Khoá học Web Penetration Testing cho người mới

Khoá học Web Penetration Testing dành cho người mới là nhằm giúp người học hiểu và nắm vững các kỹ năng cơ bản để thực hiện tìm kiếm và khai thác các lỗ hổng ứng dụng Web.

Khoá học này dành cho những người mới bắt đầu hoặc không có kinh nghiệm trong lĩnh vực này. Vì vậy nó được thiết kế với một cách tiếp cận dễ hiểu và đơn giản. Người học sẽ được giải thích về các công cụ và kỹ thuật để phát hiện lỗ hổng trong các ứng dụng web và các phương pháp khai thác lỗ hổng đó.

Điều quan trọng nhất của khoá học này là người học sẽ được thực hành nhiều thông qua hơn 100 bài lab mô phỏng. Nó giúp người học trải nghiệm và làm quen với các tình huống thực tế và đưa ra các phương pháp giải quyết để bảo vệ các ứng dụng web khỏi các cuộc tấn công tương tự.

Với khoá học Web Penetration Testing sẽ giúp người học phát triển kỹ năng và kiến thức cần thiết để trở thành một chuyên gia bảo mật web chuyên nghiệp trong tương lai.

Những ai nên đăng ký khoá học này?

• Sinh viên từ năm 2 muốn đi thực tập vị trí Web Penetration Testing (Kiểm thử bảo mật ứng dụng Web) trong các công ty bảo mật.
• Sinh viên đang học chuyên ngành An toàn thông tin hoặc Công nghệ thông tin và muốn nắm vững kiến thức cơ bản về những lỗ hổng trong ứng dụng Web
• Những lập trình viên Backend, API tò mò về cách tấn công của Hacker và mong muốn sản phẩm của mình không bị Hack
• Những bạn trẻ có mong muốn trở thành Hacker mũ trắng
• Những bạn trẻ muốn kiếm thêm thu nhập từ việc tìm kiếm lỗ hổng (Bug Bounty)
• Những bạn đang làm Lập Trình, DevOps, System Admin muốn chuyển sang ngành Cyber Security
• Những ai kinh doanh muốn biết đối thủ của mình khai thác thông tin của mình như thế nào
• Những bạn trẻ có mong muốn làm Red Team

Yêu cầu đầu vào của học viên

• Yêu cầu kiến thức lập trình căn bản (đọc hiểu) 1 trong 3 các ngôn ngữ lập trình sau PHP, Python, NodeJS
• Có kiến thức cơ bản về Database (Hiểu cú pháp, viết truy vấn, tạo bảng)
• Chuẩn bị Laptop cấu hình có thể chạy được máy ảo Ubuntu hoặc Docker
• Có hiểu biết cơ bản về hệ điều hành Linux và Windows

Chương trình học Web Penetration Testing

• Hiểu biết cơ sở
  • Hiểu về ứng dụng Web
    • HTTP Protocol
    • Cookie & Session
    • Web Application Architecture
• Nguyên lý làm việc của trình duyệt (Browser)
  • Content Security Policy (CSP)
  • Same-origin policy (SOP)
• Web Application Threats
  • Vulnerability Stack
  • Web Application Threats
    • Hiểu về OWASP và áp dụng OWASP việc kiểm thử xâm nhập ứng dụng Web
    • Hiểu và xác định mức độ nguy hiểm của lỗ hổng theo tiêu chuẩn CVSS
  • Thiết lập môi trường cho việc kiểm thử xâm nhập ứng dụng Web
• Reconnaissance
  • Tổng hợp và phân tích các công nghệ Web mà mục tiêu sử dụng
  • Tổng hợp và phân tích hạ tầng công nghệ thông tin của mục tiêu
    • Whois, Domain, Subdomain
    • IP, OS
    • Port & Services
  • Tổng hợp và phân tích các mối nguy từ bên ngoài của mục tiêu thông qua Search Engine
  • Thu thập các thông tin có ích phục vụ tấn công
    • Crawler
    • Web Archived
• Hiểu và khai thác lỗ hổng Server-Side
  • Hiểu và khai thác lỗ hổng Authentication
    • Username & Password Enumeration
    • Tấn công Password Spraying Attack
  • Hiểu và khai thác lỗ hổng Access Control
    • Insecure direct object references (IDOR)
  • Hiểu và khai thác lỗ hổng SQL Injection (SQLi)
    • In-band (Union Based, Error based)
    • Blind (Boolean Based, Time Based)
  • Hiểu và khai thác lỗ hổng Server-Side Request Forgery (SSRF)
  • Hiểu và khai thác lỗ hổng Command Injection
  • Hiểu và khai thác lỗ hổng Path Traversal
    • Remote File Inclusion
    • Local File Inclusion
  • Hiểu và khai thác lỗ hổng Insecure Design
    • File Upload Vulnerabilities
  • Hiểu và khai thác lỗ hổng Security Misconfiguration & Information Disclosure
• Hiểu và khai thác lỗ hổng Client-Side
  • Hiểu và khai thác lỗ hổng Cross Site Scripting (XSS)
    • Stored
    • Reflected
    • DOM-based
  • Hiểu và khai thác lỗ hổng Cross-Site Request Forgery (CSRF)
• Hiểu và biết cách sử dụng công cụ kiểm thử xâm nhập
  • Sử dụng cơ bản công cụ Burp Suite cho việc việc kiểm thử lỗ hổng ứng dụng Web

Những kỹ năng bảo mật phục vụ cho công việc Web Penetration Testing?

