Изучи тестирование на проникновение c Python
Learning Python Web Penetration Testing
Learning Python Web Penetration Testing
Описание
<p>With the huge growth in the number of web applications in the recent times, there has also been an upsurge in the need to make these applications secure. Web penetration testing is the use of tools and code to attack a website or web app in order to assess its vulnerabilities to external threats. While there are an increasing number of sophisticated ready-made tools to scan systems for vulnerabilities, the use of Python allows testers to write system-specific scripts, or alter and extend existing testing tools to find, exploit, and record as many security weaknesses as possible.*/p> <p>This course will walk you through the web application penetration testing methodology, showing you how to write your own tools with Python for every main activity in the process. It will show you how to test for security vulnerabilities in web applications just like security professionals and hackers do.*/p> <p>The course starts off by providing an overview of the web application penetration testing process and the tools used by professionals to perform these tests. Then we provide an introduction to HTTP and how to interact with web applications using Python and the Requests library. Then will follow the web application penetration testing methodology and cover each section with a supporting Python example. To finish off, we test these tools against a vulnerable web application created specifically for this course.*/p> <p>Stop just running automated tools—write your own and modify existing ones to cover your needs! This course will give you a flying start as a security professional by giving you the necessary skills to write custom tools for different scenarios and modify existing Python tools to suit your application’s needs.*/p> About The Author <p>Christian Martorella has been working in the field of Information Security for the last 16 years, and is currently working as Principal Program Manager in the Skype Product Security team at Microsoft. Christian's current focus is on software security and security automation in a Devops world.*/p> <p>Before this, he was the Practice Lead of Threat and Vulnerability for Verizon Business, where he led a team of consultants in delivering security testing services in EMEA for a wide range of industries including Financial Services, Telecommunications, Utilities, and Government.*/p> <p>Christian has been exposed to a wide array of technologies and industries, which has given him the opportunity to work in every possible area of IT security and from both sides of the fence, providing him with a unique set of skills and vision on Cyber Security.*/p> <p>He is the co-founder and an active member of Edge-Security team, who releases security tools and research. Christian has contributed to open source security testing and information gathering tools such as OWASP WebSlayer, Wfuzz, theHarvester, and Metagoofil, all included in Kali, the penetration testing Linux distribution.*/p> <p>Christian presented at Blackhat Arsenal USA, Hack.Lu, What The Hack!, NoConName, FIST Conferences, OWASP Summits, OWASP meetings (Spain, London, Portugal, and Venice), and Open Source Intelligence Conference (OSIRA). In the past, Christian has organized more than 20 FIST Conferences in Barcelona, providing a forum for professionals and amateurs interested in Security Testing. Christian holds a Master's degree in Business Administration from Warwick Business School, and multiple security certifications such as CISSP, CISM, CISA, OPSA, and OPST.*/p>
| <p>с огромным ростом числа веб-приложений в последние раз, наблюдается рост в необходимости эти приложений безопасности. Тестирование веб-проникновения является использование инструментов и код для атаки на веб-сайт или веб-приложение для того, чтобы оценить его Уязвимость к внешним угрозам. Пока растет количество сложной готовые инструменты для сканирования системы уязвимостей, использование Python позволяет тестерам писать система-конкретные скрипты, или изменить и расширить существующие инструменты тестирования найти, использовать, и записать столько недостатков безопасности, насколько это возможно.*/п> <p>данный курс, вы пройдете через проникновение веб-приложений методика тестирования, показывает Вам, как писать свои собственные инструменты с помощью Python для каждого основного вида деятельности в процессе. Он покажет вам, как проверить для уязвимостей в веб-приложениях, как системы безопасности профессионалов и хакеров.*/п> <р>курс начинается с проведения обзора веб-приложения использовать процесс тестирования на проникновение и инструменты, с помощью специалистов выполнять эти тесты. Тогда мы предлагаем Введение в http и как взаимодействовать с веб-приложений с использованием Python и библиотеки запросов. Затем будет следовать методологии тестирования на проникновение веб-приложений и крышка каждой секции с опорным пример. Чтобы закончить, мы эти инструменты тест против уязвимого веб-приложения, созданного специально для этого курса.*/п> <р>остановить только работает автоматизированными инструментами—писать свои и изменять существующие те, чтобы покрыть ваши потребности! Этот курс даст вам старт в специалист по безопасности, давая Вам необходимые навыки написания собственных инструменты для различных сценариев и изменять существующие инструменты Python для костюм потребностей вашего приложения.