The Hacker Course – OWASP Top 10 Web Hacking

OWASP Top 10 Web Hacking là Khóa học được tổ chức online để các học viên có thể theo học từ bất kì địa điểm nào cho dù ở Việt Nam hay đang sinh sống tại các quốc gia khác. Chương trình sẽ bao gồm các bài học trực tiếp qua mạng với đội ngũ huấn luyện viên, giảng viên là các Hacker dày dạn kinh nghiệm. Thời gian học trực tuyến Live sẽ diễn ra vào các tối thứ 5 trong 1 tháng đầu tiên. Phần còn lại là các bài học được quay video bài giảng và hường dẫn chi tiết cung cấp qua hệ thông LMS theo learning path như trong nội dung của khóa học (xem phần nội dung)

Ngoài ra. học viên sẽ được học và rèn luyện thêm trên các mô hình Capture The Flag với các bài Lab mô phỏng những trang web với các lỗ hổng thông dụng trong Top 10, rèn luyện liên tục cho đến khi nhuần nhuyễn qua sự hướng dẫn của các chuyên gia về an ninh mạng, qua đó nắm được các điểm yếu kinh điển và những gợi ý gia cố phòng ngừa.

Qua mỗi module của khóa học The Hacker Course – OWASP Top 10 Web Hacking các học viên sẽ phải thực hành đầy đủ trên Lab Thao Trường Mạng.

Khóa học khai giảng vào ngày 1 và 15 hàng tháng.

Học Phí & Đăng Kí Học :  3.000.000 VND / (tài khoản giá trị 1 năm)

 

Đối tượng học viên tham gia khóa học là các quản trị mạng, quản trị trang web, chuyên viên / chuyên gia bảo mật hệ thống, an toàn thông tin hay bất kì ai đam mê về an ninh mạng và đặc biệt là lĩnh vực Web hacking.
Để tham gia khóa học ngoài việc đăng kí và đóng học phí các học viên cần ký cam kết không áp dụng kiến thức học được vào những mục đích hay hành vi trái với luật pháp an toàn thông tin và các quy chuẩn về đạo đức nghề nghiệp.
Các bạn cần phải tự chịu trách nhiệm khi có những hành vi trái với các điều luật về an toàn thông tin của Việt Nam.
Việc nắm vững những kiến thức và kỹ năng sẽ giúp cho Việt Nam có một đội ngũ Web Master giỏi kỹ năng, xây dựng được một mạng lưới website vững chắc, không bị làm bàn đạp để lây nhiễm malware, ransomware …

10 Chủ đề của khóa học bao gồm

A1-Injection
A2-Broken Authentication and Session Management
A3-Cross-Site Scripting (XSS)
A4-Insecure Direct Object References
A5-Security Misconfiguration
A6-Sensitive Data Exposure
A7-Missing Function Level Access Control
A8-Cross-Site Request Forgery (CSRF)
A9-Using Components with Known Vulnerabilities
A10-Unvalidated Redirects and Forwards

Các website thực tế sẽ bao gồm nhiều lĩnh vực, và việc tấn công thử nghiệm sẽ tuân thủ các quy tắc và chuẩn mực đạo đức nghề nghiệp, với mục tiêu giúp các chủ trang web gia cố và bảo đảm an toàn cho website.
Hệ thống lab thực tập thêm sẽ gồm các lab web hacking nỗi tiếng như NoWasp Multilidea, DVWA, Hackademic và đặc biệt là bài tập Mr Robot 1

Giới Thiệu OWASP Top 10 Web Hacking
OWASP (Open Web Application Security Project) là 1 dự án mở về bảo mật ứng dụng web, dự án là sự cố gắng chung của cộng đồng với mục đích giúp các doanh nghiệp có thể phát triển, mua và bảo trì các ứng dụng web một cách an toàn. OWASP cung cấp cho công đồng nhiều nguồn “tài nguyên” khác nhau:
OWASP Top 10 là danh sách được OWASP tổng hợp và công bố theo từng năm, nhằm đưa ra các cảnh báo rủi ro an ninh của ứng dụng web một cách ngắn gọn và xúc tích, giúp các doanh nghiệp, cá nhân xây dựng, phát triển, hay đánh giá các ứng dụng web có thể tự đưa ra được các giải pháp phù hợp, nâng cao bảo mật thông tin. Danh sách này luôn được thay đổi và cập nhật liên tục, do sự thay đổi về các tác động ảnh hưởng của các lỗ hổng.

