Закрыто

[Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Часть 1 Из 6

Тема в разделе "Программирование", создана пользователем EatYourLoli, 22 сен 2016.

Цена: 28349р.
Взнос: 220р.
112%

Основной список: 125 участников

Резервный список: 96 участников

Статус обсуждения:
Комментирование ограничено.
  1. 22 сен 2016
    #1
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)

    [Pentesting Academy] - Тестирование Веб-Приложений на проникновение - Часть 1 Из 6

    Тестирование Веб-Приложений на проникновение
    Web Application Pentesting
    [​IMG]


    Автор: Вивек Рамачандрану (Vivek Ramachandran) (Pentesting Academy)
    Формат: Видео
    Продолжительность: 12 Часов
    Продолжительность Первой Части: ~ 2 часа
    Переводчик: ТС
    Тип перевода: Русская озвучка

    От себя:

    Хочу представить вам ряд интереснейших курсов на тему взлома. Это лишь один из них,остальные вы можете найти по ссылкам в конце этого поста. Курсы довольно глубоко заходят в тему взлома и особенно будут интересны тем, кто вместе со мной познавал Полный курс по взлому. Курс привлек меня интересными темами и глубиной погружения в них, некоторые из этих тем доволь нотрудно найти в рунете как таковом. Курс проходит в формате теория-практика. Автор сначала объясняет информацию на слайдах и сразу приступает к демонстрации на практике. К сожалению источник не блещет ничем, кроме содержания тем курса, так что я позволил себе написать это вступление. Частично с этими курсами вы можете ознакомиться на сайте автора.

    Возможно курс будет дополнен в ближайшее время!

    Об Авторе:


    Вивек Рамачандрану основатель и главный тренер Pentester Academy. Это он открыл атаку Caffe Latte, взломал WEP Cloaking - схему защиты протокола WEP, описал концепцию Wi-Fi бэкдоров и создал Chellam - первый в мире Wi-Fi фаерволл. Также является автором нескольких книг переведенных на разные языки, с пятизвездочным рейтингом на Amazon, коих было продано свыше 13 000.

    Вивек запустил SecurityTube.net в 2007, своеобразный YouTube по безопасности, в котором собрал самую обширную коллекцию видео о компьютерной безопасности в интернете. SecurityTube и Pentester Academy насчитывает тысячи клиентов из более чем 90 стран по всему миру. Кроме того Вивек проводит живые тренинги в США, Европе и Азии. Его работы по беспроводной безопасности цитировались в BBC online, InfoWorld, MacWorld, The Register, IT World Canada и тд. Он выступал на таких мероприятиях как Black Hat США, Европа и Абу-Даби, Defcon, Hacktivity, Brucon, SecurityByte, SecurityZone, Nullcon, C0C0n и подобных.

    Имея за плечами более чем десятилетний опыт работы в области безопасности и постоянный интерес к темам беспроводной и мобильной связи, тестированию веб приложений, созданию оболочек и исследованию эксплоитов. Любимые языки программирования Python, C и Ассемблер.

    Содержание Курса:

    • Вступление. Содержание курса.
    • HTTP. Разбор работы протокола при помощи Curl.
    • Запросы GET, POST, OPTIONS и тд.
    • Тестирование работы методов запроса.
    • Демонстрация Verb Tampering.
    • Установка виртуальной машины с локальным сервером.
    • Коды HTTP состояний.
    • HTTP аутентификация. Basic.
    • Атака HTTP Basic аутентификации при помощи Nmap и Metasploit.
    • Digest Аутентификация.
    • Создание хеша вручную.
    • Дайджест аутентификация с точки зрения RFC 2617.
    • Формирование хешей.
    • HTTP Stateless и Cookies.
    • Все о Cookies. Формирование, атрибуты.
    • Пример установки Cookies со стороны сервера.
    • Session ID.
    • Что это, параметры, хранение.
    • HTTPS.
    • Как подключиться к HTTPS соединению.
    • Атака Man In The Middle.
    • Самоподписанный сертификат. Berp.
    • Изьятие файлов из HTTP потока.
    • HTML инъекции.
    • Виды, примеры инъекций. Онлайн упражнения.
    • Инъекции тегов.
    • Командные инъекции.
    • И около 10 онлайн упражнений на отработку материала данной части.
    • Фильтры коммандных инъекций.
    • Обратная оболочка:
    • Метод коммандной инъекции.
    • PHP метод.
    • NetCat.
    • Python.
    • Введение в XSS.
    • Виды XSS.
    • Event Handlers.
    • DOM XSS.
    • Начало внутреннего курса JavaScript для тестировщиков.
    • Введение.
    • Переменные JavaScript.
    • Операторы.
    • Условные операторы.
    • Петли.
    • Функции.
    • Перечисление свойств объектов.
    • Event Handlers.
    • Модификация DOM
    • От RFI к Meterpreter.
    • Работа с Cookies в JS (Установка, изменение, удаление).
    • Кража Cookies.
    • Исключения (Работа с ошибками).
    • Продвинутые манипуляции формами.
    • Основы XHR.
    • XHR и HTML парсинг.
    • XHR и Json парсинг.
    • XHR и XML парсинг.
    • Обход проверки на тип контента.
    • Обход черных списков.
    • Обход белых списков.
    • Обход функции getimagesize().
    • Инъекция нулевого байта.
    • От уязвимостей в загрузке файлов к PHP Meterpreter.
    • Основы RFI.
    • RFI и принудительные расширения.
    • Основы LFI.
    • Предшествующая директория. LFI.
    • Удаленное выполнение кода. LFI.
    • LFI и инъекция нулевого байта.
    • LFI и Log Poisoning.
    • SSH Log Poisoning.
    • Перенаправления (Redirects). Параметры.
    • Open Redirects.
    • Редиректы с хешем.
    • Крипто-соль.
    • Методы защиты редиректов.
    • Основы CSRF.
    • Новое приложение для тренировки атак.
    • Методы проведения CSRF атак.
    • Многошаговые операции и их симуляция в целях атаки.
    • Защита от атак. CSRF токен.
    • Обход токенов при помощи XSS.

