«Безопасность веб-приложений» — практический курс, направленный на выявление уязвимостей, оценку их рисков для проекта и устранение их различными способами.
Главный тренер: Александр Twost Пушкин
Рекомендуем пройти этот курс, если вы:
- Веб-разработчик, который хочет понять корень зла — причины возникновения уязвимостей (и не всегда по вине разработчика), а также осознает тот факт, что современные фреймворки вполне себе позволяют писать уязвимый код.
- Будущий пентестер, который готов за 2 месяца усвоить все необходимые навыки по аудиту веб-приложений, а дальше только набираться опыта и пополнять список успешно выполненных проектов по пентесту или BugBounty.
- DevOps-инженер, заинтересованный в улучшении безопасности инфраструктуры компании, автоматизации обнаружения и отражения атак.
- Работодатель, понимающий важность обеспечения безопасности коммерческих данных и заинтересованный в инвестициях в человеческие ресурсы.
- Знакомство со структурой курса и используемым программным обеспечением
- Классификация OWASP top 10
- ClientSide: Open Redirect, CSRF, HTML Injection and Content Spoofing, Cross-Site Scripting
- ServerSide: HTTP Parameter Pollution, CRLF Injection, ServerSide Request Forgery, Subdomain Takeover
- ServerSide: SQL Injection
- ServerSide: RCE, LFI, Deserialization
- ServerSide: XXE, Template Injections
- ServerSide: Race condition, IDOR
- Сбор информации (разведка) о веб-приложении и его компонентах
- Статические анализаторы кода и ручной анализ
- Fuzzing
- Инструменты для автоматического поиска и эксплуатации уязвимостей
- Самописные инструменты для автоматизации поиска и эксплуатации уязвимостей
- Web-shells и постэксплуатация
- Права доступа и повышение привилегий
- Методологии анализа защищенности и написание отчёта по аудиту
- Выбор темы и организация проектной работы
- Консультации по проектной работе
- Защита проектных работ
https://my.xakep.ru/courses/websec