Ethical Hacking Code Review and Exploitation
O curso oferece uma visão imersiva das técnicas de análise de código-fonte, tanto ofensivas quanto defensivas, revelando como vulnerabilidades ocultas nas etapas de desenvolvimento de software podem ser exploradas para contornar lógicas de negócio e causar grandes impactos.
Sobre o Curso
Em um cenário onde vulnerabilidades desconhecidas continuam a ameaçar sistemas críticos, o curso Ethical Hacking Code Review and Exploitation (EHCRX) oferece uma imersão nas técnicas de análise de código-fonte, tanto ofensiva quanto defensiva, revelando como vulnerabilidades ocultas nas etapas de desenvolvimento de software podem ser exploradas para contornar lógicas de negócio e causar grandes impactos.
O treinamento aborda formas de identificar falhas de segurança em códigos-fonte utilizando as técnicas como análises sources-to-sink e sink-to-source, que podem ser utilizadas para verificar pacotes de código, bem como criar regras para detectar vulnerabilidades em massa, criando Provas de Conceito (PoC) para explorá-las. Além de análise de vulnerabilidades comuns, você aprenderá, na prática, o conceito de combinação estratégica de falhas, aparentemente isoladas, para maximizar o impacto de um ataque, procedimento conhecido como vulnerability chain.
Muitos recursos são gastos com soluções de SAST/DAST e, mesmo assim, várias vulnerabilidades são encontradas diariamente. Não espere até que uma brecha no código comprometa sua aplicação. Proteja seus projetos e sua reputação aprendendo como detectar e corrigir falhas que ferramentas tradicionais não conseguem identificar. O intuito deste curso é ensinar como encontrar e realizar esses ataques, para que a detecção básica dessas ferramentas seja complementada com comportamentos de atacantes reais, gerando exploits funcionais.
Como as empresas conseguem se proteger desses ataques? Como evitar que um erro de programação seja explorado para exfiltrar todos os dados de suas aplicações? Ou como criar técnicas onde os desenvolvedores não precisam se preocupar com segurança e simplesmente programar utilizando códigos pré-definidos? Durante o curso, os alunos irão aprender técnicas de proteção para todos os ataques demonstrados, desenvolvendo uma aplicação vulnerável de início e depois corrigindo todas as falhas. Diversas técnicas de Secure by Design serão apresentadas, tais como Design Domain Driven, proporcionando um entendimento de como publicar aplicações seguras por padrão.
Ao final do curso, os alunos poderão empregar todos os conhecimentos adquiridos para executar análises de vulnerabilidades reais, estudando e utilizando CVEs recentes, e ter a possibilidade de encontrar novas falhas e executar outros caminhos de ataque.
Serão abordados diversos temas: fundamentos de Pentest Whitebox, evasão de filtros, contorno (bypass) de mecanismos de autenticação e autorização, pesquisa de vulnerabilidades em código-fonte, provas de conceito, relatório de falhas, análise de causa raiz, desenvolvimento seguro, secure by design, entre outros.
Conteúdo do Curso
- 1.Fundamentos de Pentest Whitebox
- 2.Análise de código-fonte
- 3.Análises Source-to-Sink e Sink-to-Source
- 4.Encadeamento de Vulnerabilidades (Vulnerability Chain)
- 5.Explorando mecanismos de entrada (input) de usuário
- 6.Explorando mecanismos de autenticação e autorização
- 7.Subvertendo lógicas de negócio
- 8.Análise de Causa Raiz
- 9.Melhores práticas de desenvolvimento
- 10.Defendendo mecanismos de entrada (input) de usuário
- 11.Protegendo mecanismos de autenticação e validação
- 12.Secure by Design
- 13.Principais Design Patterns para segurança de aplicações
- 14.Análise de múltiplos pacotes
- 15.Automatização e identificação de vulnerabilidades em massa em repositórios de código
- 16.Criação de exploits para apliações web e de rede
- 17.Estudos de Caso
- 18.Envio e obtenção de CVE