Khoá học Web Penetration Testing cho người mới

Khoá học Web Penetration Testing dành cho người mới là nhằm giúp người học hiểu và nắm vững các kỹ năng cơ bản để thực hiện tìm kiếm và khai thác các lỗ hổng ứng dụng Web.

Khoá học này dành cho những người mới bắt đầu hoặc không có kinh nghiệm trong lĩnh vực này. Vì vậy nó được thiết kế với một cách tiếp cận dễ hiểu và đơn giản. Người học sẽ được giải thích về các công cụ và kỹ thuật để phát hiện lỗ hổng trong các ứng dụng web và các phương pháp khai thác lỗ hổng đó.

Điều quan trọng nhất của khoá học này là người học sẽ được thực hành nhiều thông qua hơn 100 bài lab mô phỏng. Nó giúp người học trải nghiệm và làm quen với các tình huống thực tế và đưa ra các phương pháp giải quyết để bảo vệ các ứng dụng web khỏi các cuộc tấn công tương tự.

Với khoá học Web Penetration Testing sẽ giúp người học phát triển kỹ năng và kiến thức cần thiết để trở thành một chuyên gia bảo mật web chuyên nghiệp trong tương lai.

Những ai nên đăng ký khoá học này?

• Sinh viên từ năm 2 muốn đi thực tập vị trí Web Penetration Testing (Kiểm thử bảo mật ứng dụng Web) trong các công ty bảo mật.
• Sinh viên đang học chuyên ngành An toàn thông tin hoặc Công nghệ thông tin và muốn nắm vững kiến thức cơ bản về những lỗ hổng trong ứng dụng Web
• Những lập trình viên Backend, API tò mò về cách tấn công của Hacker và mong muốn sản phẩm của mình không bị Hack
• Những bạn trẻ có mong muốn trở thành Hacker mũ trắng
• Những bạn trẻ muốn kiếm thêm thu nhập từ việc tìm kiếm lỗ hổng (Bug Bounty)
• Những bạn đang làm Lập Trình, DevOps, System Admin muốn chuyển sang ngành Cyber Security
• Những ai kinh doanh muốn biết đối thủ của mình khai thác thông tin của mình như thế nào
• Những bạn trẻ có mong muốn làm Red Team

Yêu cầu đầu vào của học viên

• Yêu cầu kiến thức lập trình căn bản (đọc hiểu cơ bản) 1 trong 3 các ngôn ngữ lập trình sau PHP, Python, NodeJS
• Có kiến thức cơ bản về Database (Hiểu cú pháp, viết truy vấn, tạo bảng)
• Chuẩn bị Laptop cấu hình có thể chạy được máy ảo Ubuntu hoặc Docker
• Có hiểu biết cơ bản về hệ điều hành Linux và Windows

