Segurança em Aplicações WEB
What you'll learn
- OWASP
- OWASP ZAP
- ModSecurity
- SSL
- Arquitetura e tecnologias de aplicações web
- Tipos de pentest e metodologia para teste de invasão
- Injeção de SQL com acesso à plataforma subjacente, especificidades dos SGBDs e injeção de SQL às cegas
- Injeção de comandos
- Transporte de credenciais por canais inseguros
- Enumeração de usuários
- Política de senhas fortes não implementadas pela aplicação
- Falhas na programação ou projeto do mecanismo de autenticação
- Mecanismos de recuperação de senhas vulneráveis
- Cross-Site Scripting (XSS) e CSRF
- Teste dos mecanismos de autorização
- Testes dos mecanismos criptográficos
- Testes de vulnerabilidades manuais e automáticos
Requirements
- Desejo de aprender mais
- Computador com acesso a internet para realização dos laboratórios
- Conhecimento prévio em Sistemas Operacionais
- Não é obrigatório, mas ajuda se possuir conhecimento básico em lógica de programação e linux
Description
Você quer aprender a desenvolver aplicações pensando na segurança desde a concepção do seu projeto? Quer conhecer as principais vulnerabilidades atuais da web, e aprender a corrigir cada uma delas? Já desenvolve em alguma linguagem, e pretende aprimorar suas skills em segurança?
Então, leia com atenção:
Será um prazer ser seu professor neste curso!
Sou profissional de Redes e Segurança com mais de 8 anos de experiência. Atualmente sou responsável pela segurança da rede de uma empresa do ramo alimentício de faturamento diário superior a 10 milhões de reais. Meu objetivo é trazer para este curso todas as minhas experiências na administração de sistemas de segurança em redes de grande porte, protegendo as mais diversas aplicações Web.
Eu quero guiar você no aprendizado de ferramentas de segurança, na compreensão de protocolos de rede, e auxiliar na sua missão de propagador de segurança.
Para isso, no curso Segurança em Aplicações WEB trabalharemos em vários módulos, sendo eles:
1. Primeiros passos na Segurança WEB
Veremos aqui de forma detalhada a Arquitetura e Tecnologia das Aplicações WEB atuais, tipos de pentest e metodologia para teste de invasão, OWASP como ferramenta de pentest, OWASP ZAP como ferramenta de descoberta de vulnerabilidades, e estruturaremos o laboratório a ser usado no curso.
2. Injeção de código malicioso
Veremos as principais formas de injeção de código malicioso, dentre elas:
- Injeção de SQL com acesso à plataforma subjacente, especificidades dos SGBDs e injeção de SQL às cegas;
- Injeção de comandos remotos;
- Cross-Site Scripting (XSS) e CSRF;
3. Criptografia e Transporte de Credenciais
• Transporte de credenciais por canais inseguros;
• Enumeração de usuários;
• Política de senhas fortes não implementadas pela aplicação;
• Falhas na programação ou projeto do mecanismo de autenticação;
• Mecanismos de recuperação de senhas vulneráveis;
• Condições de corrida no mecanismo de autenticação;
• Teste dos mecanismos de autorização;
• Testes dos mecanismos criptográficos;
4. Escalonamento de Privilégios
- Sniffers
- Cewl
- xHydra
- Hydra
5. Como se defender
- Proxy de aplicação
- SSL
- HTTPS
- Defendendo-se no código
Cada módulo do curso conta com diversos exercícios práticos e laboratórios, bem como videoaulas mostrando a maneira de resolução. Cada exercício é pensado buscando apresentar cenários reais com aplicações reais, e podem ser aplicados em ambientes de produção.
Você poderá participar do curso utilizando um computador com qualquer Sistema Operacional, pois trabalharemos com um laboratório completo em máquinas virtuais.
Além da grade curricular disponível abaixo, você pode conferir mais detalhes por meio de algumas aulas gratuitas disponíveis no curso.
Who this course is for:
- Profissionais de Segurança da Informação
- Desenvolvedores
- Curiosos sobre segurança da informação
- Administradores de Redes
- Estudantes de Tecnologia da Informação
Course content
- Preview06:38
- Preview11:26
- Preview05:53
- 14:04Configuração do Laboratório de Estudos
- 00:06Participe do grupo no Telegram!
- 00:17Slides completos
Instructor
![Samuel Gonçalves Pereira](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 64 64"%3E%3C/svg%3E){kind=avatar}
- 4.7 Instructor Rating
- 93 Reviews
- 707 Students
- 2 Courses
Meus cartões de visitas dizem coisas como Analista de Redes, Especialista Linux e Especialista IoT.
Mas me conheça e perceba que sou muito mais, sou músico, contista, blogueiro, entusiasmado com todo tipo de tecnologia. Sou de fato geek.
Possuo mais de 8 anos de experiência em T.I, várias especializações e certificações no currículo, palestrei em muitos eventos de tecnologia, principalmente possuo conexões...
Acredito que nós, pessoas, somos movidos por conexões (e não somente de internet). Conectar devices, soluções tecnológicas trata-se de conectar pessoas e entregar qualidade de vida.
Eu proporciono conexões, implemento soluções que melhoram a vida das pessoas, exponencio a capacidade intelectual aplicada em processos tecnológicos por meio de redes de alto desempenho.
Dentre minhas especialidades estão: Administrador de Sistemas Linux certificado LPIC-1, gerenciamento de servidores; gerencia de equipamentos de rede CISCO, Mikrotik, Ubiquiti, HP, Dell; implementação e gerencia de ambientes virtualizados com Citrix e vmWare; soluções de segurança livres como pfSense, Snort, etc.; testes de segurança da informação coorporativos (pentest); desenvolvimento de soluções IoT para uso doméstico e coorporativo; falar em público / apresentações / palestras em diversos eventos e desenvolvimento web.