SZKOLENIE: TESTY PENETRACYJNE SYSTEMÓW IT 13
Transkrypt
SZKOLENIE: TESTY PENETRACYJNE SYSTEMÓW IT 13
SZKOLENIE: TESTY PENETRACYJNE SYSTEMÓW IT 13-15 czerwca 2011r. Dzień 1 9:00 9:15 9:15 9:35 9:35 11:15 11:15 11:30 11:30 12:00 12:00 12:30 12:45 12:30 12:45 14:00 14:00 14:45 14:45 15:45 15:45 17:00 Przywitanie uczestników Wprowadzenie do bezpieczeństwa systemów IT • Współczesne systemy IT • Podatności systemów • Klasyfikacja ataków Wprowadzenie do testów penetracyjnych • Metody szacowania bezpieczeństwa o Audyt bezpieczeństwa o Analiza bezpieczeństwa o Szacowanie podatności o Test penetracyjny • Wprowadzenie do testów penetracyjnych o Etapy testów penetracyjnych o Typy testów penetracyjnych o Dobre praktyki o Zalety i wady • Narzędzia wykorzystywane w testach • Kwalifikacje zespołu testującego • Źródła wiedzy Przerwa Standardy prowadzenia testów penetracyjnych • NIST SP 800-115 • OSSTMM • OISSG ISSAF • OWASP Planowanie testu penetracyjnego Przerwa Warsztat: Rozpoznanie systemu informatycznego • Narzędzia onLine o Google Hacking o Netcraft o WHOIS Przerwa obiadowa Warsztat: Rozpoznanie systemu informatycznego (cd.) • Narzędzia systemowe Warsztat: Rozpoznanie systemu informatycznego (cd.) • Skanowanie sieci i hostów Dzień 2 09:00: 9:15 Podsumowanie pierwszego dnia szkolenia 00 9:15 10:00 Warsztat: Rozpoznanie systemu informatycznego (cd.) • Identyfikacja usług sieciowych i podatności 10:00 11:00 Warsztat: Ataki pasywne • Podsłuch sieci 11:00 11:15 Przerwa 11:15 12:15 Warsztat: Ataki aktywne • Ataki Man-In-The-Middle o ARP Spoofing o DNS Spoofing o Ataki na połączenia SSL 12:15 14:00 Warsztat: Ataki aktywne (cd) • Skanery podatności aplikacji • Enumeracja użytkowników • Wykorzystanie podatności 14:00 14:45 Przerwa obiadowa 14:45 16:00 Warsztat: Ataki aktywne (cd.) • Wykorzystanie podatności (cd.) • Metasploit framework 16:00 16:15 Przerwa 16:15 17:00 Warsztat: Ataki aktywne (cd.) • Łamanie haseł • Denial of Service • Eskalacja uprawnień (ataki lokalne) Dzień 3 9:00 9:15 11:00 11:15 14:00 9:15 Podsumowanie drugiego dnia szkolenia 11:00 Warsztat: Ataki aktywne • Aplikacje WWW (wg OWASP Top 10) 11:15 Przerwa 14:00 Warsztat: Ataki aktywne (cd.) • Aplikacje WWW (wg OWASP Top 10) o A1: Iniekcje o A2: Cross-Site Scripting (XSS) o A3: Niepoprawna obsługa uwierzytelniania i zarządzania sesją o A4: Niezabezpieczone bezpośrednie odwołania do obiektu o A5: CSRF: Fałszowanie żądań o A6: Niepoprawna konfiguracja o A7: Błędy szyfrowania danych 14:45 Przerwa obiadowa 14:45 16:00 16:15 16:50 16:00 Warsztat: Ataki aktywne (cd.) • Aplikacje WWW (wg OWASP Top 10) o A8: Brak zabezpieczeń dostępu przez URL o A9: Niedostateczna ochrona kanału wymiany danych o A10: Niesprawdzane przekierowania 16:15 Przerwa 16:50 Warsztat: Podsumowanie testu bezpieczeństwa • Szacowanie ryzyka w testach penetracyjnych o Podstawy szacowania ryzyka o Wybrane metody szacowania ryzyka (NIST SP 800-30, OWASP RRM) • Wyeliminowanie fałszywych alarmów (z ang. false positives) • Sporządzenie raportu 17:00 Podsumowanie szkolenia i ankieta uczestników