Theo OWASP 10 rủi ro an ninh cao nhất là:

Injection: Sai sót trong nhập liệu, chẳng hạn như SQL injection, OS injection hay LDAP injection… Điều này xảy ra khi các thông tin sai lệch được đưa vào cùng với các biến dữ liệu đầu vào như 1 phần của lệnh hay câu truy vấn. Kẻ tấn công có thể lợi dụng sơ hở này để thực hiện các lệnh không mong muốn hay truy cập các dữ liệu bất hợp pháp.
Broken Authentication and Session Management: Xác thực hay quản lý phiên thiếu chính xác. Sơ hở này cho phép kẻ tấn công có thể lợi dụng để đạt được mật khẩu, khóa hay phiên làm việc, từ đó mạo danh phiên làm việc và danh tính của người dùng thông thường.
Cross-Site Scripting (XSS): Sai sót trong kiểm duyệt nội dung đầu vào cũng dẫn đến rủi ro này. Các dữ liệu bất hợp pháp được gửi đến trình duyệt web mà ko cần sự xác nhận thông thường. Nó cho phép kẻ tấn công thực thi các kịch bản trên trình duyệt web của nạn nhân làm thay đổi nội dung trang web, chuyển hướng nạn nhân hay đánh cắp phiên làm việc được lưu trên trình duyệt.
  Insecure Direct Object References: Điều này xảy ra thì nhà phát triển cho thấy có các tham chiếu trực tiếp đến một đối tượng nội bộ hay của người dùng khác, ví dụ như một tập tin, thư mục, hay cơ sở dữ liệu quan trọng, mà ko có sự kiểm tra hay bảo vệ an toàn cần thiết. Điều này cho phép kẻ tấn công có thể truy cập các tài liệu này một cách trái phép.
Security Misconfiguration: Một hệ thống bảo mât tốt là hệ thống triển khai cho khung ứng dụng, máy chủ ứng dụng, máy chủ cơ sở dữ liệu, nền tảng… các phương phảp bảo mật cần thiết, thống nhất và liên kết với nhau. Điều này nhằm tránh những nguy cơ bị khai thác vào ứng dụng, ví dụ để lộ ra những thông tin quan trọng khi trao đổi các gói tin.
Sensitive Data Exposure: Các dữ liệu nhạy cảm không được lưu trữ và bảo vệ cẩn thận, dẫn đến khi bị kẻ tấn công khai thác gây ra những ảnh hưởng to lớn cho hệ thống máy chủ, doanh nghiệp, khách hàng. Ví dụ như việc lưu trữ thẻ tín dụng mà ko thông qua các khâu mã hóa, hay các gói tin TLS bị bẻ khóa và nghe lén thông qua lỗ hổng CRIME.
Missing Function Level Access Control: Thiếu các điều khoản trong việc phân quyền quản trị các mức, dẫn đến việc kẻ tấn công có thể lợi dụng và truy ra các điểm yếu trên hệ thống, hay lợi dụng để leo thang đặc quyền.
   Cross-Site Request Forgery (CSRF): Lợi dụng sơ hở của nạn nhân, kẻ tấn công có thể lừa nạn nhân thực hiện các hành động nguy hiểm mà nạn nhân không hề hay biết, ví dụ như chuyển tiền từ tài khoản nạn nhân sáng tài khoản kẻ tấn công, thông qua các lỗ hổng XSS.
   Using Known Vulnerable Components: Sử dụng các thư viện, plugin, module… có chứa các lỗ hổng đã được công khai, dễ dàng dẫn đến việc bị kẻ tấn công lợi dụng để tấn công vào hệ thống một cách nhanh chóng.
  Unvalidated Redirects and Forwards: Chuyển hướng không an toàn người dùng đến một đường dẫn bên ngoài có thể bị kẻ tấn công lợi dụng để chuyển hướng nạn nhân đến một trang đích được chuẩn bị sẵn của kẻ tấn công.

Liên hệ đăng kí khóa học The Hacker Course – OWASP Top 10 Web Hacking (Real)

Nội Dung Khóa Học (Chưa kể phần mở rộng với các CTF hay về Web Hacking)