התקפה והגנה באינטרנט

בעל מקצוע ייחודי מבחינת כישורים וניסיון, מורה מוביל בתחום אבטחת רשתות מחשבים.

מורה מומחה לקורסי אורקל וג'אווה. מומחה מוסמך של אורקל, מועמד למדעים טכניים. הוא בולט בניסיונו המגוון בפעילויות מעשיות והוראה.
בשנת 2003, אלכסיי אנטולייביץ' סיים בהצטיינות את לימודיו ב- MIREA. בשנת 2006, הוא הגן על עבודת הדוקטורט שלו בנושא בניית מערכות מידע אוטומטיות מאובטחות.
מומחה גדול בתחום אבטחת מסדי הנתונים, בניית יישומי Java ו-web מאובטחים עבור Oracle DBMS ו-SQL Server, פיתוח מודולי תוכניות מאוחסנים ב-PL/SQL ו-T-SQL. אוטומציה את הפעילות של מפעלים גדולים בבעלות המדינה. מספק שירותי ייעוץ וייעוץ בפיתוח אפליקציות אינטרנט מבוזרות מורכבות המבוססות על פלטפורמת Java EE.
ניסיון ההוראה של אלכסיי אנטולייביץ' במערכת החינוך לתארים מתקדמים עולה על 7 שנים. עבד עם לקוחות ארגוניים, הכשרה עובדים של החברות "BANK PSB", "Internet University of Information Technologies (INTUIT)", "SINTERRA".
מחבר מספר מדריכים חינוכיים ומתודולוגיים על תכנות ועבודה עם מסדי נתונים. מ-2003 עד 2005, אלכסיי אנטולייביץ' עסק בעיבוד ותרגום טכני של ספרות זרה על תכנות אינטרנט ועבודה עם מסדי נתונים. פרסם למעלה מ-20 מאמרים מדעיים.
בוגרים אסירי תודה מציינים תמיד את אופן ההצגה הנגיש אפילו של הנושאים המורכבים ביותר, תשובות מפורטות לשאלות של תלמידים, ושפע הדוגמאות החיות מהפרקטיקה המקצועית של המורה.

מודול מספר 1. מושגי אתר (2 ac. ח.)

-עקרונות תפעול שרתי ווב ויישומי אינטרנט
-עקרונות אבטחת אתרים ואפליקציות אינטרנט
-מה זה OWASP
סקירת סיווג 10 המובילים של OWASP
-מבוא לכלים לביצוע התקפות
-הגדרת מעבדה

מודול 2. זריקות (4 ac. ח.)

-מהן זריקות ולמה הן אפשריות?
-הזרקת HTML
-מה זה iFrame
-הזרקת iFrame
-מה זה LDAP
-הזרקת LDAP
-מהן כותרות דואר
-הזרקות בכותרות דואר
-הזרקת פקודת מערכת הפעלה
-הזרקת קוד PHP
-מהם תכלילים בצד השרת (SSI)
-הזרקות SSI
-מושגים של שפת שאילתות מובנית (SQL).
-הזרקת SQL
-מהו AJAX/JSON/jQuery
-הזרקת SQL ב-AJAX/JSON/jQuery
-מה זה CAPTCHA
-הזרקת SQL עוקפת CAPTCHA
-הזרקת SQLite
-דוגמה להזרקת SQL בדרופל
-מהן זריקות SQL מאוחסנות
-הזרקות SQL מאוחסנות
-הזרקות SQLite מאוחסנות
-מושגי XML
-הזרקת SQL מאוחסנת ל-XML
-שימוש ב-User-Agent
-הזרקת SQL לשדה User-Agent
-הזרקות SQL עיוורות על בסיס לוגי
-הזרקות SQL עיוורות על בסיס זמני
-הזרקות SQLite עיוורות
-מהו פרוטוקול גישה לאובייקט (SOAP)
-הזרקת SQL עיוורת בסבון
-הזרקת XML/XPath

מודול 3. אימות פריצה והפעלה (2 ac. ח.)

-עקוף את ה-CAPTCHA
-התקפה על פונקציונליות שחזור הסיסמה
-התקפה על טפסי התחברות
-התקפה על בקרת פלט
-התקפות על סיסמאות
-שימוש בסיסמאות חלשות
-שימוש בסיסמה אוניברסלית
-התקפות על פורטלים אדמיניסטרטיביים
-התקפות על עוגיות
-התקפות על העברת מזהה הפגישה בכתובת האתר
-קיבוע מושב

מודול 4. דליפה של נתונים חשובים (2 ac. ח.)

