Cześć, mamy dla Was niesamowite szkolenie z bezpieczeństwa aplikacji internetowych. Zapisy są dostępne pod adresem: https://silencexyz.com/szkolenia/testy-penetracyjne-aplikacji-web

Naucz się łamać zabezpieczenia stron internetowych i aplikacji, tak jak robią to czarne kapelusze, i zabezpieczać je, tak jak robią to eksperci od spraw bezpieczeństwa. Każde nasze szkolenie kończy się możliwością zatrudnienia Od razu po jego zakończeniu u jednego z naszych partnerów.

Czego się nauczysz

Zainstalujesz narzędzia hakerskie i inne potrzebne oprogramowanie
Odkryjesz, wykorzystasz i złagodzisz wiele niebezpiecznych podatności
Użyjesz zaawansowanych technik hakerskich, aby poznać i wykorzystać podatności
Pominiesz normalne uprawnienia i nauczysz się je eskalować
Będziesz przechwytywać żądania za pomocą proxy
Nauczysz się hakować witryny na tym samym serwerze
Pominiesz filtry i zabezpieczenia po stronie klienta
Nauczysz się wykorzystywać zapytania SQL, aby wykrywać i wykorzystywać podatności SQLInjection na witrynach internetowych
Uzyskasz pełną kontrolę na serwerze docelowym, wykorzystując zapytania SQL
Odkryjesz i wykorzystasz niewidoczne zastrzyki SQLInjection
Zainstalujesz KaliLinux – system do przeprowadzania testów penetracyjnych
Zainstalujesz Windows i inne wrażliwe systemy operacyjne jako maszyny wirtualne do testowania
Dowiesz się, jak używać poleceń systemu Linux i jak współpracować z terminalem
Zbierzesz poufne informacje na temat stron internetowych
Dowiesz się, jak działają witryny internetowe
Dowiesz się, jak przeglądarki komunikują się ze stronami internetowymi
Zbierzesz poufne informacje na temat stron internetowych
Odkryjesz serwery, technologie i usługi wykorzystywane w docelowej witrynie
Odkryjesz wiadomości e-mail i inne poufne dane, związane z daną witryną
Znajdziesz wszystkie subdomeny związane z daną witryną
Odkryjesz nieopublikowane katalogi i pliki związane z docelową witryną
Odnajdziesz wszystkie witryny hostowane na tym samym serwerze, co docelowa witryna
Odkryjesz, wykorzystasz i naprawisz podatności w kodzie źródłowym
Wykorzystasz podatności w zaawansowanych aplikacjach i uzyskasz pełną kontrolę nad docelową aplikacją
Odkryjesz, wykorzystasz i naprawisz podatności w zabezpieczeniach lokalnych plików
Wykorzystasz zaawansowane luki w zabezpieczeniach lokalnych plików, aby przejąć pełną kontrolę nad docelową witryną
Wykorzystasz zaawansowane podatności zdalnego załączania plików i uzyskasz pełną kontrolę nad docelową witryną
Pominiesz formularze logowania i zalogujesz się jako administrator za pomocą zastrzyków SQL
Nauczysz się pisać zapytania SQL w celu odnalezienia baz danych, table i poufnych danych, takich jak hasła i nazwy użytkowników za pomocą zastrzyków SQL
Pominiesz filtrowanie danych i zalogujesz się jako administrator, używając zastrzyków SQL
Nauczysz się omijać filtry HTTP
Odczytasz i zapiszesz pliki na serwerze, używając zastrzyków SQL
Nauczysz się w łatwy sposób wstrzykiwać zapytania SQL
Nauczysz się we właściwy sposób pisać zapytania SQL, aby zapobiec atakom SQLInjection
Odkryjesz podstawowe i zaawansowane ataki Cross-Site Scripting
Nauczysz się korzystać z frameworka BeEF
Nauczysz się hookować ofiary w BeEF za pomocą ataków Cross-Site Scripting
Uruchomisz zdalnie kod JavaScript
Stworzysz niewykrywalny backdor
Włamiesz się do hakowanych maszyn i przejmiesz nad nimi pełną kontrolę
Naprawisz podatności XSS i nauczysz się chronić przed nimi jako użytkownik
Dowiesz się, czym są ataki bruteforce
Utworzysz słownik do ataku bruteforce
Uruchomisz atak słownikowy, aby odgadnąć hasło administratora
Odkryjesz wszystkie luki automatycznie, używając serwera proxy
Uruchomisz polecenia systemowe na docelowym serwerze internetowym
Uzyskasz dostęp do systemu plików i będziesz mógł łatwo nawigować pomiędzy katalogami
Pominiesz zabezpieczenia, zainstalowane na danym serwerze internetowym
Uzyskasz dostęp do wszystkich witryn na tym samym serwerze internetowym
Połączysz się z bazą danych i wykonasz zapytania SQL lub pobierzesz całą bazę danych na lokalny komputer

Wymagania dotyczące szkolenia

Wymagamy podstawowych umiejętności IT
Nie wymagamy żadnej wiedzy na temat Linuksa, programowania lub hakingu
Potrzebujesz własnego komputera z 4 GB pamięci RAM
Potrzebujesz systemu operacyjnego Windows / OS X / Linux

Czego się nauczysz podczas szkolenia?