• Kỹ năng khai thác lỗ hổng ứng dụng Web
• Kỹ năng xác định mức độ nguy hiểm của lỗ hổng
• Kỹ năng sử dụng công cụ tìm kiếm và khai thác lỗ hổng Burp Suite
• Kỹ năng giải thích các tác động tiềm tàng của lỗ hổng ứng dụng Web và đưa ra khuyến cáo khắc phục lỗ hổng
• Kỹ năng thăm dò và tổng hợp thông tin

Những công việc phù hợp sau khi hoàn thành khoá học kiểm thử bảo mật ứng dụng Web?

• Intern Penetration Tester cho các doanh nghiệp
• Lập trình an toàn cho ứng dụng Web
• Tham gia chương trình Bug Bounty

Chứng chỉ bảo mật phù hợp cho công việc kiểm thử bảo mật ứng dụng Web

• Burp Suite Certified Practitioner (BSCP)
• Chứng chỉ EC Council Certified Ethical Hacker (CEH)
• Chứng chỉ CompTIA PenTest+
• Chứng chỉ eLearnSecurity Web Application Penetration Tester (eWPT)

Ngành nghề liên quan tới công việc Web Penetration Testing

• Vulnerability Assessment Analyst
• Penetration testers
• Exploitation Analyst
• Secure Software Assessor
• Software Developer
• System Testing and Evaluation Specialist
• Information Systems Security Developer
• Security Control Assessor
• Security Auditors
• Red Team Operators
• Web Application Developers

Lịch trình học

Thời gian học

• 24 giờ học
• 2 tiếng / buổi học
• Kéo dài trong 12 buổi

Cấu trúc một buổi học

• Mỗi buổi học kéo dài 2 tiếng 30 phút (Lý thuyết, Tea Break & AMA (Ask Me AnyThing), Thực Hành)
• Mỗi chủ đề sẽ có từ 3-5 bài thực hành theo các cấp độ

Thời gian học lúc nào?

• Tối Thứ Hai, Thứ Tứ, Thứ Sáu trong tuần từ 18:30 – 21:00

Hình thức học là gì?

• Học Offline tại Hà Nội

Số lượng học viên trong một lớp?

• Tối đa 10 học viên / lớp

Giảng viên

• Hà Trung Hiếu
  • Founder Cookie Hân Hoan
  • Information Security Manager TopCV
  • Co-founder, Penetration Testing Team Lead CyRadar
• Chứng chỉ bảo mật
  • CompTIA PenTest+
  • Certified Penetration Testing Professional | CPENT
  • Licensed Penetration Tester (Master) | LPT
  • Offensive Security Certified Professional | OSCP
• Chuyên môn
  • Security Research in Vulnerability Web / API/ Mobile Application
  • Pentest Web Application / API / Mobile
• Hobby
  • Reproduce CVE
  • Bug Hunter
  • CTF
  • IOT, SCADA Hacking
  • Content Creator in Cyber Security Industry

Học viên

Nhận được gì sau khi tốt nghiệp?

• Tư vấn định hướng học tập nâng cao để theo đuổi chuyên môn
• Giới thiệu công việc ở các vị trí Fresher hoặc Intern
• Thực hành lab miễn phí trên nền tảng Battle Cookie Arena
• Quyền lợi đăng ký trao đổi, hỏi đáp 1-1

Điều kiện tốt nghiệp

• Hoàn thành tất cả các bài thực hành trong khoá học
• Final Exam

Học phí

Ghi danh

• 5,000,000 / học viên / khoá
• 4,500,000 / học viên / khoá (Nếu nhóm từ 2 người trở lên)
• Được học thử 1 buổi, nếu thấy không phù hợp thì có thể trả lại học phí
• Thanh toán trọn vẹn học phí một lần trước khi bắt đầu khoá học.

Những thứ bạn nhận được sau khi đăng ký và đóng học phí khoá học?

• Áo T-Shirt Cookie Hân Hoan
• Túi Tote và cốc nước Cookie Hân Hoan

Địa điểm & Cơ sở vật chất

Địa điểm

• Khoá học sẽ được tổ chức tại HackerSpace – 28A ngách 53, Ngõ 68, Triều Khúc, Tân Triều, Hà Nội
• Gần các trường Đại Học Hà Nội, Học Viện Bưu Chính Viễn Thông, Học Viện Kỹ Thuật Mật Mã, Đại Học Thuỷ Lợi, Đại Học Kiến Trúc, Trường Đại học Khoa học Tự nhiên

Cơ sở vật chất

• Phòng học được trang bị đầy đủ bàn ghế, điều hoà, âm thanh và ánh sáng tốt
• Có trang bị TV 4K và máy chơi game để thư giãn sau giờ học
• Tốc độ mạng ổn định