Khóa học về bảo mật ứng dụng web nâng cao “Advanced Web Attacks and exploitation (WEB-300)” giúp học viên học các kỹ năng cần thiết để thực hiện kiểm thử xâm nhập ứng dụng web hộp trắng. Học viên hoàn thành khóa học và đạt điểm thi sẽ đạt được chứng chỉ “OffSec Web Expert (OSWE)” và thành thạo trong việc khai thác các ứng dụng web phía trước
Sau khi hoàn thành khóa học, học viên sẽ học được những kiến thức sau:
- Phân tích sâu mã nguồn ứng dụng web đã được giải mã.
- Xác định các lỗ hổng logic mà nhiều công cụ quét doanh nghiệp không thể phát hiện được.
- Kết hợp các lỗ hổng logic để tạo ra một bằng chứng về khái niệm trên một ứng dụng web.
- Khai thác các lỗ hổng bằng cách kết nối chúng thành các cuộc tấn công phức tạp
Khóa học này dành cho:
- Những chuyên gia kiểm thử xâm nhập có kinh nghiệm muốn hiểu rõ hơn về kiểm thử xâm nhập ứng dụng web hộp trắng.
- Những chuyên gia bảo mật ứng dụng web.
- Những chuyên gia ứng dụng web làm việc với mã nguồn và cơ sở hạ tầng bảo mật của một ứng dụng web
Để tham gia khóa học này, học viên cần có đọc và viết ít nhất một ngôn ngữ lập trình, quen thuộc với Linux, có khả năng viết các tập lệnh đơn giản bằng Python / Perl / PHP / Bash, có kinh nghiệm với các proxy web và hiểu biết chung về các vector tấn công ứng dụng web.
- Module 1: JavaScript Prototype Pollution
- Module 2: Advanced Server-Side Request Forgery (SSRF)
- Module 3: Công cụ và phương pháp bảo mật web
- Module 4: Phân tích mã nguồn
- Module 5: Tấn công Cross-site scripting liên tục
- Module 6: Chiếm quyền điều khiển phiên
- Module 7: Tính năng .NET deserialization
- Module 8: Thực thi mã từ xa
- Module 9: Tấn công Blind SQL injection
- Module 10: Đánh cắp dữ liệu
- Module 11: Vượt qua các sự hạn chế tải lên tệp và các bộ lọc phần mở rộng tập tin
- Module 12: PHP type juggling with loose comparisons
- Module 13: Tính năng PostgreSQL Extension and User Defined Functions
- Module 14: Vượt qua các sự hạn chế của REGEX
- Module 15: Magic hashes
- Module 16: Vượt qua các hạn chế đặc tính
- Module 17: Kỹ thuật tấn công UDF reverse shells
- Module 18: Tính năng PostgreSQL large objects
- Module 19: Kỹ thuật tấn công DOM-based cross site scripting (black box)
- Module 20: Kiểm tra lỗ hổng bảo mật server-side template injection
- Module 21: Tạo mã thông báo ngẫu nhiên yếu
- Module 22: Kỹ thuật tấn công XML external entity injection
- Module 23: RCE qua các chức năng cơ sở dữ liệu
- Module 24: Kỹ thuật tấn công OS command injection qua WebSockets (black box)
Bạn vui lòng liên hệ với Tư vấn viên qua mục chat trên website hoặc gọi đến số 024 3771 0668 để được tư vấn chi tiết về lộ trình học tập và chi phí!