Chương trình học Web Penetration Testing

• Hiểu biết cơ sở
  • Hiểu về ứng dụng Web
    • HTTP Protocol
    • Cookie & Session
    • Web Application Architecture
• Nguyên lý làm việc của trình duyệt (Browser)
  • Content Security Policy (CSP)
  • Same-origin policy (SOP)
• Web Application Threats
  • Vulnerability Stack
  • Web Application Threats
    • Hiểu về OWASP và áp dụng OWASP việc kiểm thử xâm nhập ứng dụng Web
    • Hiểu và xác định mức độ nguy hiểm của lỗ hổng theo tiêu chuẩn CVSS
  • Thiết lập môi trường cho việc kiểm thử xâm nhập ứng dụng Web
• Reconnaissance
  • Tổng hợp và phân tích các công nghệ Web mà mục tiêu sử dụng
  • Tổng hợp và phân tích hạ tầng công nghệ thông tin của mục tiêu
    • Whois, Domain, Subdomain
    • IP, OS
    • Port & Services
  • Tổng hợp và phân tích các mối nguy từ bên ngoài của mục tiêu thông qua Search Engine
  • Thu thập các thông tin có ích phục vụ tấn công
    • Crawler
    • Web Archived
• Hiểu và khai thác lỗ hổng Server-Side
  • Hiểu và khai thác lỗ hổng Authentication
    • Username & Password Enumeration
    • Tấn công Password Spraying Attack
  • Hiểu và khai thác lỗ hổng Access Control
    • Insecure direct object references (IDOR)
  • Hiểu và khai thác lỗ hổng SQL Injection (SQLi)
    • SQL Injection In-band (Union Based, Error based)
    • SQL Injection Blind (Boolean Based, Time Based)
  • Hiểu và khai thác lỗ hổng Server-Side Request Forgery (SSRF)
  • Hiểu và khai thác lỗ hổng Command Injection
  • Hiểu và khai thác lỗ hổng Path Traversal
    • Remote File Inclusion
    • Local File Inclusion
  • Hiểu và khai thác lỗ hổng Insecure Design
    • File Upload Vulnerabilities
  • Hiểu và khai thác lỗ hổng Security Misconfiguration & Information Disclosure
  • Hiểu và khai thác lỗ hổng XML External Entity (XXE) Injection
• Hiểu và khai thác lỗ hổng Client-Side
  • Hiểu và khai thác lỗ hổng Cross Site Scripting (XSS)
    • Stored
    • Reflected
    • DOM-based
  • Hiểu và khai thác lỗ hổng Cross-Site Request Forgery (CSRF)
• Hiểu và biết cách sử dụng công cụ kiểm thử xâm nhập
  • Sử dụng cơ bản công cụ Burp Suite cho việc việc kiểm thử lỗ hổng ứng dụng Web

Những kỹ năng bảo mật phục vụ cho công việc Web Penetration Testing?

• Kỹ năng khai thác lỗ hổng ứng dụng Web
• Kỹ năng xác định mức độ nguy hiểm của lỗ hổng
• Kỹ năng sử dụng công cụ tìm kiếm và khai thác lỗ hổng Burp Suite
• Kỹ năng giải thích các tác động tiềm tàng của lỗ hổng ứng dụng Web và đưa ra khuyến cáo khắc phục lỗ hổng
• Kỹ năng thăm dò và tổng hợp thông tin

Những công việc phù hợp sau khi hoàn thành khoá học kiểm thử bảo mật ứng dụng Web?

• Intern Penetration Tester cho các doanh nghiệp
• Lập trình an toàn cho ứng dụng Web
• Tham gia chương trình Bug Bounty

Chứng chỉ bảo mật phù hợp cho công việc kiểm thử bảo mật ứng dụng Web

• Burp Suite Certified Practitioner (BSCP)
• Chứng chỉ EC Council Certified Ethical Hacker (CEH)
• Chứng chỉ CompTIA PenTest+
• Chứng chỉ eLearnSecurity Web Application Penetration Tester (eWPT)

Ngành nghề liên quan tới công việc Web Penetration Testing

• Vulnerability Assessment Analyst
• Penetration testers
• Exploitation Analyst
• Secure Software Assessor
• Software Developer
• System Testing and Evaluation Specialist
• Information Systems Security Developer
• Security Control Assessor
• Security Auditors
• Red Team Operators
• Web Application Developers

Lịch trình học

Thời gian học

• 24 giờ học
• 2 tiếng / buổi học
• Kéo dài trong 12 buổi

Cấu trúc một buổi học

• Mỗi buổi học kéo dài 2 tiếng (Lý thuyết, Tea Break & AMA (Ask Me AnyThing), Thực Hành)
• Mỗi chủ đề sẽ có từ 3-5 bài thực hành theo các cấp độ

Thời gian học lúc nào?

• Tối Thứ Hai, Thứ Tứ trong tuần từ 18:30 – 21:00 (Lớp Offline)
• Tối Thứ Ba, Thứ Năm trong tuần từ 18:30 – 21:00 (Lớp Online Zoom)
• Tối Thứ Hai hàng tuần từ 19:00 tới 21:00

Hình thức học là gì?

• Học Offline tại Hà Nội
• Học Online tại Zoom

Số lượng học viên trong một lớp?

