Web Application Security - OWASP

Web Application Security - OWASP

Web Application Security - OWASP

39 LƯỢT XEM

NỘI DUNG MÔN HỌC

Chương trình OWASP Web Application Security cung cấp những kiến thức nền tảng và kỹ năng thực hành cần thiết để bảo vệ các ứng dụng web khỏi những mối đe dọa an ninh mạng phổ biến. Khóa học dựa trên tài liệu của OWASP (Open Web Application Security Project), tập trung vào OWASP Top 10 – danh sách các lỗ hổng bảo mật nguy hiểm nhất đối với ứng dụng web hiện nay.

Mục tiêu khóa học
  • Hiểu rõ các lỗ hổng bảo mật chính được liệt kê trong OWASP Top 10 và cách phòng tránh chúng.
  • Nắm vững kỹ thuật kiểm thử bảo mật ứng dụng web để phát hiện và xử lý lỗ hổng.
  • Học cách cấu hình và triển khai các biện pháp bảo mật cho ứng dụng web.
  • Thực hành các công cụ kiểm thử như Burp Suite, OWASP ZAP, và Kali Linux.
Đối tượng tham gia
  • Sinh viên các trường Cao đẳng và Đại học chuyên ngành An toàn thông tin
  • Nhà phát triển ứng dụng web muốn bảo vệ sản phẩm của mình trước các lỗ hổng bảo mật.
  • Chuyên viên bảo mật hoặc pentester mong muốn nâng cao kiến thức về kiểm thử và bảo mật ứng dụng web.
  • Quản trị viên hệ thống cần hiểu cách bảo vệ các ứng dụng web khỏi các cuộc tấn công.
Chứng nhận

Sau khi hoàn thành khóa học, học viên được cấp chứng nhận theo quy định của ITSTARVN.

