Тестирование WEB-приложений на проникновение [Codeby] [Станислав Истягин, Александр Медведев]

Складчина: Тестирование WEB-приложений на проникновение [Codeby] [Станислав Истягин, Александр Медведев]

Курс «Тестирование Веб-Приложений на проникновение» (WAPT) от команды Codeby. Вы получите углубленные знания и навыки, необходимые для поиска уязвимостей и защите веб-приложений. При выполнении практических заданий, мы рекомендуем проводить поиск, эксплуатацию и обход уязвимостей вручную. Благодаря этому достигается глубокое понимание всех аспектов и повышается эффективность тестирования веб-приложений

Продолжительность курса: 4 месяца, при темпе 2 – 4 часа в день, с перерывом на выходные.
Преподаватели и наставники: Станислав Истягин, Александр Медведев
Минимальными знания для прохождения курса: Для того чтобы без проблем пройти курс, вам необходимо знать основы работы TCP/IP и HTTP, а также уметь пользоваться командной строкой OS Linux. Дополнительным преимуществом будет знание основ Python, Php и SQL.

Чему вы научитесь после прохождения онлайн-курса WAPT?

• Научитесь находить уязвимости без использования сканеров;
• Поймёте, как находить информацию или инструменты для поиска уязвимостей;
• Сможете участвовать в Bug Bounty и зарабатывать деньги;
• Научитесь получать конфиденциальную информацию напрямую от сотрудников;
• Повторите основы работы клиент-серверных веб-приложений;
• Изучите основы работы протоколов передачи данных в интернете;
• Научитесь использовать уязвимости веб-сервисов и обходить их защиту;
• Сможете выстраивать защиту веб-приложений от популярных видов атак.

Спойлер: Содержание

Введение в курс
В данном разделе вы узнаете, о чем наш курс и поймете, какой результат получите по завершению обучения.

Подготовка рабочего окружения
В разделе будет описана подготовка операционной системы для работы и основные моменты по работе со средой.

Общая теория

• Что такое пентест и аудит информационных систем?
• Основные этапы пентеста по различным методологиям;
• Основы механизмов взаимодействия web;
• Основы сетевого взаимодействия;

Дополнительно будут рассмотрены:

• Различные классификаторы уязвимостей;
• Основы компьютерной вирусологии, типы распространения вирусов и виды нагрузок;
• Проведен экскурс в мир этичного хакинга;

Сбор информации о цели
Основные методы пассивного фаззинга:

• Сбор информации с DNS;
• Сбор файлов и директорий;
• Анализ сертификатов;
• Сбор информации о сервере и службах;

Фаззинг
В данном разделе будут рассмотрены активные методы сбора информации и целевом ресурсе.

Уязвимости
В разделе рассмотрены основные типы уязвимостей web-приложений, приведены примеры и представлены практические задания.

Инъекции
Вы узнаете, что такое SQL, SSTI, XXE, CMD и PHP инъекции, научитесь их выявлять и эксплуатировать. Также будут рассмотрены методики обхода web-application firewall.

Уязвимые компоненты
Раздел расскажет об уязвимостях компонентов web-окружения.

Обход авторизации
Формы авторизации – один из способов проникновения на Web-ресурс. В данном разделе вы узнаете:

• техники обхода авторизации;
• техники эксплуатации уязвимостей;
• основы брутфорса учетных данных;

Ошибки конфигурации
Неправильная настройка Web-приложений может привести к негативным последствиям. В разделе будут рассмотрены основные векторы атак, а также приведены примеры их эксплуатации.

Клиентские атаки

• Основные виды клиентских атак;
• Подробное описание, эксплуатация и объяснение пользы атак XSS и CSRF;

Системные уязвимости
Уязвимости в различных сервисах являютс одним из методов проникновения. В данном разделе будут описаны и приведены примеры использования таких уязвимостей.

SSRF
Server-Side Request Forgery (SSRF) – достаточно обширная уязвимость в плане возможностей. В данном разделе будет разобран этот тип уязвимостей, включая различные частные случаи – например, XSPA.

Пост-эксплуатация
В разделе будут разобраны методики закрепления в скомпрометированном сервере web-приложения, а также разобраны основные способы повышения привилегий.

Social Engineering
Социотехническое тестирование является неотъемлемой частью современного пентеста. В разделе будут рассмотрены основные методы такого метода пентеста.

Площадки для практики
Раздел расскажет о площадках, где можно безнаказанно применить и развить новые навыки, приобретенные в ходе прохождения курса.

Сертификация и литература

Стоимость: 59990 руб
Скрытая ссылка