Що нового?

Придбаний [Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Часть 2 Из 6

Інформація про покупку
Тип покупки: Складчина
Ціна: 18682 ГРН
Учасників: 0 з 110
Організатор: Відсутній
Статус: Набір учасників
Внесок: 176.6 ГРН
0%
Основний список
Резервний список

Gadzhi

Модератор
[Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Часть 2 Из 6

Тестирование Веб-Приложений на проникновение
Web Application Pentesting


Автор:
Вивек Рамачандрану (Vivek Ramachandran) (Pentesting Academy)
Формат: Видео
Продолжительность: 12 Часов
Продолжительность Второй Части: ~ 2 часа
Переводчик: ТС
Тип перевода: Русская озвучка

От себя:


Хочу представить вам ряд интереснейших курсов на тему взлома. Это лишь один из них,остальные вы можете найти по ссылкам в конце этого поста. Курсы довольно глубоко заходят в тему взлома и особенно будут интересны тем, кто вместе со мной познавал Полный курс по взлому. Курс привлек меня интересными темами и глубиной погружения в них, некоторые из этих тем доволь нотрудно найти в рунете как таковом. Курс проходит в формате теория-практика. Автор сначала объясняет информацию на слайдах и сразу приступает к демонстрации на практике. К сожалению источник не блещет ничем, кроме содержания тем курса, так что я позволил себе написать это вступление. Частично с этими курсами вы можете ознакомиться на сайте автора.

Возможно курс будет дополнен в ближайшее время!

Об Авторе:


Вивек Рамачандрану основатель и главный тренер Pentester Academy. Это он открыл атаку Caffe Latte, взломал WEP Cloaking - схему защиты протокола WEP, описал концепцию Wi-Fi бэкдоров и создал Chellam - первый в мире Wi-Fi фаерволл. Также является автором нескольких книг переведенных на разные языки, с пятизвездочным рейтингом на Amazon, коих было продано свыше 13 000.

Вивек запустил SecurityTube.net в 2007, своеобразный YouTube по безопасности, в котором собрал самую обширную коллекцию видео о компьютерной безопасности в интернете. SecurityTube и Pentester Academy насчитывает тысячи клиентов из более чем 90 стран по всему миру. Кроме того Вивек проводит живые тренинги в США, Европе и Азии. Его работы по беспроводной безопасности цитировались в BBC online, InfoWorld, MacWorld, The Register, IT World Canada и тд. Он выступал на таких мероприятиях как Black Hat США, Европа и Абу-Даби, Defcon, Hacktivity, Brucon, SecurityByte, SecurityZone, Nullcon, C0C0n и подобных.

Имея за плечами более чем десятилетний опыт работы в области безопасности и постоянный интерес к темам беспроводной и мобильной связи, тестированию веб приложений, созданию оболочек и исследованию эксплоитов. Любимые языки программирования Python, C и Ассемблер.

Содержание Курса:

  • Вступление. Содержание курса.
  • HTTP. Разбор работы протокола при помощи Curl.
  • Запросы GET, POST, OPTIONS и тд.
  • Тестирование работы методов запроса.
  • Демонстрация Verb Tampering.
  • Установка виртуальной машины с локальным сервером.
  • Коды HTTP состояний.
  • HTTP аутентификация. Basic.
  • Атака HTTP Basic аутентификации при помощи Nmap и Metasploit.
  • Digest Аутентификация.
  • Создание хеша вручную.
  • Дайджест аутентификация с точки зрения RFC 2617.
  • Формирование хешей.
  • HTTP Stateless и Cookies.
  • Все о Cookies. Формирование, атрибуты.
  • Пример установки Cookies со стороны сервера.
  • Session ID.
  • Что это, параметры, хранение.
  • HTTPS.
  • Как подключиться к HTTPS соединению.
  • Атака Man In The Middle.
  • Самоподписанный сертификат. Berp.
  • Изьятие файлов из HTTP потока.
  • HTML инъекции.
  • Виды, примеры инъекций. Онлайн упражнения.
  • Инъекции тегов.
  • Командные инъекции.
  • И около 10 онлайн упражнений на отработку материала данной части.
  • Фильтры коммандных инъекций.
  • Обратная оболочка:
  • Метод коммандной инъекции.
  • PHP метод.
  • NetCat.
  • Python.
  • Введение в XSS.
  • Виды XSS.
  • Event Handlers.
  • DOM XSS.
  • Начало внутреннего курса JavaScript для тестировщиков.
  • Введение.
  • Переменные JavaScript.
  • Операторы.
  • Условные операторы.
  • Петли.
  • Функции.
  • Перечисление свойств объектов.
  • Event Handlers.
  • Модификация DOM
  • От RFI к Meterpreter.
  • Работа с Cookies в JS (Установка, изменение, удаление).
  • Кража Cookies.
  • Исключения (Работа с ошибками).
  • Продвинутые манипуляции формами.
  • Основы XHR.
  • XHR и HTML парсинг.
  • XHR и Json парсинг.
  • XHR и XML парсинг.
  • Обход проверки на тип контента.
  • Обход черных списков.
  • Обход белых списков.
  • Обход функции getimagesize().
  • Инъекция нулевого байта.
  • От уязвимостей в загрузке файлов к PHP Meterpreter.
  • Основы RFI.
  • RFI и принудительные расширения.
  • Основы LFI.
  • Предшествующая директория. LFI.
  • Удаленное выполнение кода. LFI.
  • LFI и инъекция нулевого байта.
  • LFI и Log Poisoning.
  • SSH Log Poisoning.
  • Перенаправления (Redirects). Параметры.
  • Open Redirects.
  • Редиректы с хешем.
  • Крипто-соль.
  • Методы защиты редиректов.
  • Основы CSRF.
  • Новое приложение для тренировки атак.
  • Методы проведения CSRF атак.
  • Многошаговые операции и их симуляция в целях атаки.
  • Защита от атак. CSRF токен.
  • Обход токенов при помощи XSS.


Содержание второй части:

  • Дайджест аутентификация с точки зрения RFC 2617.
  • Формирование хешей.
  • HTTP Stateless и Cookies.
  • Все о Cookies. Формирование, атрибуты.
  • Пример установки Cookies со стороны сервера.
  • Session ID.
  • Что это, параметры, хранение.
  • HTTPS.
  • Как подключиться к HTTPS соединению.
  • Атака Man In The Middle.
  • Самоподписанный сертификат. Berp.
  • Изьятие файлов из HTTP потока.
  • HTML инъекции.
  • Виды, примеры инъекций. Онлайн упражнения.
  • Инъекции тегов.
  • Командные инъекции.
  • И около 10 онлайн упражнений на отработку материала данной части.
Сэмпл:

Скрытое содержимое.
http://www.pentesteracademy.com/course?id=5

Остальные части:






Также предлагаю Вам на меня подписаться, чтобы быть в курсе обо всех новых складчинах. Узнавайте об интересных складчинах первыми!
 
Угорі