หลักการและเหตุผล

ในปัจจุบันภัยคุกคามที่เกิดขึ้นจากผู้ไม่ประสงค์ดี (Hacker) ได้ทวีความรุนแรงขึ้นทุกวันโดยมุ่งเน้นการโจมตีหน่วยงานภาครัฐ เอกชน และมหาวิทยาลัย และร่วมไปถึงเว็บไซต์ขายของ (E-Commerce) จากทั้งภายใน และภายนอกประเทศ เพื่อทำลายชื่อเสียงและเรียกร้องสิทธิต่าง ๆ ตามที่ต้องการ ซึ่งสาเหตุที่เว็บไซต์ตกเป็นเป้าหมายหลักที่โดนบุกรุกเนื่องจากผู้ไม่ประสงค์ดีสามารถเข้าถึงจากที่ใดก็ได้บนโลกผ่านระบบเครือข่ายอินเทอร์เน็ตทำให้ง่ายต่อการบุกรุก ดังนั้นเพื่อให้นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน (Web Application Programmer) ต่าง ๆ เช่น PHP, JAVA, C# เป็นต้น หรือผู้ดูแลระบบ (System Administrator) หรือ นักทดสอบเจาะระบบ (Penetration Tester) หรือสายงานด้านความมั่นคงปลอดภัยสารสนเทศทั้งหมดให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่าง ๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บ
แอพพลิเคชันแบบผู้ไม่ประสงค์ดี จนทำให้ผู้เข้าร่วมอบรมมีความตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนำแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สำเร็จ

ผู้ที่เหมาะสมในการอบรมหลักสูตรนี้

นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน, ผู้ดูแลระบบ, นักทดสอบเจาะระบบ,ที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศ และผู้สนใจอื่น ๆ ด้านความมั่นคงปลอดภัยสารสนเทศระยะเวลาการอบรม จำนวน 2 วัน

จำนวนผู้อบรม 20 ท่าน

วันที่ 1

เวลา	เนื้อหา
9.00-10.30	Introduction to Web Application ● ภัยคุกคาม ช่องโหว่ ที่เกิดขึ้นในปัจจุบัน ● เรียนรู้คำศัพท์ที่เกี่ยวข้อง ● ประวัติการพัฒนาเว็บแอพพลิเคชัน ● โครงสร้างระบบเว็บแอพพลิเคชัน ● เว็บไซต์และเว็บแอพพลิเคชัน ● เว็บเซิร์ฟเวอร์ ● ทำความรู้จัก HTTP Protocol
10.30-10.45	อาหารว่าง
10.45-12.00	Introduction to Web Application Security ● Defense in depth Using a Web Proxy ● Example: Burp Proxy Using a Hacking Tools ● Example: Kali Linux
12.00-13.00	รับประทานอาหารกลางวัน
13.00-14.30	Web Application Penetration Testing Methodology ● ทำความรู้จัก Open Web Application Security Project (OWASP) ● OWASP Testing Guide ● เรียนรู้ 10 อันดับช่องโหว่ที่เกิดขึ้นในปัจจุบันบนเว็บแอพพลิเคชัน ● A1-Injection ● Explanations ● SQL Injection Demo ● Command Injection Demo ● Defense ● LAB ● A2-Broken Authentication and Session Management ● Explanations ● Hijack a Session ● Brute Force Demo ● Defense ● LAB
14.30-14.45	อาหารว่าง
14.45-17.00	● A3-Cross-site Scripting ● Explanations ● Reflected XSS HTML context Demo ● Stored Demo ● Defense ● LAB ● A4-Insecure Direct Object Reference ● Explanations ● IDO URLs tokens Demo ● Defense ● LAB ● A5-Security Misconfiguration ● Explanations ● Directory Browsing ● User Agent Manipulation ● Defense ● LAB

วันที่ 2

เวลา	เนื้อหา
9.00-10.30	● A6 Sensitive Data Exposure ● Explanations ● Hidden Pages Demo ● Defenses ● LAB ● A7 Missing Function Level Access Control ● Explanations ● Role Demo ● Defenses ● LAB
10.30-10.45	อาหารว่าง
10.45-12.00	● A8 Cross-site Request Forgery ● Explanations ● CSRF JS Demo ● Defenses ● LAB ● A9 Using Components with Known Vulns ● Explanations ● Libraries & CVE Demo ● Defenses ● LAB
12.00-13.00	รับประทานอาหารกลางวัน
13.00-14.30	● A10 Unvalidated Redirects and Forwards ● Explanations ● Redirect to malicious URL ● Defenses ● LAB
14.30-14.45	อาหารว่าง
14.45-17.00	● สรุปผลกระทบที่เกิดขึ้นบน OWASP TOP 10 2013 ● รายละเอียดเพิ่มเติม OWASP TOP 10 2017 ● A4:2017-XML External Entities (XXE) ● A8:2017-Insecure Deserialization ● A10:2017-Insufficient Logging&Monitoring S

หมายเหตุ : เนื้อหาอาจมีการปรับเปลี่ยนแก้ไขตามความเหมาะสม

หลักสูตรความมั่นคงปลอดภัยด้านเว็บแอพพลิเคชัน (Web Application Security)

วันที่ 1

วันที่ 2

บริการ

สินค้า

ติดต่อเรา