Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 1/2024) [HTB Academy]
HTB Academy Senior Web Penetration Tester Job Role Path
Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.
Ключевые темы курса:
Модуль 01: Атаки с внедрением
Существует множество уязвимостей внедрения кода, наиболее известными из которых являются SQL‑инъекции, межсайтовый скриптинг (XSS) и внедрение команд. Несмотря на то, что именно они действительно чаще всего встречаются в реальных веб‑приложениях, существуют и другие, менее известные уязвимости внедрения. Поскольку подобные уязвимости внедрения встречаются реже и менее известны, разработчики зачастую не осведомлены о них и, как следствие, игнорируют способы защиты от них. Если нам удается найти веб‑сайт, на котором используются XPath, LDAP или библиотеки генерации PDF, то его тестирование на подобные атаки может позволить нам продвинуться дальше в ходе наших работ.
В этом модуле рассматриваются три атаки с применением инъекций: XPath-инъекции, LDAP-инъекции и HTML-инъекции в библиотеках генерации PDF. Уязвимости XPath- и LDAP-инъекций могут приводить к обходу аутентификации и извлечению данных. HTML-инъекции в библиотеках генерации PDF могут приводить к подделке запросов на стороне сервера (SSRF), локальному включению файлов (LFI) и другим распространенным веб-уязвимостям.Мы обсудим, как выявлять, эксплуатировать и предотвращать каждый из этих типов атак с внедрением.
Ключевые темы модуля:
Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 1-й части: Модуль 01: Атаки с внедрением (~55 стр.)
Скрытая ссылка
Дата выдачи: по набору участников в складчину
Сэмпл перевода: во вложении
HTB Academy Senior Web Penetration Tester Job Role Path
Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.
Ключевые темы курса:
- Атаки с внедрением
- Введение в NoSQL-инъекции
- Атаки на механизмы аутентификации
- Продвинутая эксплуатация XSS и CSRF
- Атаки на HTTPS/TLS
- Злоупотребление неправильными конфигурациями HTTP
- HTTP-атаки
- Слепые SQL-инъекции
- Введение в whitebox-пентестинг
- Современные техники эксплуатации веб-приложений
- Введение в атаки на десериализацию
- Whitebox-атаки
- Продвинутые SQL-инъекции
- Продвинутые атаки на десериализацию
- Логические ошибки
Модуль 01: Атаки с внедрением
Существует множество уязвимостей внедрения кода, наиболее известными из которых являются SQL‑инъекции, межсайтовый скриптинг (XSS) и внедрение команд. Несмотря на то, что именно они действительно чаще всего встречаются в реальных веб‑приложениях, существуют и другие, менее известные уязвимости внедрения. Поскольку подобные уязвимости внедрения встречаются реже и менее известны, разработчики зачастую не осведомлены о них и, как следствие, игнорируют способы защиты от них. Если нам удается найти веб‑сайт, на котором используются XPath, LDAP или библиотеки генерации PDF, то его тестирование на подобные атаки может позволить нам продвинуться дальше в ходе наших работ.
В этом модуле рассматриваются три атаки с применением инъекций: XPath-инъекции, LDAP-инъекции и HTML-инъекции в библиотеках генерации PDF. Уязвимости XPath- и LDAP-инъекций могут приводить к обходу аутентификации и извлечению данных. HTML-инъекции в библиотеках генерации PDF могут приводить к подделке запросов на стороне сервера (SSRF), локальному включению файлов (LFI) и другим распространенным веб-уязвимостям.Мы обсудим, как выявлять, эксплуатировать и предотвращать каждый из этих типов атак с внедрением.
Ключевые темы модуля:
- Введение в атаки с внедрением
- Введение в XPath-инъекции
- XPath - обход аутентификации
- XPath - извлечение данных
- XPath - продвинутое извлечение данных
- XPath - эксплуатация вслепую
- Предотвращение XPath-инъекций и инструменты
- Введение в LDAP-инъекции
- LDAP - обход аутентификации
- LDAP - извлечение данных и эксплуатация вслепую
- Предотвращение LDAP-инъекций
- Введение в уязвимости генерации PDF
- Эксплуатация уязвимостей генерации PDF
- Предотвращение уязвимостей генерации PDF
Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 1-й части: Модуль 01: Атаки с внедрением (~55 стр.)
Скрытая ссылка
Дата выдачи: по набору участников в складчину
Сэмпл перевода: во вложении