จุดประสงค์ของหลักสูตรนี้

      ในปัจจุบันภัยคุกคามที่เกิดขึ้นจากผู้ไม่ประสงค์ดี (Hacker) ได้ทวีความรุนแรงขึ้นทุกวันโดยมุ่งเน้นการโจมตีหน่วยงานภาครัฐ เอกชน และมหาวิทยาลัย และร่วมไปถึงเว็บไซต์ขายของ (E-Commerce) จากทั้งภายใน และภายนอกประเทศ เพื่อทำลายชื่อเสียงและเรียกร้องสิทธิต่าง ๆ ตามที่ต้องการ ซึ่งสาเหตุที่เว็บไซต์ตกเป็นเป้าหมายหลักที่โดนบุกรุกเนื่องจากผู้ไม่ประสงค์ดีสามารถเข้าถึงจากที่ใดก็ได้บนโลกผ่านระบบเครือข่ายอินเทอร์เน็ตทำให้ง่ายต่อการบุกรุก ดังนั้นเพื่อให้นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน (Web Application Programmer) ต่าง ๆ เช่น PHP, JAVA, C# เป็นต้น หรือผู้ดูแลระบบ (System Administrator) หรือ นักทดสอบเจาะระบบ (Penetration Tester) หรือสายงานด้านความมั่นคงปลอดภัยสารสนเทศทั้งหมดให้มีความรู้ความเข้าใจเกี่ยวกับภัยคุกคามหรือช่องโหว่ต่าง ๆ ที่เกิดขึ้นจริงในปัจจุบันด้วยวิธีการเจาะเว็บ
แอพพลิเคชันแบบผู้ไม่ประสงค์ดี จนทำให้ผู้เข้าร่วมอบรมมีความตระหนักถึงความเสี่ยงและเข้าใจถึงปัญหาที่เกิดขึ้นพร้อมทั้งสามารถนำแนวทางไปใช้ในการปรับปรุงและแก้ไขช่องโหว่บนเว็บแอพพลิเคชันได้สำเร็จ

เรียนแล้วได้อะไรจากหลักสูตรนี้

1.นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชันสามารถพัฒนาเว็บแอพพลิเคชันให้แก่องค์กรได้อย่างมั่นคงปลอดภัย
2.นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชันสามารถพัฒนาเว็บแอพพลิเคชันให้แก่เอกชนได้อย่างมั่นคงปลอดภัย
3.นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชันสามารถพัฒนาเว็บแอพพลิเคชันให้แก่สถานศึกษาได้อย่างมั่นคงปลอดภัย
4.นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชันสามารถพัฒนาเว็บแอพพลิเคชันให้แก่เว็บไซต์ขายของ (E-Commerce)ได้อย่างมั่นคงปลอดภัย
5.ผู้ดูแลระบบสามารถตั้งค่า (Configuration) บนเครื่องเว็บเซิร์ฟเวอร์ได้อย่างมั่นคงปลอดภัย
6.นักทดสอบเจาะระบบ (Penetration Tester) สามารถนำความรู้ที่ได้รับจากการอบรมไปใช้ในการทดสอบเจาะระบบเว็บแอพพลิเคชันให้แก่
หน่วย งานภาครัฐ เอกชน และมหาวิทยาลัย
7.ที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศ (IT Security Consultant) สามารถนำความรู้ที่ได้รับจากการอบรมไปใช้ในการให้คำปรึกษาแก่หน่วยงานภาครัฐ, เอกชน, สถานศึกษา ได้อย่างมั่นคงปลอดภัย

ผู้ที่เหมาะสมในการอบรมหลักสูตรนี้

1.นักพัฒนาโปรแกรมด้านเว็บแอพพลิเคชัน (Web Application Programmer)
2.ผู้ดูแลระบบ (System Administrator)
3.นักทดสอบเจาะระบบ (Penetration Tester)
4.ที่ปรึกษาด้านความมั่นคงปลอดภัยสารสนเทศ (IT Security Consultant)
5.ผู้สนใจอื่น ๆ ด้านความมั่นคงปลอดภัยสารสนเทศ

ความรู้พื้นฐานของผู้เข้าอบอรม

o การใช้งานคอมพิวเตอร์เบื้องต้น
o การใช้งานระบบปฏิบัติการ Linux เบื้องต้น
o การเขียนโปรแกรมภาษา HTML, PHP, JavaScript, JAVA, C#, Python เบื้องต้น

เงื่อนไขการอบรม

  • เครื่องโน้ตบุ๊กคอมพิวเตอร์ติดตั้งระบบปฏิบัติการ Windows 7 64 bit, CPU Core i5 GEN 4 ขึ้นไป, Memory ขนาด 8 GB, พื้นที่ Hard disk ขนาด 100 GB

สถานที่จัดอบรม

บริษัท ซีวายเอ็น คอมมิวนิเคชั่น จำกัด
230/51 ซอยกรุงธนบุรี 6 ถนนกรุงธนบุรี แขวงบางลำภูล่าง เขตคลองสาน กรุงเทพมหานคร 10600

ราคาค่าเข้าอบรม
บัตรราคา 18,900 บาท (ร่วมภาษีมูลค่าเพิ่มแล้ว)

ส่วนลดโปรโมชันพิเศษ

🚩สำหรับลูกค้าใหม่
ชำระเงินล่วงหน้าก่อนวันอบรม 1 อาทิตย์ลดทันที 1,000 บาท ตามวันที่ระบุ ลดเหลือ 17,900 บาท

🚩สำหรับลูกค้าเก่า
เพียงแจ้งรายชื่อ-นามสกุล และอีเมลรับส่วนลด 20% ทันที ลดเหลือ 15,120 บาท

🚩สำหรับนักศึกษา เฉพาะนักศึกษาปริญญาตรี ปวส. ปวช. และ มัธยมศึกษา เท่านั้น
เพียงแค่แสดงบัตรนักศึกษา ราคาบัตรเหลือเพียง 5,900 บาท เท่านั้น

ระยะเวลาการอบรมจำนวน 3 วัน

รอบที่ 1 วันที่ 27-29 มีนาคม 2567

ประวัติวิทยากร

วันที่ 1
เวลา เนื้อหา
09.00-10.30

Introduction to Web Application

o  Web Application Attack Statistics
o  Terminology
o  Web Application History
o  Web Application Architecture
o  Web application components
o  Web application Languages
o  Web Server
o  HTTP Protocol
o  Encoding
o  User Agent
o  Session & Cookie
o  HTTP Security Header
10.30-10.45

อาหารว่าง
10.45-12.00

HTTP Security Headers

o  Content-Security-Policy (CSP)
o  Strict-Transport-Security Header (HSTS)
o  X-Content-Type-Options
o  X-Frame-Options
o  Referrer-Policy

Introduction to Web Application Security

o  Vulnerability Stack
o  Defense in depth

Web Application Penetration Testing Methodology

o  OWASP (Open Web Application Security Project)
o  OSSTMM (Open Source Security Testing Methodology Manual)
o  PTF (Penetration Testing Framework)
o  ISSAF (Information Systems Security Assessment Framework)
o  PCI DSS (Payment Card Industry Data Security Standard)

o  Types of Web Penetration Testing

o  Internal Penetration Testing
o  External Penetration Testing

o  Web Application Penetration Testing Tools

o  Zed Attack Proxy (ZAP)
o  Wfuzz
o  Wapiti
o  W3af
o  SQLMap

Web Application Penetration Testing Checklist 

                  o  OWASP Web Application Security Testing Checklist
                  o  SANS Securing Web Application Technologies Checklis

          Penetration Testing Certifications
                  o  OSWE (Offensive Security Web Expert)
                  o  GWAPT (GIAC Web Application Penetration Tester)
                  o  CWAPT (Certified Web App Penetration Tester)
                  o  eWPT (elearnSecurity Web Application Penetration Tester)
12.00-13.00

รับประทานอาหารกลางวัน
13.00-14.30

The Penetration Testing Process

o  Reconnaissance (Active/Passive)
o  Scanning/Enumeration
o  Exploitation
o  Privilege Escalation/Maintaining Access
o  Reporting
14.30-14.45

อาหารว่าง
14.45-17.00

Web Application Proxies

o  Example: Burp Proxy

Using a Hacking Tools

o  Example: Kali Linux
วันที่ 2
เวลา เนื้อหา
9.00-10.30

Open Web Application Security Project (OWASP)

o  OWASP Web Security Testing Guide
o  OWASP Application Security Verification Standard Project (ASVS)
o  OWASP Cheat Sheet Series
o  OWASP TOP Ten
o  OWASP Web Application Security Testing Checklist

OWASP TOP Ten 2013 vs 2017 vs 2021

o  A1-Injection
o  Explanations
o  SQL Injection Demo
o  Command Injection Demo
o  Defence
o  LAB
10.30-10.45

อาหารว่าง
10.45-12.00

A2-Broken Authentication and Session Management

o  Explanations
o  Hijack a Session
o  Brute Force Demo
o  Defence
o  LAB

A3-Cross-site Scripting

o  Explanations
o  Reflected XSS HTML context Demo
o  Stored Demo
o  Defence
o  LAB
12.00-13.00

รับประทานอาหารกลางวัน
13.00-14.30

  A4-Insecure Direct Object Reference

           o  Explanations
           o  IDO URLs tokens Demo
           o  Defence
           o  LAB

  A5-Security Misconfiguration

           o  Explanations
           o  Directory Browsing
           o  User Agent Manipulation
           o  Defence
           o  LAB
14.30-14.45

อาหารว่าง
14.45-17.00

A6 Sensitive Data Exposure

o  Explanations
o  Hidden Pages Demo
o  Defenses
o  LAB

A7 Missing Function Level Access Control

o  Explanations
o  Role Demo
o  Defenses
o  LAB
วันที่ 3
เวลา เนื้อหา
9.00-10.30

A8 Cross-site Request Forgery

o  Explanation
o  CSRF JS Demo
o  Defenses
o  LAB

A9 Using Components with Known Vulns

o  Explanations
o  Libraries & CVE Demo
o  Defenses
o  LAB
10.30-10.45

อาหารว่าง
10.45-12.00

  A10 Unvalidated Redirects and Forwards

         o  Explanations
         o  Redirect to malicious url
         o  Defenses
         o  LAB

รายละเอียดเพิ่มเติม OWASP TOP 10 2017

o  A4:2017-XML External Entities (XXE)
o  Explanations
o  XML External Entities (XXE)
o  Defenses
o  LAB
12.00-13.00

รับประทานอาหารกลางวัน
13.00-14.30

A8:2017-Insecure Deserialization

o  Explanations
o  Insecure Deserialization
o  Defenses
o  LAB

A10:2017-Insufficient Logging & Monitoring

o  Explanations
o  Logging & Monitoring
o  Defenses
o  LAB
14.30-14.45

อาหารว่าง
14.45-17.00

รายละเอียดเพิ่มเติม OWASP TOP 10 2021

o  A04:2021-Insecure Design
o  A08:2021-Software and Data Integrity Failures
o  A10:2021-Server-Side Request Forgery
      o  Explanations
      o Server-Side Request Forgery
      o  Defenses
      o  LAB

หมายเหตุ : เนื้อหาอาจมีการปรับเปลี่ยนแก้ไขตามความเหมาะสม