    Подробное содержание каждой части будет после ее перевода.

    Содержание первой части:
    • Вступление. Содержание курса.
    • HTTP. Разбор работы протокола при помощи Curl.
    • Запросы GET, POST, OPTIONS и тд.
    • Тестирование работы методов запроса.
    • Демонстрация Verb Tampering.
    • Установка виртуальной машины с локальным сервером.
    • Коды HTTP состояний.
    • HTTP аутентификация. Basic.
    • Атака HTTP Basic аутентификации при помощи Nmap и Metasploit.
    • Digest Аутентификация.
    • Создание хеша вручную.
    Сэмпл:





    Также предлагаю Вам на меня подписаться, чтобы быть в курсе обо всех новых складчинах. Узнавайте об интересных складчинах первыми!
     
    Последнее редактирование: 10 ноя 2017
    6 пользователям это понравилось.
  2. Последние события

    1. skladchik.com
      Складчина закрыта.
      6 сен 2020
    2. Polonii
      Polonii участвует.
      30 мар 2020
    3. Mr_41
      Mr_41 участвует.
      27 фев 2020
    4. sashka060606
      sashka060606 участвует.
      25 фев 2020

    Последние важные события

    1. skladchik.com
      Складчина закрыта.
      6 сен 2020
    2. skladchik.com
      Складчина доступна.
      29 май 2017
    3. skladchik.com
      Взнос составляет 220р.
      20 май 2017
    4. skladchik.com
      Складчина активна.
      20 май 2017
  3. Отзывы участников

    5/5,
    • 5/5,
      Работой организатора доволен
      Для меня данная тема новая (ранее пользовался только готовым инструментарием), замечательно что рассказывают все просто и подробно.
      2 июн 2017
      1 человеку нравится это.
    • 5/5,
      Работой организатора доволен
      Из первой части я пока для себя ни чего нового не узнала, у меня уже есть небольшой опыт в данной сфере. Но могу сказать что, курс хорош. Всё подробно рассказывается, ни в какое сравнение не идёт со всякими курсами от специалиста по данной тематике. Я думаю что это будет лучшей курс на складчике по пентесту веба. Если бы этот курс появился здесь года 2 назад, когда я пыталась разобраться в этой теме с нуля, то очень много было бы сэкономлено времени.
      31 май 2017
      3 пользователям это понравилось.
  4. Обсуждение
  5. 22 сен 2016
    #2
    BlackGun
    BlackGun ЧКЧлен клуба
    @EatYourLoli, со сборами спешить не будешь? Огромный поток информации по другим складчинам + эти! Не хочется пропустить, хочется освоить все. Ну и по цене, что бы приемлемая была )
     
  6. 22 сен 2016
    #3
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Не буду) Курсы будут идти по порядку, сперва закончу Полный курс по взлому, а потом определимся с этими) Так что народ успеет набраться.
     
    1 человеку нравится это.
  7. 2 мар 2017
    #4
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)
    Забавный у них пункт появился в F.A.Q ... Совершенно не клиентоориентированный подход. )

    Отсюда вытекает, что в один календарный месяц по платной подписке ты имеешь право просмотреть фрагментированные видео-материалы или скачать их ровно 100 раз суммарно. В этот счетчик входит даже один просмотр фрагмента видео, не важно - досмотрел ли ты его до конца или нет. Если ты одновременно и посмотрел фрагмент видео, и скачал его - у тебя из счетчика высчитывается -2.

