課程緣起:

全球資安威脅與日俱增，尤其受疫情期間影響導致人們生活與工作型態改變，更讓駭客團體有機可乘、催生更多樣化的攻擊，使許多政府單位與民間企業防不勝防。
尤其是全球資訊網盛行的現在，企業更迫切需要利用新規範來強化Web網站平台與網頁應用程式的資安治理，而「OWASP Top 10」即是深具價值的指南之一。
本課程透過說明三大網站平台的資安風險與其對策的處理方式之外，亦透過以OWASP Top 10為基礎架構的實戰練習平台，在實戰範例中了解駭客攻擊的思考邏輯和技術與手法，
讓參與課程夥伴於了解駭客手法之後，能夠在組織單位中架構出最佳阻絕防禦策略，以確保Web伺服器和網頁應用程式都能在安全的狀態下穩定而有效率和不間斷的提供客戶所需之各項服務。
同時，課程也將介紹駭客是如何繞越 WAF防火牆以達攻擊成功之目的，和WAF防火牆如何偵測以Web為基礎的各項攻擊與偵測反繞越技術的應用發展。
此外，本課程也將介紹如何制定和執行Web伺服器和網頁應用程式的滲透測試方法。本課程將完整說明與練習攻擊和保護防禦Web伺服器和業應用程式方法。

課程目標:

1.了解Web伺服器安全風險與處理對策
2.了解雲端Web伺服器安全風險與處理對策
3.了解Web應用程式安全險與處理對策
4.了解Web API安全險與處理對策
5.了解瀏覽器安最新安全機制設計
6.了解駭OWASP Top 10如何被利用與其防護對策
7.了解WAF防火牆運作機制與防護機制
8.了解繞越WAF防火牆技術如何實現
9.了解Web伺服器與網頁程式滲透測試計畫如何執行

適合對象:

1.對Web security有興趣者
2.對Web網頁應用程式安全性有興趣者
3.Web網頁、Web應用程式設計師
4.Web安全分析師、Web滲透測試人員、白帽駭客、資安安全顧問等專業人員

課程先備知識:

1.Windows系統及Linux作業系統基礎操作
2.網路運作基礎概念
3.Web架構運作概念
4.程式設計基礎概念

課程大綱:

1.Web伺服器網路安全威脅與對策
 -IIS
 -Apache
 -Nginx
2.雲端Web伺服器安全威脅與容錯技術
3.Web Application 安全威脅與對策
4.Web API 安全威脅與對策
5.瀏覽器安全
6.WAF防火牆分析
7.防火牆繞越技術分析
8.OWASP Top 10解釋、分析與入侵攻擊實例練習
 -A01:2021-Broken Access Control (權限控制失效)
 -A02:2021-Cryptographic Failures (加密機制失效)
 -A03:2021-Sensitive Data Exposure (注入式攻擊)
 -A04:2021-Insecure Design (不安全設計)
 -A05:2021-Security Misconfiguration (安全設定缺陷)
 -A06:2021-Vulnerable and Outdated Components (危險或過舊的元件)
 -A07:2021-Identification and Authentication Failures (認證及驗證機制失效)
 -A08:2021-Software and Data Integrity Failures (軟體及資料完整性失效)
 -A09:2021-Security Logging and Monitoring Failures (資安記錄及監控失效)
 -A10:2021-Server-Side Request Forgery (伺服端請求偽造)
9.OWASP Top 10防禦對策
10.Web伺服器滲透測試規劃與執行