Kurssit

Perusteet haltuun

Aloita täältä. Tällä kurssilla käymme läpi tärkeitä perusteita, jotka mahdollistavat syventävän oppimisen yhä monimutkaisempiin aihe-alueisiin tietoturvan parissa. Kurssi on tarkoitettu oppilaille, jotka ovat uusia tietotekniikan parissa.

Ohjelmointi

Opetellaan ohjelmoinnin perusteet Pythonilla. Suunnattu täysin vasta-alkajille.

SQL-Injektio

SQL-injektio lienee syynä valtaosaan vakavista tietomurroista, pääasiallisesti sen takia että haavoittuvuus on suuressa sovelluksessa erittäin todennäköinen jos teknologiavalinnat ovat huonot, ja seuraus on yleensä koko tietokannan vuotaminen hyökkääjälle.

Salasanahyökkäykset

Salasanat ovat hirvittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Komentoinjektiot

Yksi karmivimmista paikoista johon injektiohaavoittuvuus voi osua on käyttöjärjestelmäkomennot. Seuraamus on lähes poikkeuksetta palvelimen täysi haltuunottaminen hyökkääjän toimesta. Näitä haavoittuvuuksia kuitenkin löytyy melkoisen usein kun sovellus käyttää esimerkiksi komentorivityökaluja kulissien takana.

XSS (Cross-Site Scripting)

Opi löytämään ja hyväksikäyttämään haavoittuvuutta joka on yksi kaikista yleisimmistä haavoittuvuuksista, helpohko löytää, ja siitä huolimatta hyvin vaarallinen. Hackerone rankkasi XSS:n #1 bug bounty -haavoittuvuudeksi 2021.

JWT Hyökkäykset

JWT-tokeneita on nykyään lähes kaikkialla mihin katsoo. Kuitenkin JWT-kirjaston valinta tai määritys menee usein pieleen, joka voi johtaa tokenien väärentämiseen, joka taas tyypillisesti johtaa sovelluksen turvallisuuden totaaliseen murtumiseen.

XXE (XML External Entity) Hyökkäykset

XML on pintapuolisesti yksinkertainen protokolla, tageja ja attribuutteja. XML:llä on kuitenkin salaisia kykyjä jotka valitettavan usein eivät ole oletusarvoisesti poistettu käytöstä XML-käsittelijöissä...

Pääsynhallintahaavoittuvuudet

Kehitys kehittyy ja modernien sovelluskehysten ansiosta perinteisiä injektiohaavoittuvuuksia tai autentikointiongelmia näkee jatkuvasti vähemmän. Yksi asia kuitenkin on joka tuntuu pysyvän aina yhtä vaikeana toteuttaa turvallisesti, ja se on monimutkaisen sovelluksen pääsynhallinta.

URL-injektio

Injektioita on joskus yllättävissäkin paikoissa ja URL-osoitteiden rakentaminen on yleinen paikka, jossa kehittäjät unohtavat huomioida vaaran.

Deserialisointihyökkäykset

Sarjallistaminen on äärimmäisen helppo ja kätevä tapa saada monimutkaisia tiloja tallentumaan levylle tai siirtymään verkon yli. Helppous tuo kuitenkin mukanaan varjopuolen, sarjallistetun objektin purkaminen nimittäin on rinnastettavissa pommin purkamiseen. Se on tehtävä juuri oikein tai muuten seuraukset voivat olla katastrofaaliset.

Selainturvallisuus

Selain on monipuolinen ympäristö, jossa on eri välilehdissä ja eri ikkunoissa ajossa koodia täysin eri tahoilta, ja nämä web-sovellukset pystyvät vielä kommunikoimaan keskenään. Tällaisessa ympäristössä on riskinsä!