Курс
Тестирование на проникновение веб-приложений

Познакомитесь с существующими подходами к проведению анализа защищенности веб-приложений, с распространенными уязвимостями веб-приложений, получите навыки их эксплуатации, научитесь использовать множество инструментов (например, Burp Suite, sqlmap, patator). Сможете разрабатывать рекомендации по исключению обнаруженных уязвимостей.

Записаться на обучение

Старт

28 февраля 2022

Длительность

4,5 недели

Формат обучения

Виртуальный класс

Пройдя курс вы получите новые навыки:

Проведение анализа защищенности веб-приложений

Использования Burp Suite и других инструментов для выявления и эксплуатации уязвимостей веб-приложений

Понимания основных уязвимостей веб-приложений, включая, но не ограничиваясь OWASP Top 10

Программа обучения

4,5 недели

10 занятий

40 ак. часов

Введение, обзор веб-технологий, сбор информации
  • Обзор тестирования веб-приложений
  • Что есть полезного для изучающих пентест веба
  • HTTP
  • Кодировки в вебе
  • HTTPS vs HTTP
  • HTML, Javascript, CSS.
OS Command Injection
  • Описание уязвимости OS Command injection
  • Примеры обнаружения и эксплуатации
  • Reverse shell
SQL Injection
  • Обзор языка SQL
  • Описание уязвимости SQL injection
  • Вектора эксплуатации: bypass, union-based
  • Обзор имеющихся информационных ресурсов по уязвимости SQL injection
  • Вектора эксплуатации уязвимости SQL injection: error-based, boolean-blind, time-based.
  • Использование sqlmap для автоматической эксплуатации уязвимостей SQL injection
  • Рекомендации для разработчиков для исключения уязвимости SQL injection
Атаки на аутентификацию
  • Аутентификация
  • Хранение паролей
  • Сессионный менеджмент
  • Patator — инструмент для онлайн брутфорса
Path Traversal, File Upload, Local File Inclusion
  • Причины возникновения и способы эксплуатации Path traversal.
  • Уязвимость FIle Upload
  • Веб-шеллы для PHP ASMX(IIS) JSP
  • Рекомендации для разработчиков
Broken Access Control, Server Side Template Injection
  • Уязвимость Insufficient Function Level Access Control
  • Уязвимость Insecure Direct Object Reference
  • Обнаружение
  • Рекомендации для разработчиков
Небезопасная десериализация
  • Описание сериализации и её предназначения
  • Описание уязвимости небезопасной десериализации
  • Разбор примеров для Java и PHP
  • Обзор программного обеспечения ysoserial и phpggc
  • Рекомендации для разработчиков
Server Side Request Forgery & XML External Entity
  • Описание атаки SSRF и примеры её эксплуатации
  • XML и внешние сущности
  • Вектора эксплуатации XXE
  • Отказ в обслуживании
  • Local File read
  • SSRF
  • Рекомендации для разработчиков
SOP CSRF
  • Описание клиентской безопасности веб-приложений
  • Обзор Same Origin Policy
  • Разбор атаки Cross-site Request Forgery и практика по её реализации
  • Обзор методов защиты от CSRF
XSS
  • Обзор Cross-Origin Resource Sharing
  • Обзор типов XSS
  • Контексты внедрения XSS
  • Практика обнаружения XSS
  • XSS с помощью загрузки файлов
  • Content Security Policy и как оно защищает от XSS
  • Некоторые техники обхода CSP
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям HackerU Global. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Домашние задания с поддержкой эксперта
  • После каждого практического занятия вы получаете домашнее задание с обязательной обратной связью от преподавателя. Experience makes experts.

  • Порог входа в программу
    • Умение читать специализированную документацию и техническую литературу на английском языке со словарем;
    • Опыт написания кода на любом языке программирования;
    • Иметь представление о взаимодействии компьютеров в сети;
    • Иметь начальные представления  о механизмах, работающих в сети Интернет (веб-серверы, почтовые сервисы, мобильные приложения).
    01   / 05

    Записаться на обучение

    !
    !
    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле