[Повтор 3] [Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Все Части

Складчина: [Повтор 3] [Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Все Части

Тестирование Веб-Приложений на проникновение
ВСЕ ЧАСТИ
Web Application Pentesting
​

​

Автор: Вивек Рамачандрану (Vivek Ramachandran) (Pentesting Academy)
Формат: Видео
Продолжительность: 12 Часов
Переводчик: ТС
Тип перевода: Русская озвучка

ВНИМАНИЕ ВЗНОС ФИКСИРОВАННЫЙ!
Материал Будет Выдан 13 Января!​

От себя:

Хочу представить вам ряд интереснейших курсов на тему взлома. Это лишь один из них,остальные вы можете найти по ссылкам в конце этого поста. Курсы довольно глубоко заходят в тему взлома и особенно будут интересны тем, кто вместе со мной познавал Полный курс по взлому. Курс привлек меня интересными темами и глубиной погружения в них, некоторые из этих тем довольно трудно найти в рунете как таковом. Курс проходит в формате теория-практика. Автор сначала объясняет информацию на слайдах и сразу приступает к демонстрации на практике. К сожалению источник не блещет ничем, кроме содержания тем курса, так что я позволил себе написать это вступление. Частично с этими курсами вы можете ознакомиться на сайте автора.

Об Авторе:

Вивек Рамачандрану основатель и главный тренер Pentester Academy. Это он открыл атаку Caffe Latte, взломал WEP Cloaking - схему защиты протокола WEP, описал концепцию Wi-Fi бэкдоров и создал Chellam - первый в мире Wi-Fi фаерволл. Также является автором нескольких книг переведенных на разные языки, с пятизвездочным рейтингом на Amazon, коих было продано свыше 13 000.

Вивек запустил SecurityTube.net в 2007, своеобразный YouTube по безопасности, в котором собрал самую обширную коллекцию видео о компьютерной безопасности в интернете. SecurityTube и Pentester Academy насчитывает тысячи клиентов из более чем 90 стран по всему миру. Кроме того Вивек проводит живые тренинги в США, Европе и Азии. Его работы по беспроводной безопасности цитировались в BBC online, InfoWorld, MacWorld, The Register, IT World Canada и тд. Он выступал на таких мероприятиях как Black Hat США, Европа и Абу-Даби, Defcon, Hacktivity, Brucon, SecurityByte, SecurityZone, Nullcon, C0C0n и подобных.

Имея за плечами более чем десятилетний опыт работы в области безопасности и постоянный интерес к темам беспроводной и мобильной связи, тестированию веб приложений, созданию оболочек и исследованию эксплоитов. Любимые языки программирования Python, C и Ассемблер.

Содержание Курса:

• Вступление. Содержание курса.
• HTTP. Разбор работы протокола при помощи Curl.
• Запросы GET, POST, OPTIONS и тд.
• Тестирование работы методов запроса.
• Демонстрация Verb Tampering.
• Установка виртуальной машины с локальным сервером.
• Коды HTTP состояний.
• HTTP аутентификация. Basic.
• Атака HTTP Basic аутентификации при помощи Nmap и Metasploit.
• Digest Аутентификация.
• Создание хеша вручную.
• Дайджест аутентификация с точки зрения RFC 2617.
• Формирование хешей.
• HTTP Stateless и Cookies.
• Все о Cookies. Формирование, атрибуты.
• Пример установки Cookies со стороны сервера.
• Session ID.
• Что это, параметры, хранение.
• HTTPS.
• Как подключиться к HTTPS соединению.
• Атака Man In The Middle.
• Самоподписанный сертификат. Berp.
• Изьятие файлов из HTTP потока.
• HTML инъекции.
• Виды, примеры инъекций. Онлайн упражнения.
• Инъекции тегов.
• Командные инъекции.
• И около 10 онлайн упражнений на отработку материала данной части.
• Фильтры коммандных инъекций.
• Обратная оболочка:
• Метод коммандной инъекции.
• PHP метод.
• NetCat.
• Python.
• Введение в XSS.
• Виды XSS.
• Event Handlers.
• DOM XSS.
• Начало внутреннего курса JavaScript для тестировщиков.
• Введение.
• Переменные JavaScript.
• Операторы.
• Условные операторы.
• Петли.
• Функции.
• Перечисление свойств объектов.
• Event Handlers.
• Модификация DOM
• От RFI к Meterpreter.
• Работа с Cookies в JS (Установка, изменение, удаление).
• Кража Cookies.
• Исключения (Работа с ошибками).
• Продвинутые манипуляции формами.
• Основы XHR.
• XHR и HTML парсинг.
• XHR и Json парсинг.
• XHR и XML парсинг.
• Обход проверки на тип контента.
• Обход черных списков.
• Обход белых списков.
• Обход функции getimagesize().
• Инъекция нулевого байта.
• От уязвимостей в загрузке файлов к PHP Meterpreter.
• Основы RFI.
• RFI и принудительные расширения.
• Основы LFI.
• Предшествующая директория. LFI.
• Удаленное выполнение кода. LFI.
• LFI и инъекция нулевого байта.
• LFI и Log Poisoning.
• SSH Log Poisoning.
• Перенаправления (Redirects). Параметры.
• Open Redirects.
• Редиректы с хешем.
• Крипто-соль.
• Методы защиты редиректов.
• Основы CSRF.
• Новое приложение для тренировки атак.
• Методы проведения CSRF атак.
• Многошаговые операции и их симуляция в целях атаки.
• Защита от атак. CSRF токен.
• Обход токенов при помощи XSS.

Сэмпл:


​

Оригинальные части:
Первая Часть
Вторая Часть
Третья Часть
Четвертая Часть
Пятая Часть
Шестая Часть​

Также предлагаю Вам на меня подписаться, чтобы быть в курсе обо всех новых складчинах. Узнавайте об интересных складчинах первыми!​

 

А когда планируется старт складчины?