirects and Forwards

o   Explanations

o   Unvalidated URLs Demo

o   Defenses

·        LAB

12.00-13.00 รับประทานอาหารกลางวัน
13.00-14.30 ·       A9 Using Components with Known Vulns

o               Explanations

o               Libraries & CVSS Demo

 

เวลา เนื้อหา รายละเอียด
o   Defenses

·       LAB

14.30-14.45 อาหารว่าง
14.45-17.00 ·       A10 Unvalidated Redirects and Forwards

o               Explanations

o               Unvalidated URLs Demo

o               Defenses

·       LAB

 

 

 เนื้อหาวัน ที่ 3

 

เวลา เนื้อหา รายละเอียด
9.00-10.30 ทำความรู้จัก SANS Top 25

·       CWE SANS Top 25 Buffer Overflows

o               Explanations

o               Classic Buffer Overflow Demo

o               Defenses

·       LAB

o   CWE SANS Top 25 Insecure Interaction Between Components

o   Explanations

o   File Upload Demo

o   Defenses

·       LAB

10.30-10.45 อาหารว่าง
10.45-12.00 ·        CWE SANS Top 25 Risky Resource Management

a.             Explanations

b.            Risky Resource Mgmt Demo

c.              Defenses

·        LAB

12.00-13.00 รับประทานอาหารกลางวัน
13.00-14.30 ·       CWE SANS Top 25 Porous Defenses

o               Explanations

o               JS Validation Bypass Demo

o               Defenses

·       LAB

·       Honorable Mentions

·       Explanations

·       LAB

14.30-14.45 อาหารว่าง
14.45-17.00 ·       Active Defenses

 

เวลา เนื้อหา รายละเอียด
·       Explanations
·       Threat Modeling

·       Intro

·       Explanations

·       Demo