    Что это значит? Например, Web Application Pentesting Course состоит из 82 видео. Согласно этому пункту из F.A.Q, чтобы получить данный курс целиком, нужно скачать 82 видео, но не просматривать их, иначе счетчик остановится.

    Не самая интересная политика со стороны ресурса, что я встречал. :D
     
  8. 31 мар 2017
    #5
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Вобще бред какой-то, благо нас он не коснется ;)
     
  9. 12 апр 2017
    #6
    VasiaPupkin
    VasiaPupkin ЧКЧлен клуба
    Я так понимаю будет 6 частей ?
     
  10. 12 апр 2017
    #7
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Все верно.

    Хотелось бы максимально понизить взнос, так что если кто-то поможет с рекламой складчины, буду очень признателен)
     
  11. 12 апр 2017
    #8
    DarkNode
    DarkNode БанЗабанен
    По кидаю по пабликам в соц сетях.По форумах.)))
     
    2 пользователям это понравилось.
  12. 12 апр 2017
    #9
    DarkNode
    DarkNode БанЗабанен
    [​IMG]

    В своем паблики зарепостил)
    Скрытая ссылка
     
    1 человеку нравится это.
  13. 13 апр 2017
    #10
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Огромное спасибо)
     
  14. 15 апр 2017
    #11
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)
    Классный ресурс. По-хорошему, нам стоило бы заиметь весь этот ресурс на русском, все 30 курсов. ;)

    Давай, @EatYourLoli, жги. :D
     
    1 человеку нравится это.
  15. 16 апр 2017
    #12
    DarkNode
    DarkNode БанЗабанен
    @lanuaria Когда там старт первой складчины?) И какая первая планируеться.Я записан почти во всех твоих складчинах.)
     
    1 человеку нравится это.
  16. 16 апр 2017
    #13
    Ianuaria
    Ianuaria ЧКЧлен клуба (П)
    Как однажды изрёк известный философ, всё будет, но не сразу. )

    В эпоху кали-юги в сторону годноты тянутся лишь те немногие, кто стоят на пути вечного просветления,
    а к коммерческому успеху ведут лишь таинства в красивом облачении. )

    А если серьёзно, я пока что прокрастинирую немножк. :D
     
    1 человеку нравится это.
  17. 16 апр 2017
    #14
    stylet
    stylet ЧКЧлен клуба
    -------------------------------------------------------------------------------------------
    Или еще и так:
    Пока еще не достиг ДАО. Не хватает знергии ЦИ. :)
     
    2 пользователям это понравилось.
  18. 29 апр 2017
    #15
    Marsianinka
    Marsianinka БанЗабанен
    На каком ЯП будет преподаваться данный курс?
     
  19. 4 май 2017
    #16
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Скажу так, этот курс состоит из двух частей. А конкретно из двух курсов автора - тестирование веб приложений и JavaScript для тестировщиков.
    Так что язык который здесь используется это Java, но это относится только ко второй части курса. Надеюсь понятно)
     
  20. 10 май 2017
    #17
    Andrewcourse
    Andrewcourse БанЗабанен
    А кто озвучывает курс ?
     
  21. 10 май 2017
    #18
    Tiesto
    Tiesto СкладчикСкладчик
    Что-то на остальные части люди не записываются...
     
  22. 10 май 2017
    #19
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Перевод и озвучка мои. На остальные части обычно записываются после первой)

    А тем временем, переводя курс понравилась фраза автора "Если вы видели предыдущие мои курсы, то знаете, что я не люблю поверхностное изучение темы, так что давайте копнем глубже" и начинает подробно с помощью WireShark разбирать взаимодействие клиент-сервер протокола HTTP, а это первое видео! Так что курс сверх подробный и исчерпывающий)
     
    2 пользователям это понравилось.
  23. 16 май 2017
    #20
    EatYourLoli
    EatYourLoli ОргОрганизатор (П)
    Да и кстати, к курсу прилагаются различные файлы для лабораторных работ так сказать, например к первой части прилагается образ виртуальной машины с сервером апачи для тестирования пройденного материала. Плюс к каждому видео прилагается презентация на англ языке. Решил ее не переводить, потому что все прекрасно разбирается в видео, добавил их из-за ссылок на внешние источники. Так что весь дополнительный материал у нас так же будет. Перевод почти закончен, так что очень скоро объявлю о сборах)
     
    2 пользователям это понравилось.
Статус обсуждения:
Комментирование ограничено.

Поделиться этой страницей