Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 3/2024) [HTB Academy]

B

Bot

Администратор
Команда форума
23 Янв 2020
206,533
3,143
113

Складчина: Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 3/2024) [HTB Academy]​

HTB Academy Senior Web Penetration Tester Job Role Path
sample_cwee.png


Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.

Ключевые темы курса:

  • Атаки с внедрением
  • Введение в NoSQL-инъекции
  • Атаки на механизмы аутентификации
  • Продвинутая эксплуатация XSS и CSRF
  • Атаки на HTTPS/TLS
  • Злоупотребление неправильными конфигурациями HTTP
  • HTTP-атаки
  • Слепые SQL-инъекции
  • Введение в whitebox-пентестинг
  • Современные техники эксплуатации веб-приложений
  • Введение в атаки на десериализацию
  • Whitebox-атаки
  • Продвинутые SQL-инъекции
  • Продвинутые атаки на десериализацию
  • Логические ошибки
Содержание 3-й части:
Модуль 03: Атаки на механизмы аутентификации

Аутентификация играет важнейшую роль практически в каждом веб-приложении. Если в механизме аутентификации приложения возникает уязвимость, это может привести к несанкционированному доступу, потере данных или даже удаленному выполнению кода, в зависимости от функциональности приложения. В этом модуле будет предоставлен обзор различных методов контроля доступа, таких как JWT, OAuth и SAML, а также потенциальных атак в отношении каждого из них.

Ключевые темы модуля:

  • Введение в механизмы аутентификации
  • Введение в JWT
  • Атака на проверку подписи
  • Атака на секрет подписи
  • Путаница алгоритмов
  • Атаки на JWT
  • Инструменты для работы с JWT и предотвращение уязвимостей
  • Введение в OAuth
  • Настройка лабораторной среды с OAuth
  • Кража токенов доступа
  • Неправильная защита от CSRF
  • Дополнительные уязвимости OAuth
  • Предотвращение уязвимостей OAuth
  • Введение в SAML
  • Настройка лабораторной среды с SAML
  • Атака исключения подписи
  • Атака обертывания подписи
  • Дополнительные уязвимости SAML
  • Инструменты для работы с SAML и предотвращение уязвимостей
Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 3-й части: Модуль 03: Атаки на механизмы аутентификации (~78 стр.)
Скрытая ссылка
Дата выдачи: 31.05.2026
Сэмпл перевода: во вложении
Часть 1 | Часть 2
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу
Назад