Тестирование Веб-Приложений на проникновение Web Application Pentesting Автор: Vivek Ramachandran (Vivek Ramachandran) (Pentesting Academy) Оригинальное название: Web Application Pentesting Источник: Pentesting AcademyФормат: Видео Продолжительность: 12 Часов Продолжительность Первой Части: ~ 2 часа Тип перевода: Русская озвучка Об авторе: Вивек Рамачандрану основатель и главный тренер Pentester Academy. Это он открыл атаку Caffe Latte, взломал WEP Cloaking - схему защиты протокола WEP, описал концепцию Wi-Fi бэкдоров и создал Chellam - первый в мире Wi-Fi фаерволл. Также является автором нескольких книг переведенных на разные языки, с пятизвездочным рейтингом на Amazon, коих было продано свыше 13 000. Вивек запустил SecurityTube.net в 2007, своеобразный YouTube по безопасности, в котором собрал самую обширную коллекцию видео о компьютерной безопасности в интернете. SecurityTube и Pentester Academy насчитывает тысячи клиентов из более чем 90 стран по всему миру. Кроме того Вивек проводит живые тренинги в США, Европе и Азии. Его работы по беспроводной безопасности цитировались в BBC online, InfoWorld, MacWorld, The Register, IT World Canada и тд. Он выступал на таких мероприятиях как Black Hat США, Европа и Абу-Даби, Defcon, Hacktivity, Brucon, SecurityByte, SecurityZone, Nullcon, C0C0n и подобных. Имея за плечами более чем десятилетний опыт работы в области безопасности и постоянный интерес к темам беспроводной и мобильной связи, тестированию веб приложений, созданию оболочек и исследованию эксплоитов. Любимые языки программирования Python, C и Ассемблер. Содержание первой части: Вступление. Содержание курса. HTTP. Разбор работы протокола при помощи Curl. Запросы GET, POST, OPTIONS и тд. Тестирование работы методов запроса. Демонстрация Verb Tampering. Установка виртуальной машины с локальным сервером. Коды HTTP состояний. HTTP аутентификация. Basic. Атака HTTP Basic аутентификации при помощи Nmap и Metasploit. Digest Аутентификация. Создание хеша вручную. Спойлер: Содержание курса Основы протоколов HTTP/HTTPS Понимание архитектуры Веб Приложений Установка инструментов Конвертация браузера в платформу для атаки Перехват трафика и его модификация с использованием прокси Межсайтовый скриптинг Виды: Отраженные Хранимые DOM-Модели Фильтрация XSS Обход XSS фильтров Кража Cookie и перехват сессий Self-XSS BeeF SQL инъекции На основе ошибок Слепые Second order injection (Инъекции второго порядка) Недочеты системы аутентификации и хранения сессий Анализ ID сессий Пользовательская аутентификация Небезопасная конфигурация Веб сервер и БД сервер Application Framework (каркас приложения) Небезопасные прямые ссылки на объекты Межсайтовая подделка запроса Основанная на POST и GET Основанные на JSON в REST сервисе Token Hijacking при помощи XSS Многоступенчатая атака CSRF Небезопасное крипто-хранилище Clickjacking Уязвимости в загрузке файлов Проверка на обход расширений, вида контента и тд. RFI и LFI Web-Shell PHP Meterpreter Анализ WEB 2.0 приложений AJAX RIAs на флеш Атака кеш серверов Memcached Redis Нереляционная атака БД Хранилище данных Appengine MongoDB, CouchDB и тд. Вектора атаки HTML5 Teg abuse и использование в XSS Websockets Инъекция со стороны клиента Clickjacking Web Application firewalls (WAF) Fingerprinting Техники обнаружения Обход WAF Сэмпл на русском: [DAYS=10]ОРИГИНАЛ: http://www.pentesteracademy.com/course?id=5[/DAYS] [DAYS=10]БЕРУ ТУТ: https://skladchik.com/threads/pentesting-academy-Тестирование-Веб-Приложений-на-проникновение-Часть-1-Из-6.130554/[/DAYS]