Zranitelnosti XML

Popis kurzu

Datový formát XML se v mnoha aplikacích používá pro ukládání dat, nebo pro jejich přenos. Zranitelností spojených s použitím XML formátu ale existuje hned několik a je proto dobré o nich vědět. O tom, že není radno je podceňovat se už přesvědčili dokonce i takové společnosti jako Facebook nebo Google.

Komu je kurz určen

Kurz o zranitelnostech formátu XML je určen všem vývojářům webových aplikací, který tento moderní způsob ukládání a přenosu dat využívají ve svých aplikacích. Z pohledu penetračního testera zase seminář účastníky naučí způsobům nalezení slaých míst v testované aplikaci a možnostem jejich využití během útoku.

Požadavky na studenty

Pro účast na tomto kurzu je očekávána alespoň základní znalost HTTP komunikace. Účastníci by měli vědět, jak s daty zachází webový browser a jak jsou předávané hodnoty zpracovávány na webovém serveru. Účastníci by rovněž měli být schopni zachytávat a upravovat data na lokálním proxy.

Pro úplně pochopení probíraných témat je vhodné mít také povědomí o zranitelnostech typu XSS, SSRF, LFD a Command Injection.

Před přihlášením na tento kurz doporučujeme osvěžení znalostí na seminářích:

Co se naučíte

Na mnoha praktických příkladech si vyzkoušíte zneužití zranitelností XML formátu k vyvolání::

  • Cross-Site Scripting
  • Server-Side Request Forgery
  • Local File Disclosure
  • Command Execution
  • Data Injection

Zjistíte, že XML nejsou jen data, ale že tento formát obsahuje také nějakou tu oblast definic, která může být v případě zneužití velice nebezpečná. Prostřednictvím XML spustíke kód JavaScriptu v prohlížeči své oběti, získáte obsah lokálně uložených souborů nebo na serveru spustíte příkazy operačního systému. Co víc si může útočník přát? Nedopřejte mu to potěšení.

 Délka kurzu

 2 hodiny

 Lektor

Roman Kümmel  Roman Kümmel

Vypsané termíny on-line seminářů

 
                 
                   
 

user Přihlášení

Zavřít

Na základě dohody s počítačovou školou GOPAS je nadále možné absolvovat naše kurzy pouze jejím prostřednictvím.

Pro aktuální nabídku kurzů navštivte, prosím, webové stránky WWW.GOPAS.CZ