EC-Council WAHS là khóa học học thực hành trên iLab dành cho những ai muốn trở thành chuyên gia kiểm thử bảo mật ứng dụng web. Với chương trình đào tạo thực chiến, chứng chỉ này sẽ giúp bạn nắm vững các kỹ thuật tấn công web, phát hiện và khắc phục lỗ hổng bảo mật, từ đó nâng cao khả năng phòng thủ và bảo vệ hệ thống doanh nghiệp trước các mối đe dọa mạng.

Đây là khóa học online tập trung chính vào kỹ năng thực hành trên các mô hình thực tế có thời gian 6 tháng (thời hạn iLab WAHS 24×7 , học viên được cấp lab riêng cho mỗi người). Thi lấy chứng chỉ WAHS của EC Council (cần thi đạt). Lý thuyết sẽ được trình bày cô đọng và học viên sẽ học trên eCourseware. Có hướng dẫn thực hành online qua Zoom và LMS

Học phí đã bao gồm iLab (250$) và eCourseware + Exam Voucher EC-Council WAHS (800$) là 24.900.000 VND – Liên hệ Zalo 0914433338 (nếu cần báo giá các bạn vui lòng lên hệ và nhận báo giá qua email của công ty, không dùng email public)

Giới thiệu về khóa học thực chiến EC-Council Web Application Hacking and Security (WAHS)

1. Giới thiệu về khóa học

EC-Council Web Application Hacking and Security (WAHS) là một trong những chứng chỉ quan trọng dành cho các chuyên gia an ninh mạng muốn chuyên sâu vào kiểm thử bảo mật ứng dụng web. Khóa học này tập trung vào các kỹ thuật tấn công ứng dụng web hiện đại và cách phòng thủ chống lại chúng.

Khóa học WAHS được thiết kế với phương pháp học thực hành trên iLab, cho phép học viên thực hành trực tiếp trên các môi trường ứng dụng web thực tế. Học viên sẽ được trải nghiệm các kỹ thuật khai thác lỗ hổng web, từ các lỗi phổ biến như SQL Injection, XSS, CSRF cho đến các kỹ thuật nâng cao như SSRF, Insecure Deserialization và Business Logic Flaws.

---

2. Những ai nên học và thi chứng chỉ WAHS?

Khóa học WAHS phù hợp với nhiều đối tượng, bao gồm:

• Chuyên gia kiểm thử xâm nhập (Penetration Tester) muốn mở rộng kỹ năng kiểm thử bảo mật ứng dụng web.
• Chuyên gia an ninh mạng (Cybersecurity Professionals) cần hiểu rõ cách tấn công và bảo vệ ứng dụng web khỏi các mối đe dọa.
• Lập trình viên và kỹ sư phần mềm muốn xây dựng các ứng dụng web an toàn hơn bằng cách hiểu rõ các lỗ hổng và cách khắc phục chúng.
• Nhân viên bảo mật doanh nghiệp (Security Engineer, SOC Analyst, Red Team, Blue Team) muốn nâng cao khả năng phát hiện và ngăn chặn các cuộc tấn công web.
• Sinh viên và người mới vào nghề an ninh mạng muốn có nền tảng vững chắc về bảo mật ứng dụng web.

---

3. Nội dung chính của khóa học

Khóa học WAHS tập trung vào các nội dung quan trọng sau:

• Giới thiệu về bảo mật ứng dụng web và mô hình tấn công OWASP Top 10.
• Khai thác lỗ hổng Injection (SQL Injection, Command Injection, LDAP Injection, NoSQL Injection, etc.).
• Khai thác lỗ hổng XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery) và các kỹ thuật nâng cao.
• Tấn công các cơ chế xác thực và quản lý phiên (Session Hijacking, OAuth Attacks, JWT Manipulation, etc.).
• Phát hiện và khai thác các lỗ hổng logic kinh doanh (Business Logic Flaws).
• Khai thác lỗ hổng trên các nền tảng API và dịch vụ web hiện đại.
• Thực hành trên iLab với các tình huống thực tế, sử dụng các công cụ như Burp Suite, OWASP ZAP, sqlmap, Nikto, Dirbuster, etc.

---

4. Lợi ích khi có chứng chỉ WAHS

Chứng chỉ WAHS mang lại nhiều lợi ích quan trọng:
✅ Nâng cao kỹ năng thực chiến: Học viên có thể trực tiếp áp dụng các kỹ thuật tấn công và phòng thủ trong thực tế.
✅ Cơ hội nghề nghiệp rộng mở: Các chuyên gia bảo mật ứng dụng web đang có nhu cầu cao trong các doanh nghiệp, đặc biệt là trong các công ty công nghệ, tài chính, thương mại điện tử.
✅ Chứng nhận từ EC-Council: Một tổ chức uy tín trong ngành an ninh mạng, giúp bạn tăng lợi thế khi ứng tuyển vào các vị trí Penetration Tester, Security Engineer hoặc Web Security Consultant.
✅ Giúp doanh nghiệp bảo vệ ứng dụng web: Kiến thức từ khóa học giúp các tổ chức phát hiện và khắc phục lỗ hổng bảo mật trước khi hacker có thể khai thác.
✅ Chuẩn bị cho các chứng chỉ bảo mật cao cấp hơn: WAHS là nền tảng quan trọng để tiếp tục theo đuổi các chứng chỉ như CEH (Certified Ethical Hacker), LPT (Licensed Penetration Tester) hoặc OSWE (Offensive Security Web Expert).

