rss.eground-zerkalo.com

Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 6/2024) [HTB Academy]

от автора

rss_eground_
в

Складчина: Сертифицированный эксперт по эксплуатации веб-приложений Hack The Box (HTB CWEE) (часть 6/2024) [HTB Academy]

HTB Academy Senior Web Penetration Tester Job Role Path

[​IMG]

Путь обучения на позицию Senior-пентестера веб-приложений предназначен для специалистов, которые хотят развить навыки выявления продвинутых и труднообнаружимых веб-уязвимостей с использованием методов black box/white box. Этот путь включает обучение продвинутого уровня в области веб-безопасности, веб-пентестинга и концепций безопасного программирования. Он также закладывает глубокое понимание отладки приложений, анализа исходного кода и разработки кастомных эксплойтов в контексте веб-безопасности. Курс включает необходимую теоретическую базу, множество практических упражнений и проверенную методологию выявления веб-уязвимостей, благодаря чему обучающиеся смогут освоить выполнение профессиональных оценок безопасности современных и хорошо защищенных веб-приложений, а также эффективно составлять отчеты по уязвимостям, обнаруженным в коде или возникающим из-за логических ошибок.

Ключевые темы курса:

  • Атаки с внедрением
  • Введение в NoSQL-инъекции
  • Атаки на механизмы аутентификации
  • Продвинутая эксплуатация XSS и CSRF
  • Атаки на HTTPS/TLS
  • Злоупотребление неправильными конфигурациями HTTP
  • HTTP-атаки
  • Слепые SQL-инъекции
  • Введение в whitebox-пентестинг
  • Современные техники эксплуатации веб-приложений
  • Введение в атаки на десериализацию
  • Whitebox-атаки
  • Продвинутые SQL-инъекции
  • Продвинутые атаки на десериализацию
  • Логические ошибки

Содержание 6-й части:

Модуль 06: Злоупотребление неправильными конфигурациями HTTP

В этом модуле охватываются три распространенные уязвимости HTTP: отравление веб-кэша, уязвимости заголовка Host и перегрузка переменных сессии (Session Puzzling). Эти уязвимости могут возникать на уровне HTTP из-за ошибок конфигурации веб-сервера, других систем, которые необходимо учитывать при работе с реальным развертыванием (например, веб-кэш), или ошибок программирования веб-приложений. Мы рассмотрим, как выявлять, эксплуатировать и предотвращать каждую из этих уязвимостей.

Ключевые темы модуля:

  • Введение в ошибки конфигурации HTTP
  • Введение в отравление веб-кэша
  • Выявление параметров без ключа
  • Атаки отравления веб-кэша
  • Продвинутые техники отравления кэша
  • Инструменты и предотвращение
  • Введение в атаки на заголовок Host
  • Обход аутентификации
  • Отравление сброса пароля
  • Отравление веб-кэша
  • Обход некорректной валидации
  • Предотвращение атак на заголовок Host
  • Введение в Session Puzzling
  • Слабые идентификаторы сессий
  • Распространенные переменные сессии (обход аутентификации)
  • Преждевременное заполнение сессии (обход аутентификации)
  • Распространенные переменные сессии (захват учетной записи)
  • Предотвращение Session Puzzling

Дата релиза: 2024
Тип перевода: перевод с английского языка на русский
Формат: PDF
Объем оригинала: 15 модулей
Объем перевода 6-й части: Модуль 06: Злоупотребление неправильными конфигурациями HTTP (~61 стр.)

Дата выдачи: 31.05.2026
Сэмпл перевода: во вложении

Часть 1 | Часть 2 | Часть 3 | Часть 4 | Часть 5