SZKOLENIE: TESTY PENETRACYJNE SYSTEMÓW IT 13

SZKOLENIE: TESTY PENETRACYJNE SYSTEMÓW IT
13-15 czerwca 2011r.
Dzień 1
9:00
9:15
9:15
9:35
9:35
11:15
11:15
11:30
11:30
12:00
12:00
12:30
12:45
12:30
12:45
14:00
14:00
14:45
14:45
15:45
15:45
17:00
Przywitanie uczestników
Wprowadzenie do bezpieczeństwa systemów IT
• Współczesne systemy IT
• Podatności systemów
• Klasyfikacja ataków
Wprowadzenie do testów penetracyjnych
• Metody szacowania bezpieczeństwa
o Audyt bezpieczeństwa
o Analiza bezpieczeństwa
o Szacowanie podatności
o Test penetracyjny
• Wprowadzenie do testów penetracyjnych
o Etapy testów penetracyjnych
o Typy testów penetracyjnych
o Dobre praktyki
o Zalety i wady
• Narzędzia wykorzystywane w testach
• Kwalifikacje zespołu testującego
• Źródła wiedzy
Przerwa
Standardy prowadzenia testów penetracyjnych
• NIST SP 800-115
• OSSTMM
• OISSG ISSAF
• OWASP
Planowanie testu penetracyjnego
Przerwa
Warsztat: Rozpoznanie systemu informatycznego
• Narzędzia onLine
o Google Hacking
o Netcraft
o WHOIS
Przerwa obiadowa
Warsztat: Rozpoznanie systemu informatycznego (cd.)
• Narzędzia systemowe
Warsztat: Rozpoznanie systemu informatycznego (cd.)
• Skanowanie sieci i hostów
Dzień 2
09:00: 9:15 Podsumowanie pierwszego dnia szkolenia
00
9:15
10:00 Warsztat: Rozpoznanie systemu informatycznego (cd.)
• Identyfikacja usług sieciowych i podatności
10:00 11:00 Warsztat: Ataki pasywne
• Podsłuch sieci
11:00 11:15 Przerwa
11:15 12:15 Warsztat: Ataki aktywne
• Ataki Man-In-The-Middle
o ARP Spoofing
o DNS Spoofing
o Ataki na połączenia SSL
12:15 14:00 Warsztat: Ataki aktywne (cd)
• Skanery podatności aplikacji
• Enumeracja użytkowników
• Wykorzystanie podatności
14:00 14:45 Przerwa obiadowa
14:45 16:00 Warsztat: Ataki aktywne (cd.)
• Wykorzystanie podatności (cd.)
• Metasploit framework
16:00 16:15 Przerwa
16:15 17:00 Warsztat: Ataki aktywne (cd.)
• Łamanie haseł
• Denial of Service
• Eskalacja uprawnień (ataki lokalne)
Dzień 3
9:00
9:15
11:00
11:15
14:00
9:15 Podsumowanie drugiego dnia szkolenia
11:00 Warsztat: Ataki aktywne
• Aplikacje WWW (wg OWASP Top 10)
11:15 Przerwa
14:00 Warsztat: Ataki aktywne (cd.)
• Aplikacje WWW (wg OWASP Top 10)
o A1: Iniekcje
o A2: Cross-Site Scripting (XSS)
o A3: Niepoprawna obsługa uwierzytelniania i
zarządzania sesją
o A4: Niezabezpieczone bezpośrednie odwołania
do obiektu
o A5: CSRF: Fałszowanie żądań
o A6: Niepoprawna konfiguracja
o A7: Błędy szyfrowania danych
14:45 Przerwa obiadowa
14:45
16:00
16:15
16:50
16:00 Warsztat: Ataki aktywne (cd.)
• Aplikacje WWW (wg OWASP Top 10)
o A8: Brak zabezpieczeń dostępu przez URL
o A9: Niedostateczna ochrona kanału wymiany
danych
o A10: Niesprawdzane przekierowania
16:15 Przerwa
16:50 Warsztat: Podsumowanie testu bezpieczeństwa
• Szacowanie ryzyka w testach penetracyjnych
o Podstawy szacowania ryzyka
o Wybrane metody szacowania ryzyka (NIST SP
800-30, OWASP RRM)
• Wyeliminowanie fałszywych alarmów (z ang. false
positives)
• Sporządzenie raportu
17:00 Podsumowanie szkolenia i ankieta uczestników