---

Nội dung chính của chương trình WAHS:

• Tiêu đề: HACKING & BẢO MẬT ỨNG DỤNG WEB.
• Mô tả:
  • Hướng dẫn thực hành toàn diện để HACKING và BẢO MẬT ỨNG DỤNG WEB.
  • Hiểu, khai thác và bảo vệ bản thân trước các lỗ hổng web hàng đầu.
  • Khóa học toàn diện, thực hành, dựa trên phòng lab, có hướng dẫn và làm chủ.
• Thời lượng khóa học: 60 giờ.
• Nội dung tóm tắt:
  • Các thử thách từ môi trường iLab của EC-Council.
  • Từ Certified Ethical Hacker (C|EH) đến Certified Penetration Testing Professional (C|PENT).
  • Từ Certified Application Security Engineer (C|ASE) .Net đến Java.
  • Giải quyết các tình huống khó khăn hơn khi bạn tiến bộ qua từng vấn đề.
  • Các cuộc thi kiểu Capture-The-Flag (CTF) để kiểm tra kỹ năng hacking.
  • Bạn có thể tiếp tục cố gắng cho đến khi đạt được mục tiêu.
  • Kiểm tra kỹ năng, làm việc độc lập để giải quyết các vấn đề phức tạp hoặc làm theo hướng dẫn của giảng viên để giúp bạn học về Hacking và Bảo mật Ứng dụng Web.

Những gì bạn sẽ học:

• Kiểm tra xâm nhập ứng dụng web nâng cao
• SQL Injection nâng cao (SQLI)
• Cross Site Scripting (XSS) – Reflected, Stored và DOM-based
• Cross Site Request Forgery (CSRF) – Các phương thức GET và POST
• Server-Side Request Forgery (SSRF)
• Cấu hình sai bảo mật
• Duyệt/Tấn công vét cạn thư mục
• Quét lỗ hổng CMS
• Quét mạng
• Bỏ qua xác thực
• Liệt kê ứng dụng web
• Tấn công từ điển
• Phòng ngừa Tham chiếu Đối tượng Trực tiếp Không an toàn (Insecure Direct Object Reference Prevention – IDOR)
• Kiểm soát truy cập bị hỏng
• Local File Inclusion (LFI)
• Remote File Inclusion (RFI)
• Tải xuống tệp tùy ý
• Tải lên tệp tùy ý
• Sử dụng các thành phần có lỗ hổng đã biết
• Command Injection
• Remote Code Execution
• File Tampering
• Nâng cao đặc quyền
• Log Poisoning
• Mật mã SSL yếu
• Cookie Modification
• Source Code Analysis
• Sửa đổi tiêu đề HTTP
• Session Fixation
• Clickjacking

Thử thách phá mã:

• Vượt qua các cấu hình sai bảo mật, SQL Injection, các lỗ hổng duyệt danh mục, lỗ hổng liệt kê và khai thác đặc quyền và truy cập vào thông tin có đặc quyền.
• Mỗi phần ‘Phá mã’ mang đến những thách thức khó khăn hơn.
• Luôn có nhiều con đường để đi, nhưng ít con đường sẽ giúp bạn đạt được giải thưởng và vươn lên bảng xếp hạng.

Đối tượng nên tham gia:

• Người kiểm tra xâm nhập
• Ethical Hacker
• Người kiểm tra xâm nhập ứng dụng web
• Kỹ sư/Kiểm toán viên bảo mật
• Kỹ sư Red Team
• Kỹ sư an ninh thông tin
• Nhà phân tích rủi ro/lỗ hổng
• Người quản lý lỗ hổng
• Người ứng phó sự cố

Tổng quan về kỳ thi:

• Một kỳ thi thực hành được giám sát từ xa trực tuyến đầy đủ, thử thách các ứng cử viên thông qua một kỳ thi thực tế kéo dài 6 giờ.
• Kỳ thi đánh giá các kỹ năng và năng lực của ứng viên về một loạt các lỗ hổng ứng dụng web OWASP Top-10 và các vectơ tấn công.
• Đánh giá không chỉ giới hạn ở việc hiểu các khung khai thác tự động mà còn yêu cầu sự hiểu biết sâu sắc về các công nghệ ứng dụng web khác nhau, các lỗ hổng vốn có và có được cũng như các kỹ thuật khai thác thủ công.

Chứng nhận:

• Bài kiểm tra tập trung vào khả năng của ứng viên trong việc thực hiện đánh giá bảo mật ứng dụng web trong các tình huống căng thẳng thực tế.
• Các ứng cử viên đạt điểm hơn 60% sẽ nhận được chứng chỉ Certified Web Application Security Associate.
• Các ứng cử viên đạt điểm hơn 75% sẽ được trao chứng nhận Certified Web Application Security Professional.
• Các ứng cử viên đạt điểm hơn 90% sẽ đạt được chứng nhận Certified Web Application Security Expert danh giá!