*/п> Об Авторе <п>в христианской Martorella работает в области Информационной безопасности за последние 16 лет, и в настоящее время работает Основные программный менеджер в команде безопасности продукта Skype в Майкрософт. Нынешнее внимание христианина на программное обеспечение автоматизация безопасности в концепция devops мира.*/п> <р>до этого он был на практике привести угрозы и уязвимости Верайзон бизнес, где он руководил командой консультантов в реализации тестирование служб безопасности в EMEA для широкого спектра отраслей промышленности включая Финансовые услуги, Телекоммуникации, коммунальные услуги, и Правительства.*/п> <p>в христианской подвергается широкий спектр технологий и промышленность, которая дала ему возможность работать в каждое возможные области ИТ-безопасности и с обеих сторон забора, обеспечивая его уникальный набор навыков и видения по Кибербезопасности.*/п> <р>он является соучредителем и активным членом команды края-безопасности, которые выпускает средства защиты и исследования. Христианин способствовало открытие источник безопасности тестирования и сбора информации инструментов, таких как owasp WebSlayer, Wfuzz, theHarvester, и Metagoofil, все включено в Кали тестирование дистрибутива Linux.*/п> <p>в христианской представили на blackhat Арсенал США, рубить.Лу, Что Рубить!, NoConName, кулак конференций, саммитов фонд, фонд заседаниях (Испания, Лондон, Португалии и Венеции), и открытая конференция источник информации (OSIRA). В прошлом, Кристиан организовал более 20 кулак Конференции в Барселоне, обеспечивая форум для профессионалов и любителей, заинтересованных в тестировании безопасности. Кристиан получил степень магистра степень в области делового администрирования от бизнес-школы Уорика, и несколько сертификатов безопасности, таких как обладает сертификатом cissp, ЛИСТИЧЕСКАЯ, ЧИЗА, ОПСА, и НПС.*/п> \
|
Содержание
Curriculum Блок 1: Introduction Урок 1 - The Course Overview [05:58] Урок 2 - Understanding Web Application Penetration Testing Process [07:50] Урок 3 - Typical Web Application Toolkit [06:19] Урок 4 - Testing Environment [06:15] Блок 2: Interacting with Web Applications Урок 5 - HTTP Protocol Basics [07:10] Урок 6 - Anatomy of an HTTP Request [07:56] Урок 7 - Interacting with Web Apps Using Requests Library [10:24] Урок 8 - Analyzing the Responses [07:22] Блок 3: Web Crawling with Scrapy Урок 9 - Web Application Mapping [03:35] Урок 10 - Creating a Crawler with Scrapy [07:56] Урок 11 - Recursive Crawling [03:42] Урок 12 - Extracting Information [05:23] Блок 4: Resources Discovery Урок 13 - What Is Resource Discovery? [04:03] Урок 14 - Building Our First Brute Forcer [05:25] Урок 15 - Analyzing the Results [05:17] Урок 16 - Adding More Information [03:54] Урок 17 - Taking Screenshots of the Findings [04:15] Блок 5: Password Testing Урок 18 - How Password Attacks Work? [04:58] Урок 19 - Our First Password Brute Forcer [04:38] Урок 20 - Adding Support for Digest Authentication [04:43] Урок 21 - Form-based Authentication [07:08] Блок 6: Detecting and Exploiting SQL Injection Vulnerabilities Урок 22 - SQL Injection Vulnerability [04:51] Урок 23 - Detecting SQL Injection Issues [08:09] Урок 24 - Exploiting a SQL Injection to Extract Data [06:00] Урок 25 - Advanced SQLi Exploiting [03:55] Блок 7: Intercepting HTTP Requests Урок 26 - HTTP Proxy Anatomy [04:08] Урок 27 - Introduction to mitmproxy [03:53] Урок 28 - Manipulating HTTP Requests [06:53] Урок 29 - Automating SQLi in mitmproxy [04:38] Урок 30 - Wrapping Up [03:55] | Учебный план Блок 1: Введение Урок 1 - Курс Обзор [05:58] Урок 2 - Понимание Процесса Тестирования На Проникновение Веб-Приложений [07:50] Урок 3 - Обычный Веб-Приложений Набор Инструментов [06:19] Урок 4 - Испытательной Среде [06:15] Блок 2: взаимодействие с веб-приложениями Урок 5 - Основы протокола http [07:10] Урок 6 - Анатомия запросу http [07:56] Урок 7 - взаимодействие с веб-приложений с использованием запросов библиотеки [10:24] Урок 8 - Анализ ответов [07:22] Блок 3: веб-Ползание с Scrapy Урок 9 - Картографических Веб-Приложений [03:35] Урок 10 - создание Обходчик с Scrapy [07:56] Урок 11 - Рекурсивный Обход [03:42] Урок 12 - Извлекать Информацию [05:23] Блок 4: Открытие Ресурсов Урок 13 - Как Обнаружение Ресурсов? [04:03] Урок 14 - Наш Первый Грубой Раскочегарит [05:25] Урок 15 - Анализ результатов [05:17] Урок 16 - Добавление Дополнительной Информацией [03:54] Урок 17 - снятия скриншотов выводы [04:15] Блок 5: Проверка Пароля Урок 18 - Как Пароля Работает? [04:58] Урок 19 - Наш Первый Пароль Грубой Раскочегарит [04:38] Урок 20 - добавлена поддержка Дайджест [04:43] Урок 21 - форма проверки подлинности на основе [07:08] Блок 6: обнаружения и использования уязвимостей SQL-инъекций Урок 22 - Уязвимость SQL-инъекции [04:51] Урок 23 - выявить проблемы SQL-инъекций [08:09] Урок 24 - Эксплуатируя SQL-инъекции для извлечения данных [06:00] Урок 25 - Дополнительные SQLi Эксплуатации [03:55] Блок 7: Перехват http-запросов Урок 26 - прокси-Анатомия протоколу http [04:08] Урок 27 - Введение в mitmproxy [03:53] Урок 28 - манипулировать http-запросов [06:53] Урок 29 - Автоматизация SQLi в mitmproxy [04:38] Урок 30 - Подводя Итоги [03:55] |
Скрытое содержимое.