Web Application Security

หลักสูตรความมั่นคงปลอดภัยด้านเว็บแอพพลิเคชัน
(Web Application Security)

จุดประสงค์ของหลักสูตรนี้

ในปัจจุบันภัยคุกคามที่เกิดขึ้นจากผู้ไม่ประสงค์ดี (Hacker) ที่มุ่งเน้นการโจมตีหน่วยงานภาครัฐเป็นหลัก จากทั้งภายใน และภายนอกประเทศ เพื่อทำลายชื่อเสียงและเรียกร้องสิทธิต่างๆ ตามที่ต้องการ ซึ่งเว็บไซต์ตกเป็นเป้าหมายหลักที่โดนบุกรุกเนื่องจากผู้ไม่ประสงค์ดีสามารถเข้าถึงจากที่ใดก็ได้บนโลกผ่านระบบเครือข่ายอินเทอร์เน็ต ดังนั้นเพื่อเป็นการพัฒนานักเขียนโปรแกรมด้านเว็บแอพพลิเคชันให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่างๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บแอพพลิเคชันแบบ Hacker ซึ่งจะทำให้ผู้เข้าร่วมอบรมมีตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนำแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สำเร็จ

ความรู้พื้นฐานของผู้เข้าอบอรม

  • การใช้งานคอมพิวเตอร์เบื้องต้น
  • การใช้งานระบบปฎิบัติการ Linux เบื้องต้น
  • การเขียนโปรแกรมภาษา HTML, PHP, JavaScript, JAVA, C#, Python เบื้องต้น

เงื่อนไขการอบรม

  • บุคลากรที่มีประสบการณ์ในการทำงานอย่างน้อย 2 ปี
  • เครื่องโน้ตบุ๊กคอมพิวเตอร์ติดตั้งระบบปฎิบัติการ Windows 7 64 bit, CPU Core i5 GEN 4 ขึ้นไป, Memory ขนาด 8 GB, พื้นที่ Hard disk ขนาด 100 GB

ระยะเวลาการอบรม จำนวน 2 วัน

จำนวนผู้เข้าอบรม 12 ท่าน

เนื้อหาวันที่ 1

เวลา เนื้อหา
9.00-10.30 Introduction to Web Application

    • ภัยคุกคาม ช่องโหว่ ที่เกิดขึ้นในปัจจุบัน
    • เรียนรู้คำศัพท์ที่เกี่ยวข้อง
    • ประวัติการพัฒนาเว็บแอพพลิเคชัน
    • โครงสร้างระบบเว็บแอพพลิเคชัน
    • ทำความรู้จัก HTTP Protocol
10.30-10.45 อาหารว่าง
10.45-12.00 Introduction to Web Application Security

    • Defence in depth
12.00-13.00 รับประทานอาหารกลางวัน
13.00-14.30 Web Application Penetration Testing Methodology

    • ทำความรู้จัก Open Web Application Security Project (OWASP)
    • เรียนรู้ 10 อันดับช่องโหว่ที่เกิดขึ้นในปัจจุบันบนเว็บแอพพลิเคชัน

A1-Injection

    • Explanations
    • SQL Injection Demo
    • Command Injection Demo
    • Defence
    • LAB
A2-Broken Authentication and Session Management

  • Explanations
  • Hijack a Session
  • Brute Force Demo
  • Defence
  • LAB
14.30-14.45 อาหารว่าง
14.45-17.00 A3-Cross-site Scripting

    • Explanations
    • Reflected XSS HTML context Demo
    • Stored Demo
    • Defence
    • LAB
A4-Insecure Direct Object Reference

    • Explanations
    • IDO URLs tokens Demo
    • Defence
    • LAB
A5-Security Misconfiguration

  • Explanations
  • Directory Browsing
  • User Agent Manipulation
  • Defence
  • LAB

เนื้อหาวันที่ 2

เวลา เนื้อหา
9.00-10.30 A6 Sensitive Data Exposure

    • Explanations
    • Hidden Pages Demo
    • Defenses
    • LAB
A7 Missing Function Level Access Control

    • Explanations
    • Role Demo
    • Defenses
    • LAB
10.30-10.45 อาหารว่าง
10.45-12.00 A8 Cross-site Request Forgery

    • Explanations
    • CSRF JS Demo
    • Defenses
    • LAB
A9 Using Components with Known Vulns

    • Explanations
    • Libraries & CVE Demo
    • Defenses
    • LAB
12.00-13.00 รับประทานอาหารกลางวัน
13.00-14.30 A10 Unvalidated Redirects and Forwards

    • Explanations
    • Redirect to malicious url
    • Defenses
    • LAB
14.30-14.45 อาหารว่าง
14.45-17.00
  • สรุปผลกระทบของ Open Web Application Security Project (OWASP)
  • รายละเอียดเพิ่มเติม OWASP TOP10 2017

หมายเหตุ : เนื้อหาอาจมีการปรับเปลี่ยนแก้ไขตามความเหมาะสม