-שימוש בקידוד Base64
-שידור פתוח של אישורים באמצעות HTTP
-התקפות על SSL BEAST/CRIME/BREACH
-התקפה על פגיעות Heartbleed
-פגיעות POODLE
-אחסון נתונים באחסון אינטרנט HTML5
-שימוש בגרסאות מיושנות של SSL
-אחסון נתונים בקבצי טקסט

מודול 5. אובייקטי XML חיצוניים (2 ac. ח.)

-התקפה על אובייקטי XML חיצוניים
-XXE מתקפה בעת איפוס סיסמה
-התקפה על פגיעות בצורת התחברות
-התקפה על פגיעות בצורת חיפוש
-התקפת מניעת שירות

מודול 6. הפרה של בקרת גישה (2 ac. ח.)

-דוגמה להתקפה על קישור ישיר לא מאובטח בעת שינוי סיסמא של משתמש
-דוגמה להתקפה על קישור ישיר לא מאובטח בעת איפוס סיסמה של משתמש
-דוגמה למתקפה על קישור ישיר לא מאובטח בעת הזמנת כרטיסים בחנות מקוונת
-מעבר ספריות במדריכים
-מעבר ספריות בקבצים
-התקפה על כותרת המארח המובילה להרעלת מטמון
-התקפה על כותרת המארח המובילה לאיפוס סיסמה
-כולל קובץ מקומי ב-SQLiteManager
- אפשר קובץ מקומי או מרוחק (RFI/LFI)
-התקפת הגבלת מכשיר
-התקפת הגבלת גישה לספריה
-מתקפה של SSRF
-התקפה על XXE

מודול 7. תצורה לא מאובטחת (2 ac. ח.)

-עקרונות של התקפות תצורה
-גישה אקראית לקבצים בסמבה
- קובץ מדיניות חוצה דומיינים של Flash
-משאבים משותפים ב-AJAX
-מעקב חוצה אתרים (XST)
- מניעת שירות (גודל נתח גדול)
- מניעת שירות (DoS HTTP איטי)
- מניעת שירות (מיצוי SSL)
- מניעת שירות (פצצת XML)
-תצורת DistCC לא מאובטחת
-תצורת FTP לא מאובטחת
-תצורת NTP לא מאובטחת
-תצורת SNMP לא מאובטחת
-תצורת VNC לא מאובטחת
-תצורת WebDAV לא מאובטחת
-הסלמה של הרשאות מקומיות
-איש במתקפה האמצעית ב-HTTP
-איש במתקפה האמצעית ב-SMTP
-אחסון לא מאובטח של קבצים בארכיון
-קובץ רובוטים

מודול 8. סקריפטים חוצה אתרים (XSS) (3 ac. ח.)

-משתקף XSS בבקשות GET
-משתקף XSS בבקשות POST
-משתקף XSS ל-JSON
-משתקף XSS ב-AJAX
משתקף XSS ב-XML
-משתקף XSS בכפתור החזרה
-משתקף XSS בפונקציית Eval
-משתקף XSS בתכונת HREF
-משתקף XSS בצורת התחברות
-דוגמה ל-XSS המשתקף ב-phpMyAdmin
-משתקף XSS במשתנה PHP_SELF
-משתקף XSS בכותרת המפנה
-משתקף XSS בכותרת User-Agent
-משתקף XSS בכותרות מותאמות אישית
- XSS מאוחסן בפוסטים בבלוג
- XSS מאוחסן בעת ​​שינוי נתוני משתמש
-מאוחסן XSS בקובצי Cookie
- XSS מאוחסן ב- SQLiteManager
-מאוחסן XSS בכותרות HTTP

מודול 9. דה-סידריאליזציה לא בטוחה (2 ac. ח.)

-הדגמה של הזרקת אובייקט PHP
-הזרקת דלת אחורית במהלך הסידריאליזציה
- דה-סריאליזציה לא בטוחה ב-JavaScript

מודול 10. שימוש ברכיבים עם פגיעויות ידועות (2 ac. ח.)

-התקפות הצפת חיץ מקומיות
-התקפות הצפת חיץ מרחוק
-הזרקת SQL בדרופל (דרופגדון)
-פגיעות לדימום לב
-ביצוע קוד מרחוק ב-PHP CGI
-התקפה על פונקציית PHP Eval
-פגיעות ב-phpMyAdmin BBCode Tag XSS
-פגיעות Shellshock
-חיבור קובץ מקומי ב- SQLiteManager
-הזרקת קוד PHP לתוך SQLiteManager
-XSS ב- SQLiteManager

מודול 11. חוסר רישום וניטור (1 ac. ח.)

-דוגמה לרישום לא מספיק
-דוגמה לפגיעות ברישום
-דוגמה לניטור לא מספיק