Джокер
Администратор
- Регистрация
- 1 Янв 2015
- Сообщения
- 124.902
- Реакции
- 75.773
Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 1/2024) [HTB Academy]
HTB Academy Senior Web Penetration Tester Job Role Path
Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.
Ключевые темы курса:
Атаки с внедрением
Введение в NoSQL-инъекции
Атаки на механизмы аутентификации
Продвинутая эксплуатация XSS и CSRF
Атаки на HTTPS/TLS
Злоупотребление неправильными конфигурациями HTTP
HTTP-атаки
Слепые SQL-инъекции
Введение в whitebox-пентестинг
Современные техники эксплуатации веб-приложений
Введение в атаки на десериализацию
Whitebox-атаки
Продвинутые SQL-инъекции
Продвинутые атаки на десериализацию
Логические ошибки
Содержание 1-й части:
Модуль 01: Атаки с внедрением
Существует множество уязвимостей внедрения кода, наиболее известными из которых являются SQL‑инъекции, межсайтовый скриптинг (XSS) и внедрение команд. Несмотря на то, что именно они действительно чаще всего встречаются в реальных веб‑приложениях, существуют и другие, менее известные уязвимости внедрения. Поскольку подобные уязвимости внедрения встречаются реже и менее известны, разработчики зачастую не осведомлены о них и, как следствие, игнорируют способы защиты от них. Если нам удается найти веб‑сайт, на котором используются XPath, LDAP или библиотеки генерации PDF, то его тестирование на подобные атаки может позволить нам продвинуться дальше в ходе наших работ.
В этом модуле рассматриваются три атаки с применением инъекций: XPath-инъекции, LDAP-инъекции и HTML-инъекции в библиотеках генерации PDF. Уязвимости XPath- и LDAP-инъекций могут приводить к обходу аутентификации и извлечению данных. HTML-инъекции в библиотеках генерации PDF могут приводить к подделке запросов на стороне сервера (SSRF), локальному включению файлов (LFI) и другим распространенным веб-уязвимостям.Мы обсудим, как выявлять, эксплуатировать и предотвращать каждый из этих типов атак с внедрением.
Ключевые темы модуля:
Введение в атаки с внедрением
Введение в XPath-инъекции
XPath - обход аутентификации
XPath - извлечение данных
XPath - продвинутое извлечение данных
XPath - эксплуатация вслепую
Предотвращение XPath-инъекций и инструменты
Введение в LDAP-инъекции
LDAP - обход аутентификации
LDAP - извлечение данных и эксплуатация вслепую
Предотвращение LDAP-инъекций
Введение в уязвимости генерации PDF
Эксплуатация уязвимостей генерации PDF
Предотвращение уязвимостей генерации PDF
Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 1-й части: Модуль 01: Атаки с внедрением (~55 стр.)
Дата выдачи: по набору участников в складчину
Сэмпл перевода: во вложении
СКАЧАТЬ СЛИВЫ КУРСОВ
HTB Academy Senior Web Penetration Tester Job Role Path
Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.
Ключевые темы курса:
Атаки с внедрением
Введение в NoSQL-инъекции
Атаки на механизмы аутентификации
Продвинутая эксплуатация XSS и CSRF
Атаки на HTTPS/TLS
Злоупотребление неправильными конфигурациями HTTP
HTTP-атаки
Слепые SQL-инъекции
Введение в whitebox-пентестинг
Современные техники эксплуатации веб-приложений
Введение в атаки на десериализацию
Whitebox-атаки
Продвинутые SQL-инъекции
Продвинутые атаки на десериализацию
Логические ошибки
Содержание 1-й части:
Модуль 01: Атаки с внедрением
Существует множество уязвимостей внедрения кода, наиболее известными из которых являются SQL‑инъекции, межсайтовый скриптинг (XSS) и внедрение команд. Несмотря на то, что именно они действительно чаще всего встречаются в реальных веб‑приложениях, существуют и другие, менее известные уязвимости внедрения. Поскольку подобные уязвимости внедрения встречаются реже и менее известны, разработчики зачастую не осведомлены о них и, как следствие, игнорируют способы защиты от них. Если нам удается найти веб‑сайт, на котором используются XPath, LDAP или библиотеки генерации PDF, то его тестирование на подобные атаки может позволить нам продвинуться дальше в ходе наших работ.
В этом модуле рассматриваются три атаки с применением инъекций: XPath-инъекции, LDAP-инъекции и HTML-инъекции в библиотеках генерации PDF. Уязвимости XPath- и LDAP-инъекций могут приводить к обходу аутентификации и извлечению данных. HTML-инъекции в библиотеках генерации PDF могут приводить к подделке запросов на стороне сервера (SSRF), локальному включению файлов (LFI) и другим распространенным веб-уязвимостям.Мы обсудим, как выявлять, эксплуатировать и предотвращать каждый из этих типов атак с внедрением.
Ключевые темы модуля:
Введение в атаки с внедрением
Введение в XPath-инъекции
XPath - обход аутентификации
XPath - извлечение данных
XPath - продвинутое извлечение данных
XPath - эксплуатация вслепую
Предотвращение XPath-инъекций и инструменты
Введение в LDAP-инъекции
LDAP - обход аутентификации
LDAP - извлечение данных и эксплуатация вслепую
Предотвращение LDAP-инъекций
Введение в уязвимости генерации PDF
Эксплуатация уязвимостей генерации PDF
Предотвращение уязвимостей генерации PDF
Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 1-й части: Модуль 01: Атаки с внедрением (~55 стр.)
Дата выдачи: по набору участников в складчину
Сэмпл перевода: во вложении
СКАЧАТЬ СЛИВЫ КУРСОВ
Для возможности скачивать складчины и сливы курсов нужно зарегистрироваться
Возможно, Вас ещё заинтересует:
- Азбука колдовства [Алексей Шишкариовас]
- Закрытый клуб "Ваша Нина Зверева" (подписка на месяц) [Нина Зверева]
- Секретная связка: РСЯ + Телеграм (подписка на месяц) [Евгения Васильева]
- Абонемент «Для косметологов» [Анастасия Семко]
- Антистресс: краниосакральная терапия для себя [Алесь Улищенко]
- Абонемент «Все фишки Семко» [Анастасия Семко]
- Запеканка Чиз [Мария Манахова]
- Запеканка Деревенская [Мария Манахова]
- Запеканка Сытная [Мария Манахова]
- Свободные от тревоги. Терапевтические практики, которые помогут почувствовать свою ценность и отпустить страхи [Алина Ищанова]