Тестирование WEB-приложений на проникновение [Codeby] [Станислав Истягин, Александр Медведев]
Курс «Тестирование Веб-Приложений на проникновение» (WAPT) от команды Codeby. Вы получите углубленные знания и навыки, необходимые для поиска уязвимостей и защите веб-приложений. При выполнении практических заданий, мы рекомендуем проводить поиск, эксплуатацию и обход уязвимостей вручную. Благодаря этому достигается глубокое понимание всех аспектов и повышается эффективность тестирования веб-приложений
Продолжительность курса: 4 месяца, при темпе 2 – 4 часа в день, с перерывом на выходные.
Преподаватели и наставники: Станислав Истягин, Александр Медведев
Минимальными знания для прохождения курса: Для того чтобы без проблем пройти курс, вам необходимо знать основы работы TCP/IP и HTTP, а также уметь пользоваться командной строкой OS Linux. Дополнительным преимуществом будет знание основ Python, Php и SQL.
Чему вы научитесь после прохождения онлайн-курса WAPT?
- Научитесь находить уязвимости без использования сканеров;
- Поймёте, как находить информацию или инструменты для поиска уязвимостей;
- Сможете участвовать в Bug Bounty и зарабатывать деньги;
- Научитесь получать конфиденциальную информацию напрямую от сотрудников;
- Повторите основы работы клиент-серверных веб-приложений;
- Изучите основы работы протоколов передачи данных в интернете;
- Научитесь использовать уязвимости веб-сервисов и обходить их защиту;
- Сможете выстраивать защиту веб-приложений от популярных видов атак.
Введение в курс
В данном разделе вы узнаете, о чем наш курс и поймете, какой результат получите по завершению обучения.
Подготовка рабочего окружения
В разделе будет описана подготовка операционной системы для работы и основные моменты по работе со средой.
Общая теория
- Что такое пентест и аудит информационных систем?
- Основные этапы пентеста по различным методологиям;
- Основы механизмов взаимодействия web;
- Основы сетевого взаимодействия;
Дополнительно будут рассмотрены:
Сбор информации о цели
- Различные классификаторы уязвимостей;
- Основы компьютерной вирусологии, типы распространения вирусов и виды нагрузок;
- Проведен экскурс в мир этичного хакинга;
Основные методы пассивного фаззинга:
Фаззинг
- Сбор информации с DNS;
- Сбор файлов и директорий;
- Анализ сертификатов;
- Сбор информации о сервере и службах;
В данном разделе будут рассмотрены активные методы сбора информации и целевом ресурсе.
Уязвимости
В разделе рассмотрены основные типы уязвимостей web-приложений, приведены примеры и представлены практические задания.
Инъекции
Вы узнаете, что такое SQL, SSTI, XXE, CMD и PHP инъекции, научитесь их выявлять и эксплуатировать. Также будут рассмотрены методики обхода web-application firewall.
Уязвимые компоненты
Раздел расскажет об уязвимостях компонентов web-окружения.
Обход авторизации
Формы авторизации – один из способов проникновения на Web-ресурс. В данном разделе вы узнаете:
Ошибки конфигурации
- техники обхода авторизации;
- техники эксплуатации уязвимостей;
- основы брутфорса учетных данных;
Неправильная настройка Web-приложений может привести к негативным последствиям. В разделе будут рассмотрены основные векторы атак, а также приведены примеры их эксплуатации.
Клиентские атаки
Системные уязвимости
- Основные виды клиентских атак;
- Подробное описание, эксплуатация и объяснение пользы атак XSS и CSRF;
Уязвимости в различных сервисах являютс одним из методов проникновения. В данном разделе будут описаны и приведены примеры использования таких уязвимостей.
SSRF
Server-Side Request Forgery (SSRF) – достаточно обширная уязвимость в плане возможностей. В данном разделе будет разобран этот тип уязвимостей, включая различные частные случаи – например, XSPA.
Пост-эксплуатация
В разделе будут разобраны методики закрепления в скомпрометированном сервере web-приложения, а также разобраны основные способы повышения привилегий.
Social Engineering
Социотехническое тестирование является неотъемлемой частью современного пентеста. В разделе будут рассмотрены основные методы такого метода пентеста.
Площадки для практики
Раздел расскажет о площадках, где можно безнаказанно применить и развить новые навыки, приобретенные в ходе прохождения курса.
Сертификация и литература
Стоимость: 59990 руб
Вложения:
Последнее редактирование модератором: