- Регистрация
- 26.05.2022
- Сообщения
- 26 711
- Реакции
- 166
- Баллы
- 63
«Безопасность веб-приложений» — практический курс, направленный на выявление уязвимостей, оценку их рисков для проекта и устранение их различными способами.
Главный тренер: Александр Twost Пушкин
Рекомендуем пройти этот курс, если вы:
Веб-разработчик, который хочет понять корень зла — причины возникновения уязвимостей (и не всегда по вине разработчика), а также осознает тот факт, что современные фреймворки вполне себе позволяют писать уязвимый код.
Будущий пентестер, который готов за 2 месяца усвоить все необходимые навыки по аудиту веб-приложений, а дальше только набираться опыта и пополнять список успешно выполненных проектов по пентесту или BugBounty.
DevOps-инженер, заинтересованный в улучшении безопасности инфраструктуры компании, автоматизации обнаружения и отражения атак.
Работодатель, понимающий важность обеспечения безопасности коммерческих данных и заинтересованный в инвестициях в человеческие ресурсы.
Программа курса
Знакомство со структурой курса и используемым программным обеспечением
Классификация OWASP top 10
ClientSide: Open Redirect, CSRF, HTML Injection and Content Spoofing, Cross-Site Scripting
ServerSide: HTTP Parameter Pollution, CRLF Injection, ServerSide Request Forgery, Subdomain Takeover
ServerSide: SQL Injection
ServerSide: RCE, LFI, Deserialization
ServerSide: XXE, Template Injections
ServerSide: Race condition, IDOR
Сбор информации (разведка) о веб-приложении и его компонентах
Статические анализаторы кода и ручной анализ
Fuzzing
Инструменты для автоматического поиска и эксплуатации уязвимостей
Самописные инструменты для автоматизации поиска и эксплуатации уязвимостей
Web-shells и постэксплуатация
Права доступа и повышение привилегий
Методологии анализа защищенности и написание отчёта по аудиту
Выбор темы и организация проектной работы
Консультации по проектной работе
Защита проектных работ
my.xakep.ru/courses/websec
Главный тренер: Александр Twost Пушкин
Рекомендуем пройти этот курс, если вы:
Веб-разработчик, который хочет понять корень зла — причины возникновения уязвимостей (и не всегда по вине разработчика), а также осознает тот факт, что современные фреймворки вполне себе позволяют писать уязвимый код.
Будущий пентестер, который готов за 2 месяца усвоить все необходимые навыки по аудиту веб-приложений, а дальше только набираться опыта и пополнять список успешно выполненных проектов по пентесту или BugBounty.
DevOps-инженер, заинтересованный в улучшении безопасности инфраструктуры компании, автоматизации обнаружения и отражения атак.
Работодатель, понимающий важность обеспечения безопасности коммерческих данных и заинтересованный в инвестициях в человеческие ресурсы.
Программа курса
Знакомство со структурой курса и используемым программным обеспечением
Классификация OWASP top 10
ClientSide: Open Redirect, CSRF, HTML Injection and Content Spoofing, Cross-Site Scripting
ServerSide: HTTP Parameter Pollution, CRLF Injection, ServerSide Request Forgery, Subdomain Takeover
ServerSide: SQL Injection
ServerSide: RCE, LFI, Deserialization
ServerSide: XXE, Template Injections
ServerSide: Race condition, IDOR
Сбор информации (разведка) о веб-приложении и его компонентах
Статические анализаторы кода и ручной анализ
Fuzzing
Инструменты для автоматического поиска и эксплуатации уязвимостей
Самописные инструменты для автоматизации поиска и эксплуатации уязвимостей
Web-shells и постэксплуатация
Права доступа и повышение привилегий
Методологии анализа защищенности и написание отчёта по аудиту
Выбор темы и организация проектной работы
Консультации по проектной работе
Защита проектных работ
my.xakep.ru/courses/websec