Nội dung khóa học
Phần 1: Giới thiệu về OWASP và OWASP Top 10
  • Giới thiệu OWASP: Vai trò của OWASP trong việc cung cấp các tài liệu bảo mật miễn phí cho cộng đồng.
  • Tổng quan về OWASP Top 10: Giải thích từng lỗ hổng bảo mật trong danh sách OWASP Top 10 và các hậu quả tiềm ẩn khi bị khai thác.
Phần 2: Chi tiết các lỗ hổng bảo mật trong OWASP Top 10
1. Injection (A01):
  • Mô tả: Các lỗ hổng Injection, đặc biệt là SQL Injection, nơi kẻ tấn công có thể thực thi mã không mong muốn bằng cách can thiệp vào các truy vấn cơ sở dữ liệu.
  • Biện pháp phòng tránh: Sử dụng các cơ chế parameterized queries và ORMs để phòng tránh.
  • Lab thực hành: Phát hiện và khai thác SQL Injection, cách bảo vệ hệ thống bằng cách sử dụng cơ chế input validation.
2. Broken Authentication (A02):
  • Mô tả: Lỗ hổng do hệ thống xác thực không đủ mạnh, cho phép kẻ tấn công chiếm quyền truy cập tài khoản người dùng.
  • Biện pháp phòng tránh: Sử dụng multi-factor authentication (MFA) và hashing mạnh mẽ cho mật khẩu.
  • Lab thực hành: Kiểm thử và khắc phục lỗ hổng xác thực yếu.
3. Sensitive Data Exposure (A03):
  • Mô tả: Các dữ liệu nhạy cảm không được mã hóa hoặc bảo vệ đúng cách, dễ bị lộ khi bị tấn công.
  • Biện pháp phòng tránh: Sử dụng mã hóa dữ liệu (encryption) cả khi lưu trữ và truyền tải.
  • Lab thực hành: Phát hiện các lỗ hổng trong mã hóa dữ liệu và biện pháp mã hóa hiệu quả.
4. XML External Entities (XXE) (A04):
  • Mô tả: Lỗ hổng liên quan đến việc xử lý không an toàn các tài liệu XML, cho phép kẻ tấn công truy cập vào các tài nguyên nhạy cảm.
  • Biện pháp phòng tránh: Vô hiệu hóa các thực thể XML không cần thiết hoặc sử dụng libraries an toàn.
  • Lab thực hành: Phát hiện và phòng chống tấn công XXE.
5. Broken Access Control (A05):
  • Mô tả: Hệ thống kiểm soát truy cập không được cấu hình đúng, cho phép người dùng không được phép truy cập vào tài nguyên hoặc chức năng trái phép.
  • Biện pháp phòng tránh: Áp dụng các kiểm soát truy cập mạnh mẽ và xác thực mọi yêu cầu truy cập.
  • Lab thực hành: Kiểm thử và khắc phục lỗ hổng kiểm soát truy cập.
6. Security Misconfiguration (A06):
  • Mô tả: Cấu hình bảo mật không đúng cách, chẳng hạn như để lại các chức năng mặc định không cần thiết hoặc thông tin lỗi bị lộ.
  • Biện pháp phòng tránh: Đảm bảo các cấu hình an toàn và tối ưu cho các ứng dụng web.
  • Lab thực hành: Khám phá các cấu hình sai và cách khắc phục chúng.
7. Cross-Site Scripting (XSS) (A07):
  • Mô tả: Kẻ tấn công chèn mã độc vào trang web, khiến trình duyệt của người dùng chạy mã độc.
  • Biện pháp phòng tránh: Sử dụng input validation và các biện pháp escaping output để ngăn chặn XSS.
  • Lab thực hành: Tấn công và phòng chống XSS.
8. Insecure Deserialization (A08):
  • Mô tả: Lỗ hổng xảy ra khi dữ liệu được deserialize mà không có kiểm tra tính hợp lệ, cho phép kẻ tấn công chèn mã độc.
  • Biện pháp phòng tránh: Sử dụng các libraries an toàn và thực hiện kiểm tra trước khi deserialize dữ liệu.
  • Lab thực hành: Khai thác và phòng ngừa lỗ hổng Insecure Deserialization.
9. Using Components with Known Vulnerabilities (A09):
  • Mô tả: Sử dụng các thành phần hoặc thư viện (libraries, frameworks) có lỗ hổng đã được công bố nhưng không được cập nhật.
  • Biện pháp phòng tránh: Kiểm tra và cập nhật thường xuyên các thành phần bên thứ ba.
  • Lab thực hành: Phát hiện và sửa các thành phần dễ bị tổn thương.
10. Insufficient Logging & Monitoring (A10):
  • Mô tả: Thiếu các cơ chế logging và monitoring, khiến hệ thống khó phát hiện các cuộc tấn công kịp thời.
  • Biện pháp phòng tránh: Thiết lập các công cụ logging và giám sát an ninh mạnh mẽ để phát hiện sự cố.
  • Lab thực hành: Cấu hình hệ thống logging và phát hiện các dấu hiệu xâm nhập.
Phần 3: Kiểm thử và triển khai bảo mật
  • Thực hành kiểm thử bảo mật ứng dụng web: Sử dụng các công cụ như Burp Suite, OWASP ZAP và các công cụ khác để kiểm thử bảo mật trên ứng dụng thực tế.
  • Triển khai các biện pháp bảo mật: Hướng dẫn cấu hình và triển khai các biện pháp bảo mật đã học vào môi trường ứng dụng web thực tế.
Phần 4: Bài kiểm tra và đánh giá cuối khóa
  • Học viên sẽ tham gia vào một bài kiểm tra cuối khóa, bao gồm các câu hỏi lý thuyết và bài tập thực hành dựa trên các kịch bản thực tế. Điều này giúp đánh giá kiến thức và kỹ năng học viên sau khi hoàn thành khóa học.

 

/* Nội dung chương trình và thời lượng có thể điều chỉnh theo yêu cầu đào tạo của Doanh nghiệp */
------------------------------------

Điện thoại liên hệ khóa học tại itstar.edu.vn 090.997.6377 (Ms.Lệ Thi)

Email liên hệ khóa học tại itstar.edu.vn admin@itstar.vn

 

ĐĂNG KÝ HỌC
KHÓA HỌC