Insecure Direct Object References

Popis kurzu

Ve chvíli, kdy si vývojář webové aplikace neuvědomí, že lze k serverovým skriptům a dalším na serveru uloženým datům přistoupit i jinak, než jen prostřednictvím odkazů nebo inkluzí, může být následně překvapen velmi rychlou kompromitací celé aplikace.

Získejte přehled i o méně očekávaných cestách, které mohou vést k odkrytí důvěrných souborů, nebo k získání neoprávněného přístupu. Skutečně hloupé chyby, kterých se leckdo ve svých aplikacích dopustí, mívají často ty nejhorší následky...

Komu je kurz určen

Kurz je určen všem vývojářům webových aplikací a testerům, kteří si chtějí rozšířit vědomosti o vyhledávání informací a zranitelných aplikací s využítím vyhledávače Google. Zajímavá je jistě také část věnovaná špatně implementované autorizaci, která útočníkům umožňuje neautorizovaně prohlížet uchovávaná data, nebo spouštět na serveru akce dostupné jen vyvoleným.

Požadavky na studenty

Pro účast na tomto kurzu je očekávána alespoň základní znalost HTTP komunikace. Účastníci by měli vědět, jak s daty zachází webový browser a jak jsou předávané hodnoty zpracovávány na webovém serveru.

Před přihlášením na tento kurz doporučujeme osvěžení znalostí na seminářích:

Co se naučíte

Na tomto semináři se naučíte, proč je důležité udržovat na serveru pořádek, proč zbytečně nezveřejňovat více, než je nutné a jakých chyb se lze dopustit při nevhodně implementované autorizaci.

Během kurzu si na praktických ukázkách vyzkoušíte následují techniky věnované možnostem nalezení toho, jež mělo zůstat skryto:

  • Využití Google hackingu
  • Hledáme zranitelnosti pomocí Google dorks
  • Zrádný soubor Robots.txt
  • Co prozradí Directory listing
  • Zapomenuté záložní soubory
  • Hledání souborů hrubou silou
  • Rizika sdílených serverů
  • Chybně implementovaná autorizace

 Délka kurzu

 1,5 hodiny

 Lektor

Roman Kümmel  Roman Kümmel

Vypsané termíny on-line seminářů

 
                 
                   
 

user Přihlášení

Zavřít

Na základě dohody s počítačovou školou GOPAS je nadále možné absolvovat naše kurzy pouze jejím prostřednictvím.

Pro aktuální nabídku kurzů navštivte, prosím, webové stránky WWW.GOPAS.CZ