หลักการและเหตุผล
ในปัจจุบันภัยคุกคามที่เกิดขึ้นจากผู้ไม่ประสงค์ดี (Hacker) ได้ทวีความรุนแรงขึ้นทุกวันโดยมุ่งเน้นการโจมตีหน่วยงานภาครัฐ เอกชน และมหาวิทยาลัย และร่วมไปถึงเว็บไซต์ขายของ (E-Commerce) จากทั้งภายใน และภายนอกประเทศ เพื่อทำลายชื่อเสียงและเรียกร้องสิทธิต่าง ๆ ตามที่ต้องการ ซึ่งสาเหตุที่เว็บไซต์ตกเป็นเป้าหมายหลักที่โดนบุกรุกเนื่องจากผู้ไม่ประสงค์ดีสามารถเข้าถึงจากที่ใดก็ได้บนโลกผ่านระบบเครือข่ายอินเทอร์เน็ตทำให้ง่ายต่อการบุกรุก ดังนั้นเพื่อให้นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน (Web Application Programmer) ต่าง ๆ เช่น PHP, JAVA, C# เป็นต้น หรือผู้ดูแลระบบ (System Administrator) หรือ นักทดสอบเจาะระบบ (Penetration Tester) หรือสายงานด้านความมั่นคงปลอดภัยสารสนเทศทั้งหมดให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่าง ๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บ แอพพลิเคชันแบบผู้ไม่ประสงค์ดี จนทำให้ผู้เข้าร่วมอบรมมีความตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนำแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สำเร็จ
ผู้ที่เหมาะสมในการอบรมหลักสูตรนี้
นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน, ผู้ดูแลระบบ, นักทดสอบเจาะระบบ,ที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศ และผู้สนใจอื่น ๆ ด้านความมั่นคงปลอดภัยสารสนเทศ ระยะเวลาการอบรม จำนวน 2 วัน
จำนวนผู้อบรม 20 ท่าน
สถานที่จัดอบรม
สำนักส่งเสริมและฝึกอบรม มหาวิทยาลัยเกษตรศาสตร์ บางเขน เลขที่ 50 อาคารวิทยบริการ ถนนงามวงศ์วาน แขวงลาดยาวเขตจตุจักร กรุงเทพฯ 10900
ราคา : 13,900 บาท (รวมภาษีมูลค่าเพิ่มแล้ว)
ชำระเงินล่วงหน้า 2 สัปดาห์ ได้ส่วนลด 1000 บาท นักศึกษา แสดงรูปบัตรนักศึกษา ได้รับส่วนลดเพิ่มอีก 10%
วันที่ 1
| เวลา | เนื้อหา |
|---|---|
| 9.00-10.30 | Introduction to Web Application ● ภัยคุกคาม ช่องโหว่ ที่เกิดขึ้นในปัจจุบัน ● เรียนรู้คำศัพท์ที่เกี่ยวข้อง ● ประวัติการพัฒนาเว็บแอพพลิเคชัน ● โครงสร้างระบบเว็บแอพพลิเคชัน ● เว็บไซต์และเว็บแอพพลิเคชัน ● เว็บเซิร์ฟเวอร์ ● ทำความรู้จัก HTTP Protocol |
| 10.30-10.45 | อาหารว่าง |
| 10.45-12.00 | Introduction to Web Application Security ● Defense in depth Using a Web Proxy ● Example: Burp Proxy Using a Hacking Tools ● Example: Kali Linux |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-14.30 | Web Application Penetration Testing Methodology ● ทำความรู้จัก Open Web Application Security Project (OWASP) ● OWASP Testing Guide ● เรียนรู้ 10 อันดับช่องโหว่ที่เกิดขึ้นในปัจจุบันบนเว็บแอพพลิเคชัน ● A1-Injection ● Explanations ● SQL Injection Demo ● Command Injection Demo ● Defense ● LAB ● A2-Broken Authentication and Session Management |
| 14.30-14.45 | อาหารว่าง |
| 14.45-17.00 | ● A3-Cross-site Scripting ● Explanations ● Reflected XSS HTML context Demo ● Stored Demo ● Defense ● LAB ● A4-Insecure Direct Object Reference ● A5-Security Misconfiguration |
วันที่ 2
| เวลา | เนื้อหา |
|---|---|
| 9.00-10.30 | ● A6 Sensitive Data Exposure ● Explanations ● Hidden Pages Demo ● Defenses ● LAB ● A7 Missing Function Level Access Control |
| 10.30-10.45 | อาหารว่าง |
| 10.45-12.00 | ● A8 Cross-site Request Forgery ● Explanations ● CSRF JS Demo ● Defenses ● LAB ● A9 Using Components with Known Vulns |
| 12.00-13.00 | รับประทานอาหารกลางวัน |
| 13.00-14.30 | ● A10 Unvalidated Redirects and Forwards ● Explanations ● Redirect to malicious URL ● Defenses ● LAB |
| 14.30-14.45 | อาหารว่าง |
| 14.45-17.00 | ● สรุปผลกระทบที่เกิดขึ้นบน OWASP TOP 10 2013 ● รายละเอียดเพิ่มเติม OWASP TOP 10 2017 ● A4:2017-XML External Entities (XXE) ● A8:2017-Insecure Deserialization ● A10:2017-Insufficient Logging&Monitoring S |