Witaj w naszym kompleksowym kursie na temat hakowania aplikacji internetowych. Nasz kurs zakłada, że nie posiadasz zdobytej wcześniej wiedzy na temat hakowania, a po zakończeniu poziomu twoja wiedza będzie na wysokim poziomie i będziesz w stanie hakować aplikacje tak, jak robią to prawdziwi przestępcy oraz zabezpieczać je w taki sposób, jak robią to eksperci od bezpieczeństwa aplikacji.

Chociaż niektóre z przytoczonych tutaj tematów mogą być podobne do przytoczonych w innych kursach, to inne kursy obejmują głównie podstawy lub są olbrzymimi bootcampami, a w tym kursie skupiamy się tylko i wyłącznie nad zaawansowanymi technikami hakerskimi, które pozwalają przejąć kontrolę nad każdą stroną internetową. Wszystkie nasze kursy są zaprojektowane w ten sposób, aby współistnieć ze sobą.

Nasz kurs jest bardzo praktyczny, ale nie zaniedbuje teorii. Najpierw dowiesz się, jak zainstalować niezbędne oprogramowanie, a następnie omówimy od podstaw, jak działają strony internetowe, różne składniki na stronach internetowych, zastosowane technologie oraz inne elementy. Następnie od razu rozpoczniemy hakowanie witryn internetowych. Od tego momentu nauczysz się wszystkiego o hakingu stron internetowych, odkrywając luki w zabezpieczeniach i wykorzystując je do włamywania się na strony internetowe, dzięki czemu nie wysłuchasz suchych i nudnych wykładów.

Jednak zanim przejdziesz do hakowania witryn internetowych, najpierw musisz nauczyć się zbierać informacje na temat docelowej witryny. Dlatego nasz kurs jest podzielony na kilka części. Każda sekcja zawiera informacje na temat odkrywania, wykorzystywania i łagodzenia typowych podatności w zabezpieczeniach stron internetowych. Najpierw nauczysz się podstawowej eksploatacji wymienionych podatności, a następnie pokażemy Ci zaawansowane techniki ominięcia zabezpieczeń, eskalacji uprawnień, dostępu do bazy danych, a nawet użycia zaatakowanych witryn do włamań się na inne witryny na tym samym serwerze. Dowiesz się także, w jaki sposób i dlaczego wybrane podatności w zabezpieczeniach można wykorzystać oraz poznasz właściwe praktyki, pozwalające Ci na ich uniknięcie. Oto bardziej szczegółowy podział treści naszego kursu:

Gromadzenie informacji

W tej sekcji dowiesz się, jak zbierać informacje o docelowej witrynie.

Nauczymy cię rozpoznawać serwery DNS, usługi, subdomeny, niepublikowane katalogi, wrażliwe pliki, e-maile użytkowników, witryny na tym sam serwerze, a nawet u tego samego dostawcy usług hostingowych. Informacja ta ma kluczowe znaczenie, ponieważ zwiększa szanse na uzyskanie dostępu do wybranej strony internetowej.
Odkrywanie, wykorzystywanie i łagodzenie

W tej sekcji dowiesz się, jak odkrywać, wykorzystywać i łagodzić wiele usterek.

Ta sekcja jest podzielona na kilka podsekcji, z których każda obejmuje określoną lukę w zabezpieczeniach. Po pierwsze, dowiesz się na czym polega dana podatność i co pozwala zrobić, a następnie dowiesz się, jak wykorzystać tą lukę i na co ona pozwala. Na koniec przeanalizujemy kod, który doprowadził do powstania danej podatności i spróbujemy zabezpieczyć daną witrynę. Ta sekcja składa się z następujących podsekcji:

Przesyłanie plików – ta usterka umożliwia atakującym na przesłanie plików wykonywalnych na serwer sieciowy, a wykorzystanie tej podatności pozwala uzyskać pełną kontrolę nad docelowymi witrynami.
Egzekucja kodu – ta luka umożliwia użytkownikom na uruchamianie kodu systemowego na docelowym serwerze sieci web i może zostać wykorzystana do wykonania złośliwego kodu i stworzenia powłoki zwrotnej, co daje osobie atakującej pełną kontrolę nad docelowym serwerem WWW.
Lokalne dołączanie plików – tę podatność można wykorzystać do odczytu dowolnego pliku na serwerze docelowym. To właśnie dzięki niej można odczytać wrażliwe pliki systemowe. My jednak nie zatrzymamy się na tym i poznasz dwie metody zwiększenia możliwości wykorzystania tej podatności oraz uzyskania powłoki zwrotnej, która pozwala na przejęcie pełnej kontroli nad serwerem docelowym.
Zdalne załączanie plików – ta podatność pozwala na ładownie plików zdalnych na docelowy serwer sieciowy, a wykorzystanie tej luki zapewnia pełną kontrolę nad docelowym serwerem sieciowym.j
SQL Injection – jest jedną z najniebezpieczniejszych podatności, znajduje się prawie wszędzie i może zostać wykorzystana do przeprowadzenia prawie każdego ataku. Pozwala na zalogowanie się z prawami administratora bez znajomości hasła, dostęp do bazy danych, uzyskanie wszystkich zawartych danych w bazie danych, takie jak nazwy użytkowników, hasła, czy numery kart kredytowych. Pozwala także zapisywać i odczytywać pliki, a nawet uzyskać dostęp do powłoki zwrotnej, co pozwala przejąć pełną kontrolę nad docelowym systemem.
Cross Site Scripting – ta usterka może zostać wykorzystana do uruchomienia kodu HTML, JavaScript, a nawet Visual Basic na użytkownikach, którzy posiadają dostęp do danej strony. Ale nie zatrzymamy się na samym dostępie do strony narażonej na atak. Dowiesz się także, jak wykraść dane użytkowników, takie jak hasła do Facebooka, czy Youtube, a nawet jak przejąć pełną kontrolę nad komputerem ofiary. Dodatkowo poznasz wszystkie możliwe typy ataków Cross Site Scripting.
XML eXternal Entity – kolejna bardzo niebezpieczna usterka, pozwalająca atakującemu na przeprowadzanie ataków DDoS, wykonywania poleceń, a nawet połączenia z innymi podatnościami. Poznasz bomby XML oraz inne typy ataków, które pozwalają na przejęcie pełnej kontroli nad atakowanym komputerem.
Niewłaściwe zarządzanie sesjami i stanem aplikacji – tutaj dowiesz się, jak wykorzystać niezabezpieczone żądania lub żądania, dla których sesje są źle ustawione. Nauczysz się także przejmować sesje innych użytkowników oraz wykorzystywać inne luki w zabezpieczeniach, takie jak Cross Site Request Forgery.
Ataki brute force i ataki słownikowe – w tej sekcji dowiesz się, czym są tego typu ataki i jak je uruchomić, a w udanych przypadkach będziesz w stanie odgadnąć hasło w docelowej stronie logowania.

Co zrobić, po wykorzystaniu

W tej sekcji dowiesz się, co możesz zrobić z dostępem uzyskanym poprzez użycie powyższych podatności.

Dodatkowo dowiesz się, jak zainstalować niewykrywalne powłoki zwrotne i jak wykonywać polecenia na wybranych serwerach. Dodatkowo pokażemy ci, jak poruszać się między katalogami, uzyskiwać dostęp do innych witryn na wybranym serwerze, przesyłać i pobierać pliki, uzyskać trwały dostęp do bazy danych, a nawet pobierać całą bazę danych na komputer lokalny. Dodatkowo nauczysz się także omijać zabezpieczenia i robić wszystko, co tylko chcesz, nawet jeśli nie masz odpowiednich uprawnień.
Dodatkowe informacje

W każdym module dowiesz się także, jak wykryć pokazane ataki oraz jak zabezpieczyć siebie i swój system. Wszystkie przedstawione techniki są autentyczne i działają przeciwko rzeczywistym systemom, a więc pragniemy, żebyś najpierw zrozumiał cały mechanizm, a potem nauczył się, jak go użyć do włamania się do systemu docelowego, aby pod koniec kursu móc swobodnie modyfikować te techniki i uruchamiać bardziej zaawansowane ataki, dostosowane do różnych sytuacji i scenariuszy bojowych.

Podczas trwania tego kursu otrzymasz pełne wsparcie, a więc nie bój się zadawać pytań, wysyłając wiadomości e-mail lub pytając otwarcie.

UWAGA: Ten kurs został stworzony do celów edukacyjnych, a wszystkie ataki odbywają się w specjalnie do tego celu laboratorium. Ten kurs jest całkowicie wyprodukowany przez SilenceOntheWire i jedynym egzaminem certyfikacyjnym jest nasz, po zakończeniu każdego modułu. Pod koniec kursu otrzymasz certyfikat, sygnowany przez SilenceOntheWire.
Dla kogo jest przeznaczony ten kurs?

Dla każdego, kto jest zainteresowany nauką hakowania lub testów penetracyjnych witryn internetowych.
Dla każdego, kto chce się dowiedzieć, jak hakerzy włamują się na strony internetowe.
Dla każdego, kto chce się nauczyć zabezpieczać witryny i aplikacje internetowe przed hakerami.
Dla twórców stron internetowych, aby mogli tworzyć bezpieczne aplikacje i zabezpieczać istniejące.
Dla administratorów, aby mogli zabezpieczyć swoje witryny.*