• Tối đa 10 học viên / lớp Offline
• Tối đa 30 học viên /lớp Online

Giảng viên

• Hà Trung Hiếu
  • Founder Cookie Hân Hoan
  • Information Security Manager TopCV
  • Co-founder, Penetration Testing Team Lead CyRadar
• Chứng chỉ bảo mật
  • CompTIA PenTest+
  • Certified Penetration Testing Professional | CPENT
  • Licensed Penetration Tester (Master) | LPT
  • Offensive Security Certified Professional | OSCP
  • Offensive Security Wireless Professional | OSWP
• Chuyên môn
  • Security Research in Vulnerability Web / API/ Mobile Application
  • Pentest Web Application / API / Mobile
• Hobby
  • Reproduce CVE
  • Bug Hunter
  • CTF
  • IOT, SCADA Hacking
  • Content Creator in Cyber Security Industry

Học viên

Nhận được gì sau khi tốt nghiệp?

• Tư vấn định hướng học tập nâng cao để theo đuổi chuyên môn
• Giới thiệu công việc ở các vị trí Fresher hoặc Intern
• Thực hành lab miễn phí trên nền tảng Battle Cookie Arena
• Quyền lợi đăng ký trao đổi, hỏi đáp 1-1
• Quyền lợi được chữa CV, phỏng vấn thử, tư vấn nghề nghiệp

Điều kiện tốt nghiệp

• Hoàn thành tất cả các bài thực hành trong khoá học
• Hoàn thành Final Exam

Hoạt động Hacktivity miễn phí sau khoá học.

Cookie Hacktivity là một chuỗi hoạt động bảo mật dành định kỳ dành riêng cho nhân sự của Cookie Arena, Cộng tác viên Cookie Hân Hoan và các cựu học viên của Cookie Arena. Học viên sau khi hoàn thành Hacktivity sẽ đạt giấy chứng nhận hoàn thành, ghi nhận các kĩ năng học được trong buổi đào tạo và huy hiệu Hacktivity.

• Hacktivity 01: WIFI Hacking & Vietnamese Password Insight (Đã hoàn thành)
• Hacktivity 02: Introduction Static Application Security Testing. Semgrep & Sonarqube in practice (đang diễn ra)
• Hacktivity 03: Kiểm thử ứng dụng Mobile cho người mới bắt đầu
• Hacktivity 04: Kiểm thử thiết bị IoT cho người mới bắt đầu
• Hacktivity 05: Thu và xử lý tín hiệu vệ tinh thời tiết NOAA

Học phí

Ghi danh

• Học phí 7,000,000 VNĐ

Những bạn sinh viên không đủ kinh phí tham dự khoá học, các bạn có thể xem trọn bộ video bài giảng về những lỗ hổng tại kênh Youtube Cookie Hân Hoan, https://www.youtube.com/playlist?list=PLu9yx0lLtsRhWd2ZQsaM881HXbxZ0dgkS

Chỉ có cố gắng tìm hiểu, luyện tập mới giúp chúng ta hiểu rõ bản chất vấn đề của những lỗ hổng. Nếu gặp khó khăn gì thì cứ nhắn lên Page Cookie Hân Hoan cho chúng mình nhé!

Địa điểm & Cơ sở vật chất

Địa điểm

• Khoá học sẽ được tổ chức tại HackerSpace – 28A ngách 53, Ngõ 68, Triều Khúc, Tân Triều, Hà Nội
• Gần các trường Đại Học Hà Nội, Học Viện Bưu Chính Viễn Thông, Học Viện Kỹ Thuật Mật Mã, Đại Học Thuỷ Lợi, Đại Học Kiến Trúc, Trường Đại học Khoa học Tự nhiên

Cơ sở vật chất

• Phòng học được trang bị đầy đủ bàn ghế, điều hoà, âm thanh và ánh sáng tốt
• Có trang bị TV 4K và máy chơi game để thư giãn sau giờ học
• Tốc độ mạng ổn định