Mục tiêu khóa học

• Hiểu và thực hiện kiểm thử thâm nhập ứng dụng web một cách hiệu quả.
• Phát hiện và khai thác các lỗ hổng phổ biến như SQL Injection, XSS, và CSRF.
• Sử dụng các công cụ và phương pháp tiên tiến để đánh giá bảo mật ứng dụng web.
• Nắm vững các phương pháp tấn công và phòng thủ cho các nền tảng web hiện đại.
• Tăng cường khả năng bảo mật của ứng dụng web thông qua các biện pháp cải thiện bảo mật.

Chương trình phù hợp với

• Chuyên gia bảo mật thông tin muốn nâng cao kỹ năng kiểm thử thâm nhập ứng dụng web.
• Nhà phát triển ứng dụng web mong muốn hiểu sâu hơn về bảo mật và cách ngăn chặn các cuộc tấn công.
• Những cá nhân hoặc chuyên gia IT muốn đạt chứng chỉ quốc tế về bảo mật ứng dụng web.

Chứng nhận

Sau khi hoàn thành khóa học, học viên được cấp chứng nhận khóa học theo quy định của ITSTARVN.

Nội dung khóa học

1. Tổng quan về bảo mật ứng dụng web

• Giới thiệu về các nguyên tắc bảo mật cơ bản của ứng dụng web.
• Hiểu rõ mô hình bảo mật trong môi trường web và các mối đe dọa phổ biến.
• Phân tích các khung bảo mật như OWASP Top 10.

2. Quy trình kiểm thử thâm nhập ứng dụng web

• Các giai đoạn kiểm thử thâm nhập: từ thu thập thông tin, quét và kiểm tra lỗ hổng đến khai thác và báo cáo.
• Công cụ và phương pháp kiểm thử như Burp Suite, OWASP ZAP.
• Xác định và phân tích các lỗ hổng tiềm ẩn trong các ứng dụng web.

3. Tấn công và bảo mật xác thực người dùng

• Kiểm tra cơ chế xác thực của ứng dụng web (Form-based, Token-based, Multi-Factor Authentication).
• Tấn công vào cơ chế xác thực như brute-force, credential stuffing.
• Các biện pháp bảo mật như triển khai cơ chế bảo mật mật khẩu và giới hạn quyền truy cập.

4. Tấn công SQL Injection

• Tìm hiểu về SQL Injection, một trong những lỗ hổng nguy hiểm nhất trên ứng dụng web.
• Cách khai thác SQL Injection để truy cập cơ sở dữ liệu hoặc thay đổi thông tin.
• Phương pháp phòng chống SQL Injection thông qua kỹ thuật lập trình an toàn.

5. Tấn công Cross-Site Scripting (XSS)

• Giới thiệu về các loại XSS: Reflected XSS, Stored XSS, DOM-based XSS.
• Khai thác lỗ hổng XSS để kiểm soát trình duyệt người dùng hoặc lấy cắp thông tin.
• Phương pháp phát hiện và ngăn chặn XSS trong quá trình phát triển ứng dụng.

6. Tấn công Cross-Site Request Forgery (CSRF)

• Hiểu cơ chế của tấn công CSRF và tác động của nó.
• Sử dụng các kỹ thuật để ép người dùng thực hiện hành động không mong muốn.
• Biện pháp phòng ngừa CSRF bằng cách sử dụng token bảo mật và xác thực.

7. Tấn công File Inclusion

• Hiểu và khai thác các lỗ hổng như Local File Inclusion (LFI) và Remote File Inclusion (RFI).
• Phân tích cách các lỗi cấu hình file có thể dẫn đến rò rỉ thông tin nhạy cảm hoặc thực thi mã độc.
• Cách phòng tránh tấn công bằng cách cấu hình an toàn và kiểm tra đầu vào.

8. Kiểm tra và khai thác API

• Bảo mật API là một thách thức ngày càng tăng khi ứng dụng web phụ thuộc nhiều vào API.
• Khai thác các lỗ hổng API như thiếu xác thực, lỗi xử lý dữ liệu và thông tin nhạy cảm.
• Các phương pháp kiểm tra bảo mật API và biện pháp khắc phục.
• 9. Phân tích bảo mật HTTP/HTTPS và các giao thức liên quan
• Phân tích bảo mật của giao thức HTTP và HTTPS.
• Kiểm tra và khai thác các lỗ hổng trong giao thức giao tiếp web.
• Biện pháp bảo mật cho máy chủ web và cách triển khai HTTPS đúng cách.

10. Báo cáo và khắc phục lỗ hổng

• Cách viết báo cáo bảo mật chuyên nghiệp và chi tiết.
• Đưa ra các đề xuất cải thiện bảo mật dựa trên kết quả kiểm thử.
• Tư vấn cho các nhóm phát triển về các biện pháp phòng ngừa và khắc phục lỗ hổng.